Skip to content

【網管人報導】BEC鑑識服務抓漏 補強弱點杜絕事件重演

專業團隊徹底檢視流程破口 工具偵測告警提高人員警覺

BEC鑑識服務抓漏 補強弱點杜絕事件重演

為了協助眾多遭受商務電子郵件詐騙(BEC)的企業還原真相,釐清遭利用來發動攻擊的弱點環節,加以改善或增添檢核措施,以免事故重複發生,中華數位除了自主研發郵件安全防護方案,亦提供 BEC 鑑識服務,幫助企業制定規範控管政策,全面性地降低資安風險。

中華數位科技觀察,實際上 BEC 事件如同病毒威脅,不僅無法被滅絕,且手法持續在轉變,再加上近十年來詐騙者發動BEC活動變得更駕輕就熟、具規模化,皆是這類事件不減反增的主因。

並進一步指出,近期資安威脅熱門議題包含勒索、恐嚇、詐騙、BEC,彼此之間容易被混淆,中華數位提供的 BEC 鑑識服務定義較為明確,關鍵在於郵件中必須存在欺騙者、擁有公司內部不可能對外公開的資訊,才會被認定為 BEC,若是基於公開資訊設計的釣魚郵件則屬於一般詐騙,代表詐騙者未掌握企業內部工作流程,則不具鑑識的必要。

先行定義遭受資安威脅類別


企業內部業務執行現況若未公開,外界根本難以得知,BEC 詐騙居然可精準描述,表示內部出現資安漏洞而管理者不自知,中華數位特別提出BEC鑑識服務協助客戶釐清問題根源。一旦出現 BEC 詐騙郵件,不論收件者是否有上當,都必須得嚴肅看待。

既然詐騙者已經對企業內部營運狀況進行詳盡研究,勢必會不斷地嘗試,即使企業不幸已被騙取得逞也不會免疫,仍可能再次發生類似事件,除非釐清詐騙者得以成功的關鍵漏洞,並且加以改善或修補,才可能破除詐騙者為企業量身訂製的攻擊策略。

「前述提到容易被混淆的資安事件,這是我們在郵件安全領域累積的實戰經驗。」實際上勒索、恐嚇、詐騙、BEC 手法皆雷同,BEC 的關鍵問題是內部資訊洩漏;詐騙則屬於單純的社交工程手段;恐嚇是揚言若不付錢就發動癱瘓式攻擊,但不見得會有所行動;至於勒索的作法,參考近期 FBI 調查的現況,較恐嚇增加了火力展示,讓企業感受到壓力,擔心營運受影響而支付勒索金。

國際駭客組織一旦確立可成功獲利的方法後,勢必會相互模仿,並且依據擅長的技術發動攻擊,其中勒索須花費的成本可說最高,必須得先有所作為,讓資安事件影響正常營運後再要求企業支付贖金。然而恐嚇則不用,只宣稱即將要攻擊卻尚未有所動作。

為了獲取利益,攻擊者往往會交錯運用,企業得先行定義面臨的現況,以便制定回應的策略。可是企業 IT 管理者不擅長分析外部威脅手段,難以清楚釐清前述四種威脅差異之處,委由專業團隊協助才可有效杜絕後患。

專業團隊鑑識釐清弱點環節


從近年來中華數位協助企業處理 BEC 鑑識的經驗發現,幾乎都包含電子郵件帳號入侵(Email Account Compromise),因此大多會從此處開始著手調查,若企業採用 Gmail 等雲端郵件服務,無法取得相關日誌,恐難以釐清真相。「欲防止 BEC 事件再次發生,必須搭配部署實體設備,無法僅仰賴員工防線。」

今年(2020)較特別的是 BEC 事件數量上半年就已經較去年同期增長了 2.82 倍,主要影響因素即為 COVID-19 爆發,全球各地皆實施居家辦公,原本企業有多個正式的聯繫管道,如辦公室電話、Email 等;居家辦公後,聯絡方式開始受限或轉為私人聯繫管道,這時就變得難以確認與查證,仍得仰賴郵件聯繫,使得確認程序較難以達到即時性,導致居家辦公時期BEC成功的機率較高。另一方面,居家辦公使用的電腦多為員工私人裝置,甚至採用私人信箱統一收取郵件,使得資安風險大增。

在疫情尚未出現之前,企業對於遠端辦公根本毫無準備,面對來勢洶洶的 COVID-19 全球大流行,被迫得先行實施居家辦公防疫,之後再調整控管政策來適應新常態。日前台灣某銀行海外據點所發生的 BEC 事件,損失 45 萬美元,即是居家辦公委由代理人執行匯款,未建立再確認程序才得以被詐騙者利用得逞。

「遭遇 BEC 事件不論是否有釀成損失,建議都必須交由專業團隊鑑識,才能夠找到資安防護的缺口,以免再次發生。至於受騙款項須仰賴金融防線,若能第一時間發現受騙上當,或許尚可在款項真正撥付之前進行攔截。」中華數位表示。BEC 鑑識服務會協助檢查工作流程中的弱點環節,並且建議設立多重檢查,例如落實覆核機制,特別是大筆款項,依照公司規模與承受的風險,在規範中增加必須再次聯繫確認的項目。

設置防護機制輔助降低風險


經過 BEC 鑑識服務檢視工作流程之後,可搭配中華數位 SPAM SQR 郵件過濾方案搭配 ADM(Advanced Defense Module)進階防禦模組,輔助預防人力所無法察覺的異常或是疏漏。

中華數位說明,最初發展 ADM 主要是為了防堵 APT 攻擊手法,如今已延伸至辨識 BEC 與詐騙的能力。BEC 手法較具針對性,需客製化郵件內容,ADM 模組可運行分析辨識攻擊慣用的策略執行判斷;若為詐騙手法則更多是無差別式攻擊,攻擊者通常會申請多個惡意網域或郵件帳號,則可基於中華數位累積的龐大資料庫輔助辨識。

中華數位建議,欲防堵爆發 BEC 事件或被詐騙成功,首要必須從控管政策著手,制定標準工作流程,主機設定配置的偵測措施,可讓員工發現警示郵件時立即進入通報程序,嚴格把關以降低風險。

如今 BEC 手法設計的郵件主旨與內文,極相似於洽談交易時提及的相關事宜,甚至也會模仿交易對象慣用語句,如此才可取得收件者的信任,僅檢查主旨、關鍵字等指標,無法發揮實質效果,因為透過現有可用的指標無從發現,必須從行為模式分析辨識。此即為中華數位的核心技術所在。

中華數位之所以能夠辨識 BEC 行為模式,主要是基於長期發展垃圾郵件防護累積的領域知識,以及解決方案部署位置的優勢,才有能力完整掌握企業商務郵件往來的行為模式,在第一時間發現異於常態,立即提醒使用者多加留意。例如郵件系統設定的白名單中偵測到詐騙指標,抑或是使用者從垃圾郵件中撈回,SPAM SQR 會在這些類型的郵件主旨上特別標註,藉此讓使用者提高警覺心,避免爆發無法挽回的資安事故。

本文轉載自網管人 2020 年 11 月號專題

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於中華數位科技 Softnext Technologies Corp.
創立於2000年8月。
秉持著【We Secure Your Content】的服務理念,以提供企業資訊應用管理服務及打造資訊內容安全防護為宗旨。專精於提供網路應用服務技術,根據市場需求推出多款資訊內容安全的解決方案及應用服務,能夠協助企業透過符合資安管理規範並遵循法規的方式進行資訊內容安全管理,以維護員工的生產力、提升企業經營績效。

關於 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com