Spaceship 博客

甚麼是商業電郵入侵(BEC)?

每年,罪犯都會捲走數十億。唔係靠闖入高級藝術館或者銀行金庫,而係喺啱嘅時間,向啱嘅人發送啱嘅電郵。佢哋就係咁樣做嘅。

喺呢篇文章中,你會了解:

  • 商業電郵詐騙實際上係乜嘢

  • 呢啲攻擊係點樣一步一步實施嘅

  • 最常見嘅 BEC 攻擊類型

  • 一個真實世界中 3,700 萬美元攻擊案例

  • 喺企業成為目標之前,點樣保護好你嘅業務

喺網絡安全中,乜嘢係商業電郵詐騙?

商業電郵詐騙係一種網絡攻擊,當中 罪犯會冒充你信任嘅人,誘使你匯款或者交出敏感資料。令佢危險嘅地方在於耐性同部署。攻擊者會花幾個星期了解一間公司點樣溝通、邊個有決策權,以及幾時出手最好。到電郵送達時,佢睇落就似一封來自你認識嘅人嘅普通電郵。

商業電郵詐騙攻擊係點樣運作?

呢類攻擊有一套久經驗證嘅套路,而騙徒每次都會照辦。

第 1 步 – 鎖定目標

商業電郵詐騙攻擊嘅重點,就係一定要夠逼真。對攻擊者嚟講,好彩嘅係,互聯網係一個關於潛在目標嘅資訊寶庫。只要快速睇一睇你嘅社交媒體個人檔案,就可以知道你嘅工作、親密朋友,甚至你講說話嘅語氣。再將呢啲資訊同你公司未來動向嘅新聞稿,以及公司網站上嘅個人簡介拼湊埋一齊,成件事就會變得相當可信。

攻擊者可以擷取所有呢啲資訊,並喺幾秒內建立一封睇落同聽落都似真嘅電郵。

第 2 步 – 進入收件箱

要令電郵內容睇落真實,攻擊者需要為佢包裝上一個亮眼而可信嘅外殼。如果電郵地址睇落唔似嚟自可信來源,成個騙局就會即刻穿崩。

攻擊者可以透過註冊類似 acme-corp.com 而唔係 acmecorp.com 嘅名稱去偽冒網域。又或者,如果佢哋夠叻,直接入侵真正嘅收件箱,令訊息幾乎無法同真實郵件分辨。

畢竟,如果佢睇落似隻鴨,叫聲又似隻鴨,大多數人都會覺得佢就係隻鴨。

第 3 步 – 建立信任

呢類攻擊講求耐性。攻擊者可以潛伏喺被入侵嘅收件箱入面幾個星期,閱讀電郵往來並學習溝通風格。當電郵終於送到時,佢會自然融入之前嘅郵件之中,模仿對話嘅語氣同節奏。

第 4 步 – 提出要求

一旦攻擊者對你瞭如指掌——包括你講說話嘅語氣、你同事嘅姓名同職銜,以及你公司入面發生緊乜嘢——再加上佢哋已經成功滲透你嘅電郵,要求就會被發出。

通常都係一啲唔容易挽回嘅事。可能係將錢匯去某個銀行戶口,或者分享私人資訊。關鍵在於,件事一定要係不可逆轉。 

當目標意識到有問題時,攻擊者需要損害已經造成。如果佢哋特別鬼祟,甚至可能會喺節日期間發送,因為嗰陣大家戒心較低,成功機會亦更高。

第 5 步 – 消失得無影無蹤

資金一經匯出,就會迅速經過一連串中介戶口轉移。呢啲戶口通常設於海外,即使對執法部門嚟講,資金流向都非常難以追查。

商業電郵詐騙案例

商業電郵詐騙可謂數碼攻擊中嘅終極大佬。通常涉及 大型企業同令人咋舌嘅巨額金錢。 

2019 年,Toyota 其中一間主要供應商喺一次轉帳中損失咗數千萬。攻擊者入侵咗 Toyota Boshoku 嘅電郵系統,閱讀訊息並了解公司點樣溝通。當對話中提到一筆大額轉帳時,佢哋要求公司內一位有權調動資金嘅人更新該次轉帳嘅銀行戶口資料。成件事睇落合法,所以筆錢就咁匯出咗。

就係咁,3,700 萬美元,冇咗。

商業電郵詐騙攻擊類型

唔係所有商業電郵詐騙案例都一樣。當然,目標始終都係誘使人交出盡可能多嘅金錢,但手法可以非常唔同。

CEO 詐騙(高層冒充)

呢個係最廣為人知嘅 BEC 形式。攻擊者會冒充高級管理層,通常係 CEO 或 CFO,向財務部門施壓要求調動資金。之所以有效,係因為權力關係。當老闆有要求時,大多數人都唔會停低去問點解。如果再配合一個可信嘅背景故事,就足以令某人未經深思就採取行動。

供應商電郵詐騙

攻擊者針對嘅係公司外部關係,而唔係假扮公司內部人士。佢哋會鎖定受信任嘅供應商同賣方,混入現有電郵對話,將真實付款資料換成自己嘅。由受害者角度睇,呢只係一個合作多年供應商發來嘅例行發票更新。

帳戶接管

呢個係最危險嘅變種,因為完全唔涉及偽冒。攻擊者用緊嘅係真實帳戶。電郵來自真實地址,語氣亦正確。訊息睇落完全正常,因為技術上佢本身就係正常。

薪資轉向

呢種唔係針對公司資金,而係針對員工。攻擊者會冒充 HR 或員工本人,要求更新薪資資料,悄悄將人工轉去佢哋控制嘅戶口。 

受害者通常要到出糧日先會發現,而由於金額較細、要求又睇落正常,所以好少會觸發詐騙警報。呢係 BEC 較慢嘅一種版本,但只要影響到足夠多員工,損失就會好快累積。

BEC 與網絡釣魚 – 有咩分別?

網絡釣魚電郵已經存在咗好耐,而大多數人都知道佢通常係點樣。就係嗰種話你中咗獎,或者有個尼日利亞王子需要你幫忙嘅電郵。佢哋會大量發送,依靠龐大數量去碰運氣,睇下邊個會一時失神中招。

如果話網絡釣魚係一張網,BEC 就係狙擊手。攻擊者會花幾個星期研究一間公司,有時甚至係某一個特定人士。到電郵送達時,佢睇落就似你認識嘅人喺星期二朝早發來嘅訊息。

網絡釣魚通常係想攞你嘅登入憑證,但 BEC 會完全跳過呢一步,直接衝住金錢或者資料而來。

點樣識別商業電郵詐騙攻擊

BEC 攻擊係刻意設計到睇落正常。但如果你知道要留意乜,蛛絲馬跡其實係有嘅。

  • 催促感— 一封催你快速調動資金、完全唔畀你停低核實嘅電郵。

  • 突然改變 — 某個供應商或同事突然無端端更新咗佢哋嘅付款資料。

  • 幾乎一樣嘅地址 — 寄件人電郵只係同真實地址差一個字元。

  • 有啲唔對路嘅語氣— 感覺有啲古怪,太正式、太隨便,或者異常神秘。

  • 突如其來嘅要求 — 有人要求你做一件通常會經由其他渠道處理嘅事。

點樣防止商業電郵詐騙攻擊

了解呢啲攻擊點樣運作,已經贏咗一半。另一半就係確保你嘅企業唔會成為容易落手嘅目標。

拎起電話

如果有電郵要求你轉帳或者更新付款資料,唔好直接回覆。用你本身已有嘅電話號碼直接打畀對方,而唔係用電郵入面提供嗰個。只需要 30 秒,呢係你可以做嘅最有效一件事。

開啟雙重驗證

如果攻擊者攞到某人嘅登入憑證,2FA 可以阻止整個收件箱被全面接管。佢唔會阻止所有事情,但會令帳戶被入侵變得明顯更困難。

教你嘅團隊分辨乜嘢先係正常

定期培訓團隊了解 BEC 係乜、點樣運作,以及危險訊號係點樣,可以令你嘅員工成為一道防線。

善用工具分擔部分工作

垃圾郵件篩選器同網域驗證工具,例如 SPF、DKIM 同 DMARC,可以喺 BEC 嘗試到達你團隊之前先行過濾。基於 AI 嘅偵測更進一步,會學習你組織內正常嘅電郵行為模式,並標記任何可疑內容。

常見問題

商業電郵詐騙就係罪犯透過電郵冒充你信任嘅人,誘使你匯款或者分享敏感資訊。攻擊者會發送一封令人信服嘅電郵,模仿公司電郵嘅語氣,甚至使用公司電郵地址發出。

兩者有關連,但唔完全一樣。網絡釣魚係撒大網,向盡可能多嘅人發送通用電郵。BEC 攻擊則係有針對性。攻擊者會研究某一間特定公司、某一個特定人士,同某一個特定時機。結果會更加逼真,代價亦高得多。

大多數商業電郵詐騙都由資料搜集開始。攻擊者會研究公司架構同溝通方式。當佢哋掌握足夠資訊後,就會偽冒可信電郵地址,或者直接接管真實地址。

CEO 詐騙。攻擊者會冒充高級管理層,向財務部門施壓,要求快速轉帳。之所以有效,係因為大多數人都唔會質疑來自老闆嘅緊急要求。

係。商業電郵詐騙防護要由人開始。培訓你嘅團隊識別危險訊號、透過電話核實付款要求,並使用 2FA 同 DMARC 等工具,令你嘅電郵更難被入侵。冇任何單一措施係萬無一失,但正確組合可以令你成為一個更難下手嘅目標。


推薦文章

分享您的想法

需要超過 10 個字符。
您的公開顯示身份。
提供您的電子郵件地址是可選的。它不會與第三方共享。

幫助我們改進博客

在快速的兩分鐘調查中分享您的想法。

必須提供有效的電郵地址