微軟(Microsoft)釋出了第四版 Cyber Signals,數據顯示利用企業電子郵件詐騙(BEC)在近期大幅上升。據微軟觀察,2019 年至 2022 年期間,針對企業電子郵件的網路犯罪即服務(CaaS)增加了 38%。
企業電子郵件詐騙案件正在成長,詐騙成功將使組織每年損失數億美元。根據美國聯邦調查局(FBI)調查報告,有超過 21,000 件企業電子郵件詐騙的投訴,調整後的損失仍超過 27 億美元。
2022 年美國 FBI 的資產追回小組就針對 2,838 起涉及美國國內交易且潛在損失超過 5.9 億美元的 BEC 投訴啟動了金融詐騙攻擊鏈(Financial Fraud Kill Chain, FFKC)。由此可見 BEC 詐騙對於企業組織的運作已經造成嚴重的衝擊。
BEC 攻擊在網路犯罪產業中之所以能夠脫穎而出,主要來自於其對社交工程與詐騙的了解。在 2022 年 4 月至 2023 年 4 月期間,微軟威脅情報數位犯罪機構偵測並調查了 3,500 萬次 BEC 嘗試攻擊,平均每天嘗試 15.6 萬次。並在 2022 年 5 月至 2023 年 4 月成功下架 417,678 個釣魚網站連結。
常見的 BEC 手法有哪些?
微軟指出,威脅攻擊者使用 BEC 詐騙會採取多種形式,包括透過電話、簡訊、電子郵件或社群媒體。偽造身分驗證請求的訊息以及冒充個人或公司身分也是常見的攻擊手法。
BEC 詐騙並不是利用未修補裝置中的漏洞進行攻擊,而是利用每天大量的電子郵件和其他訊息來誘騙受害者提供財務資訊或採取某些行動,如引導受害者在不知情的情況下將資金匯入幫助犯罪分子進行詐欺性資金轉移的洗錢帳戶。
與具有破壞性勒索訊息嘈雜的勒索軟體攻擊不同,BEC 的攻擊者採取一種低調的信任遊戲,利用虛構的截止日期來引誘可能分心或習慣於此類緊急請求的收件者上鉤。BEC 攻擊者沒有使用新穎的惡意軟體,而是將他們的手法與重點放在提高惡意訊息的規模、可信度和提高收件者開信率的工具上。
微軟觀察到攻擊者利用如 BulletProftLink 等平台來進行詐騙的顯著趨勢,BulletProftLink 是一種用於創建產業規模惡意郵件活動的熱門服務,它提供端到端的服務,包括攻擊範本、主機託管和 BEC 自動化服務。使用此 CaaS 的攻擊者還能夠獲得 IP 位址以幫助 BEC 攻擊者進行攻擊對象的選擇。
BulletProftLink 去中心化閘道設計,包括用於託管網絡釣魚和 BEC 站點的網際網路電腦區塊鏈節點。它創建了一個更加複雜且難以被阻斷的去中心化網路服務,並將這些網站的基礎設施散佈在複雜且不斷發展的公共區塊鏈中,使得識別它們以及下架行動變得更加複雜。
雖然已經發生了幾次利用住家 IP 位址的攻擊並引發關注,但微軟與執法部門和其他組織一樣擔心這種趨勢可能會迅速擴展,使傳統警報或通知難以偵測到此類活動。
儘管威脅攻擊者已經建立了專門的工具來強化 BEC 詐騙,包括網路釣魚套件和針對領導階層、應付帳款負責人和其他特定角色等已經通過驗證的電子郵件清單,但企業可以採取一些方法來預防攻擊並降低風險。
降低網路風險需要透過包含 IT、合規、網路風險管理人員、執行長、領導者、財務人員、人力資源主管以及其他有權存取員工記錄(如身分證字號、稅務報表、聯絡資訊和行事曆)的人員等跨部門一起參與討論並提供解決方案,BEC 的攻擊凸顯跨部門合作的重要性。
資料來源:科技新報