BEC商務電子郵件入侵(Business Email
Compromise),通常BEC詐騙都會針對企業、機關單位中與金融相關的職位進行攻擊,如:會計、高階主管等。此種攻擊鎖定個人為目標精心策畫,駭客可能會從其他網站購買受害者的機密資訊(如:電子郵件的帳密),或是觀察受害者在社群媒體中發佈的貼文擬定BEC攻擊。
五種詐騙手法
偽造郵件來源
偽造信件內的From欄位地址,但真實信件來卻來自不同網域。
回覆信件網域不同
信件回覆地址與信件來源地址的網域不同,寄件人地址為Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它,但回覆地址卻是Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它。
寄件者詐騙
偽造信件來源地址,且沒有信件回覆地址,因此收件者無法回信溝通,這類信件內容通常帶有完整的匯款資訊與指令。
相似網域詐騙
攻擊者故意將網域打得和收件者網域類似,如Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它被更改為Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
具急迫性郵件
BEC詐騙的信件標題與內文中常含有某些特徵字詞(例如緊急、請求、匯款、帳單、合約等),用意在於引起收件者的注意,並以時間急迫性為由,迫使收件者快速處理。
BEC詐騙得逞原因
利用社交工程陷阱
社交工程技巧巧妙地運用人類情感,如:同理心、好奇、恐懼等,藉此誘使人們掉入社交工程陷阱之中。
不會顯示郵件異常流量
由於BEC攻擊通常都是精心、針對個人的攻擊,不會大量發送電子郵件,因此會順利通過郵件異常流量偵測。
使用合法來源與網域
大規模網路釣魚攻擊的來源IP位址通常會很快被列入黑名單之中,由於BEC攻擊的郵件數量較少,可以使用具有中立或是良好聲譽的IP位址作為其來源,甚至看起來像是真實的人。
來自合法電子郵件帳戶
它們可能會使用以前被入侵的電子郵件,在被入侵的當事人不知情的情況下,以他們的名義傳送郵件,因此電子郵件實際上可能來自合法的電子郵件地址。
眾至郵件伺服器面對BEC攻擊的解決方案
異常寄送偵測
可設立異常寄送規則,如設立主旨、附件、內文前幾個字相同者會將郵件直接送至隔離區內,或是當一次收到幾封同樣的信件,郵件也會直接進入隔離區或是設定為封鎖寄件者IP,為收件者把關收下來的信件。
SPF/DKIM/DMARC
SPF能抵擋非法主機偽造合法網域寄出的信件,過濾寄件者網域、來源IP。DKIM網域驗證使用數位簽章防止郵件內容遭到竄改。DMARC架構則必須搭配SPF或DKIM驗證使用,幫助使用者處理未經驗證的信件。