微軟 Cyber Signals 研究：利用企業電子郵件詐騙數量大幅上升

微軟發佈了第四版 Cyber Signals，數據顯示利用企業電子郵件詐騙（business email compromise, BEC）在近期大幅上升，本期《Cyber Signals》主要聚焦在企業電子郵件詐騙的網絡犯罪手法及防禦建議。根據微軟觀察，2019 年至 2022 年期間，針對企業電子郵件的網路犯罪即服務（CaaS）增加了 38%。

企業電子郵件詐騙案件正在成長，詐騙成功將使組織每年損失數億美元。根據美國聯邦調查局（FBI）調查報告，有超過 21,000 件企業電子郵件詐騙的投訴，調整後的損失仍超過 27 億美元。2022 年，美國聯邦調查局（FBI）的資產追回小組就針對 2,838 起涉及美國國內交易且潛在損失超過 5.9 億美元的 BEC 投訴啟動了金融詐騙攻擊鏈（Financial Fraud Kill Chain, FFKC）。由此可見 BEC 詐騙對於企業組織的運作已經造成嚴重的衝擊。

BEC 攻擊在網路犯罪產業中之所以能夠脫穎而出，主要來自於其對社交工程與詐騙的了解。在 2022 年 4 月至 2023 年 4 月期間，微軟威脅情報數位犯罪機構偵測並調查了 3,500 萬次 BEC 嘗試攻擊，平均每天嘗試 15.6 萬次。並在 2022 年 5 月至 2023 年 4 月成功下架 417,678 個釣魚網站連結。

常見的 BEC 攻擊手法

威脅攻擊者使用 BEC 詐騙會採取多種形式，包括透過電話、簡訊、電子郵件或社群媒體。偽造身份驗證請求的訊息以及冒充個人或公司身份也是常見的攻擊手法。

BEC 詐騙並不是利用未修補裝置中的漏洞進行攻擊，而是利用每天大量的電子郵件和其他訊息來誘騙受害者提供財務資訊或採取某些行動，如引導受害者在不知情的情況下將資金匯入幫助犯罪分子進行詐欺性資金轉移的洗錢帳戶。

與具有破壞性勒索訊息嘈雜的勒索軟體攻擊不同，BEC 的攻擊者採取一種低調的信任遊戲，利用虛構的截止日期來引誘可能分心或習慣於此類緊急請求的收件者上鉤。BEC 攻擊者沒有使用新穎的惡意軟體，而是將他們的手法與重點放在提高惡意訊息的規模、可信度和提高收件者開信率的工具上。

BulletProftLink等平台助長BEC詐騙犯罪活動

微軟觀察到攻擊者利用如BulletProftLink等平台來進行詐騙的顯著趨勢，BulletProftLink是一種用於創建產業規模惡意郵件活動的熱門服務，它提供端到端的服務，包括攻擊範本、主機託管和 BEC 自動化服務。使用此 CaaS 的攻擊者還能夠獲得IP 位址以幫助 BEC 攻擊者進行攻擊對象的選擇。

BulletProftLink去中心化閘道設計，包括用於託管網絡釣魚和 BEC 站點的網際網路電腦區塊鏈節點。它創建了一個更加複雜且難以被阻斷的去中心化網路服務，並將這些網站的基礎設施散佈在複雜且不斷發展的公共區塊鏈中，使得識別它們以及下架行動變得更加複雜。

雖然已經發生了幾次利用住家 IP 位址的攻擊並引發關注，但微軟與執法部門和其他組織一樣擔心這種趨勢可能會迅速擴展，使傳統警報或通知難以偵測到此類活動。

儘管威脅攻擊者已經建立了專門的工具來強化 BEC 詐騙，包括網路釣魚套件和針對領導階層、應付帳款負責人和其他特定角色等已經通過驗證的電子郵件清單，但企業可以採取一些方法來預防攻擊並降低風險。

降低網路風險需要透過包含 IT、合規、網路風險管理人員、執行長、領導者、財務人員、人力資源主管以及其他有權存取員工記錄（如身份證字號、稅務報表、聯絡資訊和行事曆）的人員等跨部門一起參與討論並提供解決方案，BEC 的攻擊凸顯跨部門合作的重要性。

打擊BEC詐騙的建議

• 使用安全的電子郵件解決方案：現今雲端平臺的電子郵件服務使用如機器學習的 AI 功能來強化防禦，增加進階網路釣魚防護和可疑信件轉發偵測。其中，用於電子郵件和生產力相關的雲端應用還提供持續並自動的軟體更新以及安全政策集中化管理的優勢。
• 保護身份以禁止橫向移動：進行身份識別的保護是打擊 BEC 詐騙的關鍵要點。透過零信任和自動化識別管理來控制對應用程式以及資料的存取權。
• 採用安全的支付平台：建議將透過電子郵件寄送發票的模式轉換成使用專門為驗證付款設計的系統。
• 強員工對不安全訊號警惕性的教育訓練：持續教育員工如何辨識詐騙和其他惡意的電子郵件，例如網域和電子郵件位址不符，以及了解成功的BEC攻擊所帶來的風險和成本。

完整報告請參考 Cyber Signals 網站及第四期《Cyber Signals》研究報告，並可從部落格文章中閱讀更多內容。欲進一步了解網路犯罪經濟以及企業如何保護自己，請參考微軟安全部落格。