2020 年幾乎全年都受到 COVID-19 疫情影響。疫情的出現改變了全球數位工作模式，為了降低疫情對工作人力的衝擊，遠距工作或在家學習成了重要選項，很可能也將成為今後的常態。

遠距工作挑戰了傳統的資安部署觀念，遠端存取不再有「可信任的區塊或空間場域」，因此，所有服務的存取都需要驗證迫使了零信任的架構要提早被實現。遠距工作也推動了雲端應用的加速，雲端服務商算是疫情下少數的受惠者；但雲端服務設定不當造成資料大批洩漏的情況，算是容易被忽視的資安弱點。此外，不論是安全人員或是攻擊者，面對遠距工作直覺可聯想到的資安問題，就是 VPN 連線的安全性保護及 DDoS 攻擊或任何可能阻斷服務取得的手段，這類攻擊在 2020 年算是最容易被觀察到的事件了。

2020 年郵件安全有哪些明顯的趨勢呢？

詐騙郵件

到疫情的影響，在郵件安全方面防疫物資的詐騙經常出現。這些防疫物資的銷售廣告來自不明的公司與新註冊的域名，且出現的頻率與疫情的嚴重程度、防疫物資的匱乏程度有關係。2020 年的第一季與第二季較常看到此類詐騙；第四季後就相對少了許多。

為了口罩銷售而指向一些新註冊的域名

除了與疫情有關的詐騙郵件外，還有內容以恫嚇收件人電腦遭到入侵與監控的比特幣詐騙郵件。詐騙的內容其實是杜撰的，但這樣的詐騙郵件內容依發送的地區與國別，融合了多國的在地化語言，以提高詐騙成功的機率。

攻擊目標為中國，則以簡體字為內容

有些詐騙並非以直接騙取金錢為目的，而是騙取企業內部的資訊，再作後續利用。這樣的詐騙在 2020 年居家辦公，不便直接確認的情況下，特別容易奏效。

冒充企業高層，向員工索討企業內部資訊，或冒名令其執行不該執行的事務

釣魚郵件

2020 年最大宗的攻擊，非釣魚郵件莫屬了。通常釣魚的目標，是希望能釣取企業服務的各種憑證，尤其在遠距工作的情況下，若能釣到一組企業電子郵件的帳號密碼，很可能就能遠距取用企業的所有服務！

意圖騙取郵件帳號密碼的釣魚郵件

在 2020 年第四季，我們也觀察到了聲稱未付稅金導致郵件包裹延遲的釣魚郵件。這種釣魚郵件的目的是藉由假的刷卡付稅，釣取信用卡資訊。在受疫情影響仰賴物流的情況之下，這種釣魚郵件將使受害者更容易上勾！

藉由假的刷卡付稅，釣取信用卡的刷卡資訊

漏洞利用

試圖透過電子郵件嘗試入侵企業單位內部，以利進行後續的竊資、部署勒索軟體等目的。這類攻擊，多半直接寄送可利用 Office 漏洞的惡意文件，並以疫情相關主題誘騙收信人開啟，試圖藉此提高攻擊成功機率。

經統計，此類型攻擊常用的漏洞編號為：CVE-2012-0158、CVE-2017-11882、CVE-2017-0199、CVE-2017-8570 以及 CVE-2018-0802。

冒名 CDC 的通知，事實上為一可利用 CVE-2017-11882 漏洞的惡意文件

針對性攻擊

在 2020 年我們也觀察到了多起與疫情有關的針對性攻擊，與國家資助有關的 APT 族群嘗試以電子郵件攻擊則在五月份最為頻繁，其中有許多與疫情資訊、設備發放、公告通知或口罩相關資訊有關。

假防疫設備支援名義，試圖攻擊相關業者

搭配當時發生的時事，對特定單位發動的針對性攻擊

此外，BEC 攻擊事件以一月份為基準做為比對的話，在 2020 年 11 月份達到全年最高峰，這些 BEC 攻擊郵件中都存在著被攻擊對象才能知道的機敏資訊。

結語

2021 年仍無法明確預測何時可以完全擺脫疫情，而許多企業已將遠距工作視為未來可能的常態。遠距工作為資安帶來了新的挑戰，在家辦公的電腦及所使用的網路也難以確保安全性，因此具備合理存取權限的零信任的架構勢必是未來趨勢。由於遠距工作的關係，非即時同步確認事項的聯繫，多半倚賴電子郵件或其他傳訊軟體，各種詐騙事件將層出不窮。除了應避免公司資料外洩外，重要事項的聯絡，最好能設立第二通訊管道作確認；而重大決策也必須落實複核機制，才能避免 BEC 事件的發生。

在台灣有不少企業與個人在2020/12/14這天，都收到一個主旨為「Last Reminder: Your package could not be delivered on 14.12.2020」的釣魚郵件，郵件的發送源來自俄羅斯的虛擬主機。
釣魚郵件的內容宣稱，郵務包裹因為未付稅金而無法在今天送抵，並且郵件中附上數個超連結連往 hxxp://tw-inforedirect.com/ 的轉址頁面，經轉址後來到一個假的釣魚刷卡頁面：hxxps://post-tw.info。



tw-inforedirect.com 與 post-tw.info 註冊日期都是 2020/12/14，攻擊也是在 2020/12/14 開始發動，也就是說，這是一個針對信用卡帳號、到期日與安全碼的快閃釣魚行動。若您收到這類釣魚郵件，千萬不要遵照著郵件內的指示至釣魚頁面進行刷卡動作，以防信用卡相關資訊外洩。



面對未知的郵件攻擊，我們還是要呼籲，當收到與自己無關的郵件，建議直接忽略並刪除；若不太確定需要進一步查證，建議一定不要直接使用可疑郵件附帶的網址或電話進行查證，而是親自查出合法官網、官方電話再進行查證動作。

專業團隊徹底檢視流程破口　工具偵測告警提高人員警覺

BEC鑑識服務抓漏　補強弱點杜絕事件重演

為了協助眾多遭受商務電子郵件詐騙（BEC）的企業還原真相，釐清遭利用來發動攻擊的弱點環節，加以改善或增添檢核措施，以免事故重複發生，中華數位除了自主研發郵件安全防護方案，亦提供 BEC 鑑識服務，幫助企業制定規範控管政策，全面性地降低資安風險。

中華數位科技觀察，實際上 BEC 事件如同病毒威脅，不僅無法被滅絕，且手法持續在轉變，再加上近十年來詐騙者發動BEC活動變得更駕輕就熟、具規模化，皆是這類事件不減反增的主因。

並進一步指出，近期資安威脅熱門議題包含勒索、恐嚇、詐騙、BEC，彼此之間容易被混淆，中華數位提供的 BEC 鑑識服務定義較為明確，關鍵在於郵件中必須存在欺騙者、擁有公司內部不可能對外公開的資訊，才會被認定為 BEC，若是基於公開資訊設計的釣魚郵件則屬於一般詐騙，代表詐騙者未掌握企業內部工作流程，則不具鑑識的必要。

先行定義遭受資安威脅類別

企業內部業務執行現況若未公開，外界根本難以得知，BEC 詐騙居然可精準描述，表示內部出現資安漏洞而管理者不自知，中華數位特別提出BEC鑑識服務協助客戶釐清問題根源。一旦出現 BEC 詐騙郵件，不論收件者是否有上當，都必須得嚴肅看待。

既然詐騙者已經對企業內部營運狀況進行詳盡研究，勢必會不斷地嘗試，即使企業不幸已被騙取得逞也不會免疫，仍可能再次發生類似事件，除非釐清詐騙者得以成功的關鍵漏洞，並且加以改善或修補，才可能破除詐騙者為企業量身訂製的攻擊策略。

「前述提到容易被混淆的資安事件，這是我們在郵件安全領域累積的實戰經驗。」實際上勒索、恐嚇、詐騙、BEC 手法皆雷同，BEC 的關鍵問題是內部資訊洩漏；詐騙則屬於單純的社交工程手段；恐嚇是揚言若不付錢就發動癱瘓式攻擊，但不見得會有所行動；至於勒索的作法，參考近期 FBI 調查的現況，較恐嚇增加了火力展示，讓企業感受到壓力，擔心營運受影響而支付勒索金。

國際駭客組織一旦確立可成功獲利的方法後，勢必會相互模仿，並且依據擅長的技術發動攻擊，其中勒索須花費的成本可說最高，必須得先有所作為，讓資安事件影響正常營運後再要求企業支付贖金。然而恐嚇則不用，只宣稱即將要攻擊卻尚未有所動作。

為了獲取利益，攻擊者往往會交錯運用，企業得先行定義面臨的現況，以便制定回應的策略。可是企業 IT 管理者不擅長分析外部威脅手段，難以清楚釐清前述四種威脅差異之處，委由專業團隊協助才可有效杜絕後患。

專業團隊鑑識釐清弱點環節

從近年來中華數位協助企業處理 BEC 鑑識的經驗發現，幾乎都包含電子郵件帳號入侵（Email Account Compromise），因此大多會從此處開始著手調查，若企業採用 Gmail 等雲端郵件服務，無法取得相關日誌，恐難以釐清真相。「欲防止 BEC 事件再次發生，必須搭配部署實體設備，無法僅仰賴員工防線。」

今年（2020）較特別的是 BEC 事件數量上半年就已經較去年同期增長了 2.82 倍，主要影響因素即為 COVID-19 爆發，全球各地皆實施居家辦公，原本企業有多個正式的聯繫管道，如辦公室電話、Email 等；居家辦公後，聯絡方式開始受限或轉為私人聯繫管道，這時就變得難以確認與查證，仍得仰賴郵件聯繫，使得確認程序較難以達到即時性，導致居家辦公時期BEC成功的機率較高。另一方面，居家辦公使用的電腦多為員工私人裝置，甚至採用私人信箱統一收取郵件，使得資安風險大增。

在疫情尚未出現之前，企業對於遠端辦公根本毫無準備，面對來勢洶洶的 COVID-19 全球大流行，被迫得先行實施居家辦公防疫，之後再調整控管政策來適應新常態。日前台灣某銀行海外據點所發生的 BEC 事件，損失 45 萬美元，即是居家辦公委由代理人執行匯款，未建立再確認程序才得以被詐騙者利用得逞。

「遭遇 BEC 事件不論是否有釀成損失，建議都必須交由專業團隊鑑識，才能夠找到資安防護的缺口，以免再次發生。至於受騙款項須仰賴金融防線，若能第一時間發現受騙上當，或許尚可在款項真正撥付之前進行攔截。」中華數位表示。BEC 鑑識服務會協助檢查工作流程中的弱點環節，並且建議設立多重檢查，例如落實覆核機制，特別是大筆款項，依照公司規模與承受的風險，在規範中增加必須再次聯繫確認的項目。

設置防護機制輔助降低風險

經過 BEC 鑑識服務檢視工作流程之後，可搭配中華數位 SPAM SQR 郵件過濾方案搭配 ADM（Advanced Defense Module）進階防禦模組，輔助預防人力所無法察覺的異常或是疏漏。

中華數位說明，最初發展 ADM 主要是為了防堵 APT 攻擊手法，如今已延伸至辨識 BEC 與詐騙的能力。BEC 手法較具針對性，需客製化郵件內容，ADM 模組可運行分析辨識攻擊慣用的策略執行判斷；若為詐騙手法則更多是無差別式攻擊，攻擊者通常會申請多個惡意網域或郵件帳號，則可基於中華數位累積的龐大資料庫輔助辨識。

中華數位建議，欲防堵爆發 BEC 事件或被詐騙成功，首要必須從控管政策著手，制定標準工作流程，主機設定配置的偵測措施，可讓員工發現警示郵件時立即進入通報程序，嚴格把關以降低風險。

如今 BEC 手法設計的郵件主旨與內文，極相似於洽談交易時提及的相關事宜，甚至也會模仿交易對象慣用語句，如此才可取得收件者的信任，僅檢查主旨、關鍵字等指標，無法發揮實質效果，因為透過現有可用的指標無從發現，必須從行為模式分析辨識。此即為中華數位的核心技術所在。

中華數位之所以能夠辨識 BEC 行為模式，主要是基於長期發展垃圾郵件防護累積的領域知識，以及解決方案部署位置的優勢，才有能力完整掌握企業商務郵件往來的行為模式，在第一時間發現異於常態，立即提醒使用者多加留意。例如郵件系統設定的白名單中偵測到詐騙指標，抑或是使用者從垃圾郵件中撈回，SPAM SQR 會在這些類型的郵件主旨上特別標註，藉此讓使用者提高警覺心，避免爆發無法挽回的資安事故。

本文轉載自網管人 2020 年 11 月號專題