詐騙者仍鎖定中大型企業的資深財務主管,企圖欺騙他們進行巨額轉帳付款。近來 FBI 針對此類詐騙活動警告企業,而賽門鐵克電子郵件安全雲端服務亦觀察到這些電子郵件行動仍然活躍。
尋找大魚
這類詐騙行動的方法雖然簡單、但卻非常有效:詐騙者撰寫一封電子郵件,聲稱是該目標企業的執行長發出的信件,要求收件者緊急進行一筆款項的轉帳。
這些企業電子郵件入侵 (business email compromise,簡稱 BEC) 詐騙也稱為「捕鯨」,因為詐騙者會將魚叉式網路釣魚電子郵件寄給資深 (通常是 C-level) 的員工。據賽門鐵克所觀察,在此類的大多數電子郵件中,攻擊者會將郵件寄給財務長 (CFO)。
詐騙者會先寄一封電子郵件,詢問財務長是否能否進行緊急轉帳。如果收件者回覆了該郵件,攻擊者就會寄出下一封信,提供轉帳的必要詳細資訊。如果沒有回應,詐騙者可能會寄出第二封信給財務長,或者嘗試寄給財務部門的其他成員。而這類個人資訊從 LinkedIn 就能輕易收集。
圖 1.宣稱來自執行長的詐騙郵件要求目標對象進行轉帳
較近期的一個詐騙版本中使用了一封內容相當冗長的電子郵件,敘述何以一定要付款才能進行一項購併案。寄件者接著還表示會有律師連絡,提供付款指示說明。
圖 2.詐騙郵件要求員工對尚未公佈的購併案進行轉帳
撰寫電子郵件
BEC 電子郵件通常會有相同的格式。我們觀察到在所有案例中,這些電子郵件會假冒來自目標公司執行長的訊息。通常是透過以下方式達到目的:
- 入侵該執行長的電子郵件帳號
- 假冒該執行長的電子郵件地址
- 利用拼錯名稱網域 (typo-squatting) 的形式,讓電子郵件地址使用類似目標公司真正的網域名稱 (例如 myydomain.com vs mydomain.com)。如我們在前文中討論到,這些網域通常是在該電子郵件寄出的當天註冊。
接著詐騙者會利用一些簡單的伎倆來嘗試與避免引起懷疑。這些電子郵件通常會表明執行長正在出差或在會議中,所以沒辦法接電話。這些電子郵件當中,有許多會附加「從我的 my iPad 寄出」的文字,這可能是為了再次強調寄件者正在差旅途中,或訊息中破英文的藉口。
圖 3.附加「從我的 my iPad 寄出」可能是用來做為破英文的藉口
尋找大魚上鉤
BEC 攻擊者鎖定資深員工、而非一般消費者的原因就在於如此比較容易從他們身上詐騙到巨額款項。之前的 419 型詐騙通常要求的是較少的金額,不過,攻擊者撒網的範圍較廣。而在 BEC 中,這些電子郵件則較具針對性,而且要求的金額也大得多。在某個案例中,我們發現詐騙者要求目標對象轉帳的金額超過 $37 萬美元。
圖 4.詐騙者要求目標對象轉帳的金額超過 $37 萬美元
透過要求更大筆的金錢,詐騙者只要成功幾次,就能賺大錢。FBI 估計,在 2013 年 10 月至 2015 年 8 月間,因 BEC 攻擊損失的金額超過 12 億美元。有如此優渥的回報,看來短期內這些詐騙活動並不會停止。
風險緩和策略
在保護企業免於 BEC 詐騙活動方面,最有效的方法就是教育使用者:
- 對於任何要求不尋常或未循正常程序動作的電子郵件心存懷疑
- 使用者不應回覆任何看起來可疑的電子郵件透過公司通訊錄取得寄件者的地址,然後詢問他們有關這封電子郵件的真偽
- 在進行轉帳時使用雙重身分認證
在有關 BEC 詐騙的警告中,FBI 也提供了進一步的建議。
如果您發現您已成為 BEC 詐騙行動的受害者,請儘速通知您的金融機構和地方執法機關。