----以下新聞轉載自YAHOO新聞---2019/10/15-----------------
電郵詐騙 一個字母坑千萬聯合新聞網--記者何佩儒/專題報導--2019年10月11日 上午10:15「交易款項上個月就已經匯給美國廠商了,一直沒有收到貨,今天打電話去問國外供應商,對方卻說沒有這筆交易!」位在竹科的這家科技公司,平時都是以電子郵件與國外供應商聯繫,多年來運作都很順利,這次卻出了大問題。總經理氣急敗壞,一開始以為對方沒有誠信,於是調出當初往來的信件,因為有一筆訂單,雙方在價格上僵持不下,但有天對方突然說願意接受較低的價格,但必須儘速匯款到某個帳戶,公司以為生意成交了,不疑有他立刻匯了款,但一直沒收到貨,經雙方多次確認,才驚覺遭詐騙。財務經理仔細比對,雙方原來都用XXX@mycompany.com聯繫,後來降價訊息的郵件卻是用相似的XXX@mycompony.com,一字之差讓公司損失好幾千萬元。這樣的手法,正是駭客精心布局,運用時間的緊迫性,所完成的企業電子郵件詐騙(Business Email Compromise,BEC)。公司的電子郵件早已被駭,而且駭客已潛伏了一段時間,知道雙方正在洽談合約,在看似一切都很合理的情況下,以假郵件方式詐騙得手。電子郵件是企業對客戶、供應鏈溝通的主要管道,近兩年BEC案件頻傳,手法也不斷翻新,被駭的常是總經理、財務經理等主管, 就算事後察覺,匯出去的款項再也回不來了;更多企業因商譽考量,遇到了不敢聲張,損失只能默默「吞下去」。其實企業使用電子郵件少說也有20年,為何這幾年才出現不少企業電子詐騙案的「受災戶」?除因企業對電子郵件仰賴度提高,許多中小企業採用免費的電子郵件系統,管理上容易出現漏洞;就算是大型企業也可能因員工一時疏失,駭客就能得逞。而隨著科技日新月異,駭客的詐騙手法也愈來愈創新。趨勢科技台灣區及香港區總經理洪偉淦表示,新的科技對駭客來說也創造了新機會,包括現在很夯的人工智慧(AI)、機器學習、區塊鏈等應用,駭客一應俱全。駭客可以用AI發掘企業的漏洞,攻擊速度比過去快上許多。企業常運用的深度學習(DeepLearning),駭客也有深度偽造(DeepFake),可將知名人物在網路上「換臉」,製造假新聞或惡作劇,不僅郵件可能用來詐騙,連視訊會議的對象都可能是假的。在眾多威脅中,企業電子郵件因為對駭客來說成本最低,成功率高,可說是高性價比(CP)的生意,近來更是層出不窮。網擎資訊表示,駭客也有標準作業流程(SOP),包括先廣發有釣魚網站的信件,員工收到一封信箱已滿提醒或訂閱到期通知,信中附上連結,請員工進行續約。一旦有人「上鉤」連進去網站,駭客即可透過木馬程式監看這位員工信箱的內容。這類電郵詐騙手法,還包括運用簡單的郵件傳輸協議中缺乏寄件人身分驗證機制,駭客可偽造寄件人地址或回覆的電子郵件地址,讓企業以為是海外客戶所發的信件,因時差因素未即時確認,錢匯出去後就再也回不來了。
----------------------------------------------------------------
