BEC商務電子郵件入侵(Business Email
Compromise),通常BEC詐騙都會針對企業、機關單位中與金融相關的職位進行攻擊,如:會計、高階主管等。此種攻擊鎖定個人為目標精心策畫,駭客可能會從其他網站購買受害者的機密資訊(如:電子郵件的帳密),或是觀察受害者在社群媒體中發佈的貼文擬定BEC攻擊。
五種詐騙手法
偽造郵件來源
偽造信件內的From欄位地址,但真實信件來卻來自不同網域。
回覆信件網域不同
信件回覆地址與信件來源地址的網域不同,寄件人地址為This email address is being protected from spambots. You need JavaScript enabled to view it.,但回覆地址卻是This email address is being protected from spambots. You need JavaScript enabled to view it.。
寄件者詐騙
偽造信件來源地址,且沒有信件回覆地址,因此收件者無法回信溝通,這類信件內容通常帶有完整的匯款資訊與指令。
相似網域詐騙
攻擊者故意將網域打得和收件者網域類似,如This email address is being protected from spambots. You need JavaScript enabled to view it.被更改為This email address is being protected from spambots. You need JavaScript enabled to view it.
具急迫性郵件
BEC詐騙的信件標題與內文中常含有某些特徵字詞(例如緊急、請求、匯款、帳單、合約等),用意在於引起收件者的注意,並以時間急迫性為由,迫使收件者快速處理。
BEC詐騙得逞原因
利用社交工程陷阱
社交工程技巧巧妙地運用人類情感,如:同理心、好奇、恐懼等,藉此誘使人們掉入社交工程陷阱之中。
不會顯示郵件異常流量
由於BEC攻擊通常都是精心、針對個人的攻擊,不會大量發送電子郵件,因此會順利通過郵件異常流量偵測。
使用合法來源與網域
大規模網路釣魚攻擊的來源IP位址通常會很快被列入黑名單之中,由於BEC攻擊的郵件數量較少,可以使用具有中立或是良好聲譽的IP位址作為其來源,甚至看起來像是真實的人。
來自合法電子郵件帳戶
它們可能會使用以前被入侵的電子郵件,在被入侵的當事人不知情的情況下,以他們的名義傳送郵件,因此電子郵件實際上可能來自合法的電子郵件地址。
眾至郵件伺服器面對BEC攻擊的解決方案
異常寄送偵測
可設立異常寄送規則,如設立主旨、附件、內文前幾個字相同者會將郵件直接送至隔離區內,或是當一次收到幾封同樣的信件,郵件也會直接進入隔離區或是設定為封鎖寄件者IP,為收件者把關收下來的信件。
SPF/DKIM/DMARC
SPF能抵擋非法主機偽造合法網域寄出的信件,過濾寄件者網域、來源IP。DKIM網域驗證使用數位簽章防止郵件內容遭到竄改。DMARC架構則必須搭配SPF或DKIM驗證使用,幫助使用者處理未經驗證的信件。