BEC商務電子郵件入侵(Business Email Compromise),通常BEC詐騙都會針對企業、機關單位中與金融相關的職位進行攻擊,如:會計、高階主管等。此種攻擊鎖定個人為目標精心策畫,駭客可能會從其他網站購買受害者的機密資訊(如:電子郵件的帳密),或是觀察受害者在社群媒體中發佈的貼文擬定BEC攻擊。
五種詐騙手法
偽造郵件來源
偽造信件內的From欄位地址,但真實信件來卻來自不同網域。
回覆信件網域不同
信件回覆地址與信件來源地址的網域不同,寄件人地址為Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它,但回覆地址卻是Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
寄件者詐騙
偽造信件來源地址,且沒有信件回覆地址,因此收件者無法回信溝通,這類信件內容通常帶有完整的匯款資訊與指令。
相似網域詐騙
攻擊者故意將網域打得和收件者網域類似,如Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它被更改為Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
具急迫性郵件
BEC詐騙的信件標題與內文中常含有某些特徵字詞(例如緊急、請求、匯款、帳單、合約等),用意在於引起收件者的注意,並以時間急迫性為由,迫使收件者快速處理。
BEC詐騙得逞原因
利用社交工程陷阱
社交工程技巧巧妙地運用人類情感,如:同理心、好奇、恐懼等,藉此誘使人們掉入社交工程陷阱之中。
不會顯示郵件異常流量
由於BEC攻擊通常都是精心、針對個人的攻擊,不會大量發送電子郵件,因此會順利通過郵件異常流量偵測。
使用合法來源與網域
大規模網路釣魚攻擊的來源IP位址通常會很快被列入黑名單之中,由於BEC攻擊的郵件數量較少,可以使用具有中立或是良好聲譽的IP位址作為其來源,甚至看起來像是真實的人。
來自合法電子郵件帳戶
它們可能會使用以前被入侵的電子郵件,在被入侵的當事人不知情的情況下,以他們的名義傳送郵件,因此電子郵件實際上可能來自合法的電子郵件地址。
眾至郵件伺服器面對BEC攻擊的解決方案
兩步驟驗證
在個人信箱設定介面中可以開啟兩步驟驗證,透過Google Authenticator、LINE、備用EMAIL信箱都能即時驗證,若信箱有異常登入的情形發生,系統也會寄送通知信警示使用者注意信箱安全。
使用者認證異常
自動偵測及封鎖使用者認證異常的來源IP。認證方式:包含使用SMTP、POP3、IMAP、SMTPS、IMAPS等所有協定進行登入認證。
防範強硬的猜密碼式攻擊
在指定時間範圍內,同一IP輸入固定錯誤次數,便會自動封鎖該IP。
密碼強度管理之限制
為防止員工設置過於簡單的密碼,管理介面中可指定密碼強度限制,像是:密碼需要包含大寫英文、符號或密碼長度需要超過多少字元。
郵件加密
依據自訂規則來加密郵件,包括關鍵字、選擇網域、收件者比對等規則來進行加密,另外也能夠加密PDF或ZIP檔案,透過固定密碼與隨機密碼之方式加密檔案,管理者可設定收件者是否收到一封密碼信以解密。
敏感個資過濾
針對有敏感個資郵件進行過濾稽核設定。敏感個資包括身分證字號、電話號碼、生日、信用卡卡號、電子郵件等個人資料。
異常寄送偵測
可設立異常寄送規則,如設立主旨、附件、內文前幾個字相同者會將郵件直接送至隔離區內,或是當一次收到幾封同樣的信件,郵件也會直接進入隔離區或是設定為封鎖寄件者IP,為收件者把關收下來的信件。
專屬郵件簽章
收件者以信件中的連結與寄件者的郵件主機比對原始郵件內容,降低信件被竄改的風險。
SPF/DKIM/DMARC
SPF能抵擋非法主機偽造合法網域寄出的信件,過濾寄件者網域、來源IP。DKIM網域驗證使用數位簽章防止郵件內容遭到竄改。DMARC架構則必須搭配SPF或DKIM驗證使用,幫助使用者處理未經驗證的信件。
自訂稽核條例
管理者能針對不同部門設定稽核條例和權限,有效管理所有郵件。管理者可自訂過濾條件,如針對收寄件者、表頭、郵件主旨、郵件內容、來源IP、附件大小等進行過濾,對符合稽核條例的郵件實施隔離、刪除、發送通知信、抄送副本等動作。若負責人請假,可設定代理稽核人員接手稽核程序。
回信-異常寄件者確認功能
此功能在當郵件為回信時,將檢查寄件者是否為首次寄件或寄件者IP為首次來信,並會在主旨附加提示文字。
保存稽核郵件
為利事後稽核,可根據各部門需求產生統計報表,包括使用者流量統計、稽核處理方式等主題,方便資安人員做後續的調查。
SMTP認證漏洞
此功能能夠判斷寄件者名稱與認證帳號是否相符,若不符合的話會封鎖住該來源IP。