2020 年幾乎全年都受到 COVID-19 疫情影響。疫情的出現改變了全球數位工作模式，為了降低疫情對工作人力的衝擊，遠距工作或在家學習成了重要選項，很可能也將成為今後的常態。

遠距工作挑戰了傳統的資安部署觀念，遠端存取不再有「可信任的區塊或空間場域」，因此，所有服務的存取都需要驗證迫使了零信任的架構要提早被實現。遠距工作也推動了雲端應用的加速，雲端服務商算是疫情下少數的受惠者；但雲端服務設定不當造成資料大批洩漏的情況，算是容易被忽視的資安弱點。此外，不論是安全人員或是攻擊者，面對遠距工作直覺可聯想到的資安問題，就是 VPN 連線的安全性保護及 DDoS 攻擊或任何可能阻斷服務取得的手段，這類攻擊在 2020 年算是最容易被觀察到的事件了。

2020 年郵件安全有哪些明顯的趨勢呢？

詐騙郵件

到疫情的影響，在郵件安全方面防疫物資的詐騙經常出現。這些防疫物資的銷售廣告來自不明的公司與新註冊的域名，且出現的頻率與疫情的嚴重程度、防疫物資的匱乏程度有關係。2020 年的第一季與第二季較常看到此類詐騙；第四季後就相對少了許多。

為了口罩銷售而指向一些新註冊的域名

除了與疫情有關的詐騙郵件外，還有內容以恫嚇收件人電腦遭到入侵與監控的比特幣詐騙郵件。詐騙的內容其實是杜撰的，但這樣的詐騙郵件內容依發送的地區與國別，融合了多國的在地化語言，以提高詐騙成功的機率。

攻擊目標為中國，則以簡體字為內容

有些詐騙並非以直接騙取金錢為目的，而是騙取企業內部的資訊，再作後續利用。這樣的詐騙在 2020 年居家辦公，不便直接確認的情況下，特別容易奏效。

冒充企業高層，向員工索討企業內部資訊，或冒名令其執行不該執行的事務

釣魚郵件

2020 年最大宗的攻擊，非釣魚郵件莫屬了。通常釣魚的目標，是希望能釣取企業服務的各種憑證，尤其在遠距工作的情況下，若能釣到一組企業電子郵件的帳號密碼，很可能就能遠距取用企業的所有服務！

意圖騙取郵件帳號密碼的釣魚郵件

在 2020 年第四季，我們也觀察到了聲稱未付稅金導致郵件包裹延遲的釣魚郵件。這種釣魚郵件的目的是藉由假的刷卡付稅，釣取信用卡資訊。在受疫情影響仰賴物流的情況之下，這種釣魚郵件將使受害者更容易上勾！

藉由假的刷卡付稅，釣取信用卡的刷卡資訊

漏洞利用

試圖透過電子郵件嘗試入侵企業單位內部，以利進行後續的竊資、部署勒索軟體等目的。這類攻擊，多半直接寄送可利用 Office 漏洞的惡意文件，並以疫情相關主題誘騙收信人開啟，試圖藉此提高攻擊成功機率。

經統計，此類型攻擊常用的漏洞編號為：CVE-2012-0158、CVE-2017-11882、CVE-2017-0199、CVE-2017-8570 以及 CVE-2018-0802。

冒名 CDC 的通知，事實上為一可利用 CVE-2017-11882 漏洞的惡意文件

針對性攻擊

在 2020 年我們也觀察到了多起與疫情有關的針對性攻擊，與國家資助有關的 APT 族群嘗試以電子郵件攻擊則在五月份最為頻繁，其中有許多與疫情資訊、設備發放、公告通知或口罩相關資訊有關。

假防疫設備支援名義，試圖攻擊相關業者

搭配當時發生的時事，對特定單位發動的針對性攻擊

此外，BEC 攻擊事件以一月份為基準做為比對的話，在 2020 年 11 月份達到全年最高峰，這些 BEC 攻擊郵件中都存在著被攻擊對象才能知道的機敏資訊。

結語

2021 年仍無法明確預測何時可以完全擺脫疫情，而許多企業已將遠距工作視為未來可能的常態。遠距工作為資安帶來了新的挑戰，在家辦公的電腦及所使用的網路也難以確保安全性，因此具備合理存取權限的零信任的架構勢必是未來趨勢。由於遠距工作的關係，非即時同步確認事項的聯繫，多半倚賴電子郵件或其他傳訊軟體，各種詐騙事件將層出不窮。除了應避免公司資料外洩外，重要事項的聯絡，最好能設立第二通訊管道作確認；而重大決策也必須落實複核機制，才能避免 BEC 事件的發生。

在台灣有不少企業與個人在2020/12/14這天，都收到一個主旨為「Last Reminder: Your package could not be delivered on 14.12.2020」的釣魚郵件，郵件的發送源來自俄羅斯的虛擬主機。
釣魚郵件的內容宣稱，郵務包裹因為未付稅金而無法在今天送抵，並且郵件中附上數個超連結連往 hxxp://tw-inforedirect.com/ 的轉址頁面，經轉址後來到一個假的釣魚刷卡頁面：hxxps://post-tw.info。



tw-inforedirect.com 與 post-tw.info 註冊日期都是 2020/12/14，攻擊也是在 2020/12/14 開始發動，也就是說，這是一個針對信用卡帳號、到期日與安全碼的快閃釣魚行動。若您收到這類釣魚郵件，千萬不要遵照著郵件內的指示至釣魚頁面進行刷卡動作，以防信用卡相關資訊外洩。



面對未知的郵件攻擊，我們還是要呼籲，當收到與自己無關的郵件，建議直接忽略並刪除；若不太確定需要進一步查證，建議一定不要直接使用可疑郵件附帶的網址或電話進行查證，而是親自查出合法官網、官方電話再進行查證動作。

專業團隊徹底檢視流程破口　工具偵測告警提高人員警覺

BEC鑑識服務抓漏　補強弱點杜絕事件重演

為了協助眾多遭受商務電子郵件詐騙（BEC）的企業還原真相，釐清遭利用來發動攻擊的弱點環節，加以改善或增添檢核措施，以免事故重複發生，中華數位除了自主研發郵件安全防護方案，亦提供 BEC 鑑識服務，幫助企業制定規範控管政策，全面性地降低資安風險。

中華數位科技觀察，實際上 BEC 事件如同病毒威脅，不僅無法被滅絕，且手法持續在轉變，再加上近十年來詐騙者發動BEC活動變得更駕輕就熟、具規模化，皆是這類事件不減反增的主因。

並進一步指出，近期資安威脅熱門議題包含勒索、恐嚇、詐騙、BEC，彼此之間容易被混淆，中華數位提供的 BEC 鑑識服務定義較為明確，關鍵在於郵件中必須存在欺騙者、擁有公司內部不可能對外公開的資訊，才會被認定為 BEC，若是基於公開資訊設計的釣魚郵件則屬於一般詐騙，代表詐騙者未掌握企業內部工作流程，則不具鑑識的必要。

先行定義遭受資安威脅類別

企業內部業務執行現況若未公開，外界根本難以得知，BEC 詐騙居然可精準描述，表示內部出現資安漏洞而管理者不自知，中華數位特別提出BEC鑑識服務協助客戶釐清問題根源。一旦出現 BEC 詐騙郵件，不論收件者是否有上當，都必須得嚴肅看待。

既然詐騙者已經對企業內部營運狀況進行詳盡研究，勢必會不斷地嘗試，即使企業不幸已被騙取得逞也不會免疫，仍可能再次發生類似事件，除非釐清詐騙者得以成功的關鍵漏洞，並且加以改善或修補，才可能破除詐騙者為企業量身訂製的攻擊策略。

「前述提到容易被混淆的資安事件，這是我們在郵件安全領域累積的實戰經驗。」實際上勒索、恐嚇、詐騙、BEC 手法皆雷同，BEC 的關鍵問題是內部資訊洩漏；詐騙則屬於單純的社交工程手段；恐嚇是揚言若不付錢就發動癱瘓式攻擊，但不見得會有所行動；至於勒索的作法，參考近期 FBI 調查的現況，較恐嚇增加了火力展示，讓企業感受到壓力，擔心營運受影響而支付勒索金。

國際駭客組織一旦確立可成功獲利的方法後，勢必會相互模仿，並且依據擅長的技術發動攻擊，其中勒索須花費的成本可說最高，必須得先有所作為，讓資安事件影響正常營運後再要求企業支付贖金。然而恐嚇則不用，只宣稱即將要攻擊卻尚未有所動作。

為了獲取利益，攻擊者往往會交錯運用，企業得先行定義面臨的現況，以便制定回應的策略。可是企業 IT 管理者不擅長分析外部威脅手段，難以清楚釐清前述四種威脅差異之處，委由專業團隊協助才可有效杜絕後患。

專業團隊鑑識釐清弱點環節

從近年來中華數位協助企業處理 BEC 鑑識的經驗發現，幾乎都包含電子郵件帳號入侵（Email Account Compromise），因此大多會從此處開始著手調查，若企業採用 Gmail 等雲端郵件服務，無法取得相關日誌，恐難以釐清真相。「欲防止 BEC 事件再次發生，必須搭配部署實體設備，無法僅仰賴員工防線。」

今年（2020）較特別的是 BEC 事件數量上半年就已經較去年同期增長了 2.82 倍，主要影響因素即為 COVID-19 爆發，全球各地皆實施居家辦公，原本企業有多個正式的聯繫管道，如辦公室電話、Email 等；居家辦公後，聯絡方式開始受限或轉為私人聯繫管道，這時就變得難以確認與查證，仍得仰賴郵件聯繫，使得確認程序較難以達到即時性，導致居家辦公時期BEC成功的機率較高。另一方面，居家辦公使用的電腦多為員工私人裝置，甚至採用私人信箱統一收取郵件，使得資安風險大增。

在疫情尚未出現之前，企業對於遠端辦公根本毫無準備，面對來勢洶洶的 COVID-19 全球大流行，被迫得先行實施居家辦公防疫，之後再調整控管政策來適應新常態。日前台灣某銀行海外據點所發生的 BEC 事件，損失 45 萬美元，即是居家辦公委由代理人執行匯款，未建立再確認程序才得以被詐騙者利用得逞。

「遭遇 BEC 事件不論是否有釀成損失，建議都必須交由專業團隊鑑識，才能夠找到資安防護的缺口，以免再次發生。至於受騙款項須仰賴金融防線，若能第一時間發現受騙上當，或許尚可在款項真正撥付之前進行攔截。」中華數位表示。BEC 鑑識服務會協助檢查工作流程中的弱點環節，並且建議設立多重檢查，例如落實覆核機制，特別是大筆款項，依照公司規模與承受的風險，在規範中增加必須再次聯繫確認的項目。

設置防護機制輔助降低風險

經過 BEC 鑑識服務檢視工作流程之後，可搭配中華數位 SPAM SQR 郵件過濾方案搭配 ADM（Advanced Defense Module）進階防禦模組，輔助預防人力所無法察覺的異常或是疏漏。

中華數位說明，最初發展 ADM 主要是為了防堵 APT 攻擊手法，如今已延伸至辨識 BEC 與詐騙的能力。BEC 手法較具針對性，需客製化郵件內容，ADM 模組可運行分析辨識攻擊慣用的策略執行判斷；若為詐騙手法則更多是無差別式攻擊，攻擊者通常會申請多個惡意網域或郵件帳號，則可基於中華數位累積的龐大資料庫輔助辨識。

中華數位建議，欲防堵爆發 BEC 事件或被詐騙成功，首要必須從控管政策著手，制定標準工作流程，主機設定配置的偵測措施，可讓員工發現警示郵件時立即進入通報程序，嚴格把關以降低風險。

如今 BEC 手法設計的郵件主旨與內文，極相似於洽談交易時提及的相關事宜，甚至也會模仿交易對象慣用語句，如此才可取得收件者的信任，僅檢查主旨、關鍵字等指標，無法發揮實質效果，因為透過現有可用的指標無從發現，必須從行為模式分析辨識。此即為中華數位的核心技術所在。

中華數位之所以能夠辨識 BEC 行為模式，主要是基於長期發展垃圾郵件防護累積的領域知識，以及解決方案部署位置的優勢，才有能力完整掌握企業商務郵件往來的行為模式，在第一時間發現異於常態，立即提醒使用者多加留意。例如郵件系統設定的白名單中偵測到詐騙指標，抑或是使用者從垃圾郵件中撈回，SPAM SQR 會在這些類型的郵件主旨上特別標註，藉此讓使用者提高警覺心，避免爆發無法挽回的資安事故。

本文轉載自網管人 2020 年 11 月號專題

COVID-19 對全球的影響橫跨了三季，上半年期盼完全解除在家工作的情況，在第三季仍無法得到完全實現，部分公司更保守預估這樣的情況可能會延續至明年的第一季，甚至更長的時間。而在電子郵件安全方面，第三季整體的郵件攻擊數量，相較於第二季稍有趨緩，但帶有惡意檔案的郵件則較上一季增加了約40%。本季明顯的趨勢為合法的網路服務遭利用，藉以掩飾攻擊；並在各國家地區出現大量詐騙比特幣的恐嚇信：

濫用公用服務的釣魚郵件

第三季最明顯的攻擊是濫用公用服務的釣魚郵件，其中數量最大的一波出現在8月份，來自SendGrid的釣魚郵件。SendGrid是一家位於科羅拉多州丹佛市的客戶交流平台，其服務包括了用於交易和營銷電子郵件。來自SendGrid的釣魚郵件可能與SendGrid在8月份發現的大批帳號密碼遭到破解，並且破解的帳號密碼被用以濫發垃圾與釣魚郵件的事件有關係。這批郵件發送自SendGrid的合法郵件伺服器，並且惡意頁面也寄宿在SendGrid所提供的網頁服務上。

SendGrid服務被濫用於偽冒中華郵政進行釣魚

Google 所提供的網誌服務同樣遭到濫用。網誌服務被用來發佈騙取帳號密碼的釣魚頁面。值得注意的是，本次報告中揭露利用 SendGrid 與Google 網誌服務的兩個郵件樣本，皆是偽冒中華郵政發動的攻擊。

Google網誌服務被濫用於偽冒中華郵政進行釣魚

網際網路檔案館 archive.org 快照存放釣魚頁面

我們也發現網際網路檔案館 (archive.org) 的網頁快照服務遭到釣魚攻擊濫用。並非過去的釣魚頁面被快照服務無意保存下來，而是攻擊者蓄意利用快照服務，先讓釣魚頁面存在於快照服務中，之後發送釣魚郵件，直接將釣魚頁面指向快照服務的特定頁面。

釣魚郵件，直接將釣魚頁面指向快照服務的特定頁面

這個攻擊希望騙取的標的是Outlook服務的帳號密碼。網際網路檔案館快照服務被濫用於提供一個惡意頁面存放的空間；而盜取帳號密碼的網頁端程式，則是在另一個地方。如此一來，瀏覽器及上網安全的保護措施，或許無法在拜訪惡意頁面時，直接警示所拜訪的網站為惡意來源，因為網際網路檔案館快照服務是一個知名的功用服務。

當拜訪這個頁面時，會發現這個釣魚頁面試圖騙取Outlook服務的帳號密碼

填入帳號密碼按下sign in後，帳號密碼即遭到盜取

大量恐嚇郵件意在詐騙比特幣

9月初突然出現大量的比特幣詐騙，其內容為恐嚇收件人電腦遭到入侵與監控，並威脅若不遵照指示匯入比特幣至對應的錢包，私密的影音照片將被公開外流。這個恐嚇詐騙聲稱的內容其實是杜撰的，但詐騙內容以各種語言分別分送給許多不同國家地區的人。

攻擊對象為中國，內容以簡體中文撰寫

攻擊對象為日本，內容以日文撰寫

這個類型的詐騙郵件，本身並不帶有任何惡意檔案或超連結，純粹只是以內容來讓受害人心生害怕進而匯比特幣到指定的帳戶，發送來源也十分多元，甚至利用了Gmail服務，來躲避來源偵測或信譽評價。

詐騙、釣魚以及各種社交工程的手法，作為入侵、獲取利益的手段越來越普遍，雖然其中的技術含量低，但防不勝防，對於攻擊者而言，是一個獲取利益的便利手段。事實上，要以人工的方式辨識一個郵件內或網頁中存在的異常，本來就是件十分困難的事。若是這些異常點，全都被遭到濫用的「正常」服務所取代，那識別起來就更加的困難了。

ASRC 研究中心建議，人員可提防的部分，應該著眼在當悖離標準作業規範、約定的作業方式以及自身角色應接觸的事務時，採取更高的警戒或查證的工作；其他部分，則應採取更安全的資安措施或設備做為輔助才能事半功倍。

親愛的客戶您好，

由於各大瀏覽器業者已於 2020 年 3 月起陸續發佈停止對 TLS 1.0 與 TLS 1.1 傳輸協定支援的聲明。
為保障您的系統連線安全，SPAM SQR、Mail SQR Expert 與 Mail Archiving Expert 將停止支援 TLS (Transport Layer) 1.0/1.1 協定。
為避免無法以 HTTPS 連線至 SPAM SQR、Mail SQR Expert 與 Mail Archiving Expert，建議使用最新的瀏覽器版本，並確認啟用 TLS1.2 以上。

造成您的不便，敬請見諒

如有任何問題，請洽客服專線：02-2543-2000