每日打開郵件收信時，你會特別留意寄件人的電子信箱地址嗎？如果不會，那你可能就會是企業郵件詐騙（Business Email Compromise，BEC）的潛在攻擊對象。

近年來，BEC成為駭客詐財的好機會。美國聯邦調查局（FBI）公布， 2019年只占總資安事件5%的BEC詐騙，卻貢獻了一半以上的網路犯罪損失總額。 對此，區塊鏈資安應用新創公司區塊科技，也在2020年初推出BEC防詐工具「ChkSender」，為郵件安全做把關。

ChkSender工具是以Google Chrome擴增元件的方式，讓使用Chrome的用戶在Gmail信箱中進行郵件的檢測。區塊科技技術長洪啓恒表示，目前推出的工具是第一階段，未來第二階段還會再優化，加入更多AI技術，且不排除推出軟體版本供民眾下載使用。

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

刑事警察局：受騙者常匯錢到海外帳戶，追查困難

要推出BEC防詐工具，現在可說是相當好的時機。資安大廠趨勢科技先前公佈2019年度資安報告就發現，BEC詐騙逐漸深化，駭客除了模仿高層主管以外，更開始化身基層員工，詐騙的對象也從企業上層為主逐漸向公司各階層發展。

去年8月，日本汽車大廠豐田旗下子公司豐田紡織（Toyota Boshoku），就因為BEC事件而損失近40億日圓（約新台幣11.7億元）。國際大廠尚且如此，國內眾多的中小企業，更是防不勝防。

刑事警察局科技研發科的陳詰昌技正表示， BEC案件中的受害者一旦遭騙，金額常常直接匯往海外，若是帳戶所在國與台灣沒有司法互助，就難以追查。 刑事警察局統計，自2016~2018年，企業電子郵件詐騙件數分別是61、53、67件，2019年上半年約有36件，但陳詰昌表示，實際案件數恐怕要更高。

陳詰昌說，我國許多企業為出口型產業，在匯款時受害的多半是他們的合作夥伴，因此不一定會前來報案。他並指出，刑事警察局接獲的BEC案件，受害者多為中小企業，這也與他們資安意識不足的特性有關。

ChkSender不只檢查寄件者身份，更將郵件上鏈避免遭竄改

ChkSender想幫助的族群中，很大一部分就是這些不一定有足夠資安意識，時時警惕自我的用戶。區塊科技產品經理呂珮瑄說明，用戶只要下載ChkSender的擴充套件、進行註冊後，就可以在Gmail中看到信件右上角的「驗證郵件」的按鈕。進行驗證後，ChkSender會提供用戶寄件者的伺服器位置、網域名稱、網域登記的公司名稱與該公司的官網首頁截圖等資訊，確保寄件人身份無虞。

在驗證過程中，ChkSender也能找出該封信件的可疑之處如電子信箱網址等，檢查該信件是否曾遭竄改，協助用戶做初步的判斷。

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

此外，在用戶寄信時ChkSender也會提供「存證傳送」與「加密傳送」兩個選項。前者會將該封郵件的數位指紋寫到區塊鏈上，對方在收到時，系統就可透過與原信件的比對來驗證該信件是否有被竄改，進而檢查郵件的伺服器是否有受駭客侵入，提出警語，攔截郵件後改寫內容的風險。

加密傳送則是直接要求寄信方設定密碼，讓收信方必須輸入密碼後才能讀取信件，否則只能看到一串亂碼。這個功能需要收信方也有安裝ChkSender。至於沒有安裝的收信方，區塊科技也在寄去的信件內放Logo連結，導引沒有安裝的用戶下載ChkSender。

第二階段：推軟體工具，導入AI語意分析

洪啓恒表示，ChkSender目前處於第一階段的開發，第二階段會推出服務滿足Office 365的Outlook郵件用戶，也不排除將它包裝成軟體工具提供民眾下載。第二階段同時也會導入更多AI語意分析的功能，讓他們可以分析不同人的說話語氣，更精準地抓到仿冒者。

商業模式來說，ChkSender是免費提供下載的，下載後會以點數作為付費標準，舉例來說，若想針對某信件做進階驗證，就必須扣點數來換取。免費下載安裝就會送200點，點數有效期限為1年。使用進階功能如寄送郵件加密內文扣除20點、寄送區塊鏈存證信函扣除30點，驗證郵件則扣除10點。如果偵測到異常信件，ChkSender還是會免費跳出警示的視窗。

至於未來是否有可能開發App的版本？洪啓恒表示，這恐怕會是第二階段執行的後期才會來討論的事，第二階段服務的時程，目前也尚未公佈。

責任編輯：陳映璇