【網管人報導】BEC鑑識服務抓漏　補強弱點杜絕事件重演

專業團隊徹底檢視流程破口　工具偵測告警提高人員警覺

BEC鑑識服務抓漏　補強弱點杜絕事件重演

為了協助眾多遭受商務電子郵件詐騙（BEC）的企業還原真相，釐清遭利用來發動攻擊的弱點環節，加以改善或增添檢核措施，以免事故重複發生，中華數位除了自主研發郵件安全防護方案，亦提供 BEC 鑑識服務，幫助企業制定規範控管政策，全面性地降低資安風險。

中華數位科技觀察，實際上 BEC 事件如同病毒威脅，不僅無法被滅絕，且手法持續在轉變，再加上近十年來詐騙者發動BEC活動變得更駕輕就熟、具規模化，皆是這類事件不減反增的主因。

並進一步指出，近期資安威脅熱門議題包含勒索、恐嚇、詐騙、BEC，彼此之間容易被混淆，中華數位提供的 BEC 鑑識服務定義較為明確，關鍵在於郵件中必須存在欺騙者、擁有公司內部不可能對外公開的資訊，才會被認定為 BEC，若是基於公開資訊設計的釣魚郵件則屬於一般詐騙，代表詐騙者未掌握企業內部工作流程，則不具鑑識的必要。

先行定義遭受資安威脅類別

企業內部業務執行現況若未公開，外界根本難以得知，BEC 詐騙居然可精準描述，表示內部出現資安漏洞而管理者不自知，中華數位特別提出BEC鑑識服務協助客戶釐清問題根源。一旦出現 BEC 詐騙郵件，不論收件者是否有上當，都必須得嚴肅看待。

既然詐騙者已經對企業內部營運狀況進行詳盡研究，勢必會不斷地嘗試，即使企業不幸已被騙取得逞也不會免疫，仍可能再次發生類似事件，除非釐清詐騙者得以成功的關鍵漏洞，並且加以改善或修補，才可能破除詐騙者為企業量身訂製的攻擊策略。

「前述提到容易被混淆的資安事件，這是我們在郵件安全領域累積的實戰經驗。」實際上勒索、恐嚇、詐騙、BEC 手法皆雷同，BEC 的關鍵問題是內部資訊洩漏；詐騙則屬於單純的社交工程手段；恐嚇是揚言若不付錢就發動癱瘓式攻擊，但不見得會有所行動；至於勒索的作法，參考近期 FBI 調查的現況，較恐嚇增加了火力展示，讓企業感受到壓力，擔心營運受影響而支付勒索金。

國際駭客組織一旦確立可成功獲利的方法後，勢必會相互模仿，並且依據擅長的技術發動攻擊，其中勒索須花費的成本可說最高，必須得先有所作為，讓資安事件影響正常營運後再要求企業支付贖金。然而恐嚇則不用，只宣稱即將要攻擊卻尚未有所動作。

為了獲取利益，攻擊者往往會交錯運用，企業得先行定義面臨的現況，以便制定回應的策略。可是企業 IT 管理者不擅長分析外部威脅手段，難以清楚釐清前述四種威脅差異之處，委由專業團隊協助才可有效杜絕後患。

專業團隊鑑識釐清弱點環節

從近年來中華數位協助企業處理 BEC 鑑識的經驗發現，幾乎都包含電子郵件帳號入侵（Email Account Compromise），因此大多會從此處開始著手調查，若企業採用 Gmail 等雲端郵件服務，無法取得相關日誌，恐難以釐清真相。「欲防止 BEC 事件再次發生，必須搭配部署實體設備，無法僅仰賴員工防線。」

今年（2020）較特別的是 BEC 事件數量上半年就已經較去年同期增長了 2.82 倍，主要影響因素即為 COVID-19 爆發，全球各地皆實施居家辦公，原本企業有多個正式的聯繫管道，如辦公室電話、Email 等；居家辦公後，聯絡方式開始受限或轉為私人聯繫管道，這時就變得難以確認與查證，仍得仰賴郵件聯繫，使得確認程序較難以達到即時性，導致居家辦公時期BEC成功的機率較高。另一方面，居家辦公使用的電腦多為員工私人裝置，甚至採用私人信箱統一收取郵件，使得資安風險大增。

在疫情尚未出現之前，企業對於遠端辦公根本毫無準備，面對來勢洶洶的 COVID-19 全球大流行，被迫得先行實施居家辦公防疫，之後再調整控管政策來適應新常態。日前台灣某銀行海外據點所發生的 BEC 事件，損失 45 萬美元，即是居家辦公委由代理人執行匯款，未建立再確認程序才得以被詐騙者利用得逞。

「遭遇 BEC 事件不論是否有釀成損失，建議都必須交由專業團隊鑑識，才能夠找到資安防護的缺口，以免再次發生。至於受騙款項須仰賴金融防線，若能第一時間發現受騙上當，或許尚可在款項真正撥付之前進行攔截。」中華數位表示。BEC 鑑識服務會協助檢查工作流程中的弱點環節，並且建議設立多重檢查，例如落實覆核機制，特別是大筆款項，依照公司規模與承受的風險，在規範中增加必須再次聯繫確認的項目。

設置防護機制輔助降低風險

經過 BEC 鑑識服務檢視工作流程之後，可搭配中華數位 SPAM SQR 郵件過濾方案搭配 ADM（Advanced Defense Module）進階防禦模組，輔助預防人力所無法察覺的異常或是疏漏。

中華數位說明，最初發展 ADM 主要是為了防堵 APT 攻擊手法，如今已延伸至辨識 BEC 與詐騙的能力。BEC 手法較具針對性，需客製化郵件內容，ADM 模組可運行分析辨識攻擊慣用的策略執行判斷；若為詐騙手法則更多是無差別式攻擊，攻擊者通常會申請多個惡意網域或郵件帳號，則可基於中華數位累積的龐大資料庫輔助辨識。

中華數位建議，欲防堵爆發 BEC 事件或被詐騙成功，首要必須從控管政策著手，制定標準工作流程，主機設定配置的偵測措施，可讓員工發現警示郵件時立即進入通報程序，嚴格把關以降低風險。

如今 BEC 手法設計的郵件主旨與內文，極相似於洽談交易時提及的相關事宜，甚至也會模仿交易對象慣用語句，如此才可取得收件者的信任，僅檢查主旨、關鍵字等指標，無法發揮實質效果，因為透過現有可用的指標無從發現，必須從行為模式分析辨識。此即為中華數位的核心技術所在。

中華數位之所以能夠辨識 BEC 行為模式，主要是基於長期發展垃圾郵件防護累積的領域知識，以及解決方案部署位置的優勢，才有能力完整掌握企業商務郵件往來的行為模式，在第一時間發現異於常態，立即提醒使用者多加留意。例如郵件系統設定的白名單中偵測到詐騙指標，抑或是使用者從垃圾郵件中撈回，SPAM SQR 會在這些類型的郵件主旨上特別標註，藉此讓使用者提高警覺心，避免爆發無法挽回的資安事故。

本文轉載自網管人 2020 年 11 月號專題

專業團隊徹底檢視流程破口 工具偵測告警提高人員警覺

先行定義遭受資安威脅類別

專業團隊鑑識釐清弱點環節

設置防護機制輔助降低風險

Discover more from Version 2

Hello!

專業團隊徹底檢視流程破口　工具偵測告警提高人員警覺