BEC詐騙防護

BEC商務電子郵件入侵（Business Email Compromise），通常BEC詐騙都會針對企業、機關單位中與金融相關的職位進行攻擊，如：會計、高階主管等。此種攻擊鎖定個人為目標精心策畫，駭客可能會從其他網站購買受害者的機密資訊（如：電子郵件的帳密），或是觀察受害者在社群媒體中發佈的貼文擬定BEC攻擊。

五種詐騙手法

偽造郵件來源

偽造信件內的From欄位地址，但真實信件來卻來自不同網域。

回覆信件網域不同

信件回覆地址與信件來源地址的網域不同，寄件人地址為Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它，但回覆地址卻是Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它。

寄件者詐騙

偽造信件來源地址，且沒有信件回覆地址，因此收件者無法回信溝通，這類信件內容通常帶有完整的匯款資訊與指令。

相似網域詐騙

攻擊者故意將網域打得和收件者網域類似，如Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它被更改為Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它

具急迫性郵件

BEC詐騙的信件標題與內文中常含有某些特徵字詞（例如緊急、請求、匯款、帳單、合約等），用意在於引起收件者的注意，並以時間急迫性為由，迫使收件者快速處理。

BEC詐騙得逞原因

利用社交工程陷阱

社交工程技巧巧妙地運用人類情感，如：同理心、好奇、恐懼等，藉此誘使人們掉入社交工程陷阱之中。

不會顯示郵件異常流量

由於BEC攻擊通常都是精心、針對個人的攻擊，不會大量發送電子郵件，因此會順利通過郵件異常流量偵測。

使用合法來源與網域

大規模網路釣魚攻擊的來源IP位址通常會很快被列入黑名單之中，由於BEC攻擊的郵件數量較少，可以使用具有中立或是良好聲譽的IP位址作為其來源，甚至看起來像是真實的人。

來自合法電子郵件帳戶

它們可能會使用以前被入侵的電子郵件，在被入侵的當事人不知情的情況下，以他們的名義傳送郵件，因此電子郵件實際上可能來自合法的電子郵件地址。

眾至郵件伺服器面對BEC攻擊的解決方案

兩步驟驗證

在個人信箱設定介面中可以開啟兩步驟驗證，透過Google Authenticator、LINE、備用EMAIL信箱都能即時驗證，若信箱有異常登入的情形發生，系統也會寄送通知信警示使用者注意信箱安全。

使用者認證異常

自動偵測及封鎖使用者認證異常的來源IP。認證方式：包含使用SMTP、POP3、IMAP、SMTPS、IMAPS等所有協定進行登入認證。

防範強硬的猜密碼式攻擊

在指定時間範圍內，同一IP輸入固定錯誤次數，便會自動封鎖該IP。

密碼強度管理之限制

為防止員工設置過於簡單的密碼，管理介面中可指定密碼強度限制，像是：密碼需要包含大寫英文、符號或密碼長度需要超過多少字元。

郵件加密

依據自訂規則來加密郵件，包括關鍵字、選擇網域、收件者比對等規則來進行加密，另外也能夠加密PDF或ZIP檔案，透過固定密碼與隨機密碼之方式加密檔案，管理者可設定收件者是否收到一封密碼信以解密。

敏感個資過濾

針對有敏感個資郵件進行過濾稽核設定。敏感個資包括身分證字號、電話號碼、生日、信用卡卡號、電子郵件等個人資料。

異常寄送偵測

可設立異常寄送規則，如設立主旨、附件、內文前幾個字相同者會將郵件直接送至隔離區內，或是當一次收到幾封同樣的信件，郵件也會直接進入隔離區或是設定為封鎖寄件者IP，為收件者把關收下來的信件。

專屬郵件簽章

收件者以信件中的連結與寄件者的郵件主機比對原始郵件內容，降低信件被竄改的風險。

SPF/DKIM/DMARC

SPF能抵擋非法主機偽造合法網域寄出的信件，過濾寄件者網域、來源IP。DKIM網域驗證使用數位簽章防止郵件內容遭到竄改。DMARC架構則必須搭配SPF或DKIM驗證使用，幫助使用者處理未經驗證的信件。

自訂稽核條例

管理者能針對不同部門設定稽核條例和權限，有效管理所有郵件。管理者可自訂過濾條件，如針對收寄件者、表頭、郵件主旨、郵件內容、來源IP、附件大小等進行過濾，對符合稽核條例的郵件實施隔離、刪除、發送通知信、抄送副本等動作。若負責人請假，可設定代理稽核人員接手稽核程序。

回信-異常寄件者確認功能

此功能在當郵件為回信時，將檢查寄件者是否為首次寄件或寄件者IP為首次來信，並會在主旨附加提示文字。

保存稽核郵件

為利事後稽核，可根據各部門需求產生統計報表，包括使用者流量統計、稽核處理方式等主題，方便資安人員做後續的調查。

SMTP認證漏洞

此功能能夠判斷寄件者名稱與認證帳號是否相符，若不符合的話會封鎖住該來源IP。