受害金額超過30億美元!趨勢科技資安專家拆解變臉詐騙駭客手法

2017.03.17 by
郭芝榕
攝影/蔡仁譯
以電子郵件為攻擊途徑的BEC變臉詐騙,是低成本高收益的駭客攻擊,是台灣企業2017年最需要提防的攻擊手法。運用社交工程的人性攻擊方法,過去兩年全球詐騙金額超過新台幣900億元,每個案件受騙金額平均為400多萬元。

若要提及2016年資安威脅的大事件,恐怕非勒索病毒莫屬!駭客的學習能力快速進化,鎖定更精準的目標攻擊,也讓資安威脅愈來愈嚴峻。

以電子郵件為攻擊途徑的變臉詐騙(Business Email Compromise, BEC)攻擊手法就是一例,但駭客使用的並非新興技術,而是轉而利用人性,選擇「投資報酬率」最高的方式鎖定攻擊。

2016年崛起的勒索軟體,由於會鎖住企業和使用者的電腦資料,讓企業和使用者很不方便,因而付贖金(比特幣),但是以影響層面來說,BEC這類低成本高收益的攻擊,將是台灣企業2017年需要高度重視的資安威脅風險。

「投資報酬率高!」BEC詐騙金額超過新台幣900億元

根據統計,近兩年全球BEC的累計金額為新台幣900億元,平均每起案件金額便高達400多萬元。

BEC受害後的金額高,對企業產生很大的威脅。趨勢科技亞太區前瞻資安威脅研究團隊資深經理弗洛斯(Ryan Flores)說,「一切都是因為錢!」通常駭客從網路攻擊中想獲取的,不外乎交易秘密或者產品專利這兩種。

弗洛斯說,智慧財產權的攻擊算是對競爭者的目標型攻擊,攻擊者會一直嘗試。若是從財務動機出發的話,BEC比起其他類型的攻擊比例高。

弗洛斯進一步解釋,駭客用勒索軟體平均詐騙金額是1.7萬至7萬美元,但是也要花錢買技術、工具及架設設備,平均每個公司要花2千美元。

相反地,如果是BEC的話,平均詐騙金額是14萬美元,等於是勒索軟體8倍左右,但駭客只要運用社交工程、發Email,就有機會入侵企業內部關鍵人物的電腦。「如果從『事業』的角度來看,『投資報酬率』比較高!」弗洛斯無奈地說。

勒索病毒攻擊與變臉詐騙企業平均損失金額比較。
趨勢科技

根據趨勢科技與國際刑警組織(INTERPOL)共同發布的調查顯示,全球變臉詐騙駭客最常鎖定的產業目標,前三大都是常用電子郵件進行國家交易往來溝通的產業,包括 製造、食品以及零售產業 ,因為這些產業通常都有國外客戶,同時又對資安的警覺性很低。

2016年BEC詐騙的產業排名。
取自趨勢科技與國際刑警組織(INTERPOL)

受BEC攻擊最多的國家前三名分別為 美國、中國和印度 ,其他國家以英語系國家為最多。

2016年BEC詐騙的國家排名。
取自趨勢科技與國際刑警組織(INTERPOL)

BEC詐騙手法大公開

駭客通常會使用社交工程技巧來詐騙,第一種方式是,偽照資料,透過釣魚郵件詢問網站服務、報價等信件來確認窗口,通常會鎖定經手交易的相關人員,例如財務長、採購人員。

BEC詐騙偽造的寄件者比例,以執行長(總經理)為最多。
趨勢科技

根據趨勢科技的 BEC 詐騙電子郵件監控資料顯示,駭客最常假冒的主管代表是執行長,其次則為企業總裁與總經理,而財務長則為最容易收到詐騙信的第一名。

此外,駭客會去註冊一個跟企業官方服務信箱很像的網域發信,降低對方戒心,讓與公司往來的客戶或合作夥伴以為一直是跟公司窗口溝通,公司人員可能不小心就把匯項匯給駭客。

甚至,駭客還有可能偽裝成公司的高階主管包括總經理、財務長、技術長,或是會計師、律師等代表,欺騙公司員工匯款。

第二種方式是,入侵公司窗口的電子信箱。駭客可能即時攔截與竄改付款文件的電子郵件,改成駭客的付款帳號。或者駭客也可能入侵員工的電子郵件帳號,以其身分要求該公司的客戶或合作夥伴匯款至指定的詐騙用帳戶。日前發生的台灣某製造廠商的變臉詐騙案即是此手法。

過程中可能夾帶有病毒的附檔或者連結,例如「鍵盤側錄後門程式」,直接記錄對方鍵盤輸入的所有資料,還有瀏覽器中儲存帳號、密碼的網站瀏覽小檔案(cookies),以及重要資料的螢幕截圖,再傳回駭客手中。這種鍵盤側錄程式,只需要台幣100至200元。

BEC網路詐騙的幕後黑手是西非年輕人

弗洛斯與FBI、國際刑警組織(INTERPOL)合作三年,從許多資料研究出詐騙犯罪者的背景,他分析,犯罪者多來自奈及利亞、迦納等西非國家。

犯罪者普遍年輕,年齡介於20至30歲之間,18歲以下占11.76%、19至20歲占35.29%、30至39歲占23.53%。通常都大學畢業,英文還不錯,找不到工作,就投入網路詐騙。

他形容這些犯罪駭客,「非常有錢!他們還開賓士車。」會分享資訊,彼此學習。

西非國家詐騙罪犯的年齡範圍。
取自趨勢科技與國際刑警組織(INTERPOL)

除了BEC詐騙之外,這群人也會做「浪漫詐騙」,在社群媒體放上好看男人的假照片,跟女性建立關係,進而詐騙金錢,或者要求對方經手帳戶交易,提供5至10%的手續費,讓對方在不知情的情況下變成經手洗錢的「網路車手」。

或者,犯罪者可能在非洲、奈及利亞等國家,招聘「帳戶管理員」職位,工作者只要幫忙轉帳交易就可以得到30%手續費,一旦網路車手被抓到,由於工作者不知情這是犯罪行為,認為自己只是應徵工作,以美國法律來判定犯罪意圖,這些網路車手通常不會被判罪。

所以,這群「幕後黑手」透過網路車手,入侵電腦也往往會清除痕跡,於是很難被抓到。

防範BEC詐騙四步驟

企業一旦受害,由於企業對企業的匯款沒有銀行法或是消費者保護等法律追回的機制,往往是求助無門。

弗洛斯說,「BEC防範非常困難!大部分受害者沒有意識到發生什麼事,付了錢後,執行長、供應商都說不是我寄的!報案後才知道被騙!」

趨勢科技技術顧問簡勝財補充台灣的情況,BEC已經講了2至3年,台灣中小企業通常發生事情才會知道被詐騙,「企業往往不覺得資安是最重要的事,所以公司內部的資安教育很重要!」他有三點建議企業,盡量不要用免費網路信件空間、不要共用帳號,設立該有的基本防護,例如端點防護軟體。

弗洛斯指出,首先,公司相關人員資安教育很重要,特別是管錢、管財務帳戶的管理和執行階層,包括執行長、高階主管、採購類人員。

其次,建立公司內部的內控機制,要有「使用者並非平等」的思維,設定不同的權限,並建立交易的內控機制。弗洛斯舉例,像是交易時要輸入密碼,或者加進超過1千美元的話,必須讓某個人去核實和確認帳號的流程,或者執行長提供一些帳號清單,不在清單上的帳號就要特別確定。

第三,個別員工方面,除了不點選釣魚郵件中來路不明的連結和附件檔案之外,弗洛斯提醒,也要特別留意「緊急通知」或「付款到期」等字詞的信件,並對收件位址、寄件位址、回覆時位址的E-mail仔細察看,以免被很類似的假信箱欺騙,付款文件要再次確認收到的銀行帳號。

第四,弗洛斯說,鼓勵企業把攻擊回報給資安組織CERTs或LEs(台灣的話是國家資通安全通報應變網站),把攻擊的案例回饋到更大的社群之中,這樣才能讓所有人都受惠,減少彼此受害的機會。

延伸閱讀

每日精選科技圈重要消息