近年以企業為目標對象的詐騙郵件越來越多,根據美國聯邦調查局在2024年初公布的《2023年網路犯罪調查報告》中統計,商務電子郵件詐騙(BEC, Business Email Compromise)受害金額高達30億美元(約新台幣900億元),每天平均約有58家企業受害。
因此,為避免駭客組織發動魚叉式網路釣魚攻擊,進行商務電子郵件詐騙,應強化企業的電子郵件安全,並落實資安教育訓練,讓每位員工都能辨識及防範詐騙郵件。
什麼是詐騙郵件、釣魚Mail?
詐騙郵件定義
「詐騙郵件」是一種網路釣魚攻擊手法,又稱作釣魚郵件、詐騙Mail、電子郵件詐騙,指生成逼真的寄件者Mail Address、電子郵件主題及內容資訊吸引收信者注意,在寄送的釣魚信或偽造信中,往往會夾帶偽裝成正當網址的連結或檔案。
簡單來說,就是利用掩蓋身分的電子郵件,讓不知情的收件者相信電子郵件的來源,並受騙上當。
電子郵件詐騙如何運作?
無論是企業、政府、學校,還是非營利組織,任何單位都有可能是商務電子郵件詐騙的目標,那麼,究竟偽造電子郵件的具體方式是什麼呢?
一般而言,E-Mail會透過郵件傳輸通訊協定(SMTP)傳送及接收電子郵件,其協定標準欄位包括寄件者、回覆者,但因缺乏身分驗證機制與安全憑證,駭客組織可輕易在這兩個欄位動手腳。以下列出3種常見的電子郵件詐騙手法:
- 偽造寄件地址:
最常見的詐騙攻擊會使用來自不同網域的寄件者,如正確的寄件者為service@company.com.tw,但駭客偽造的寄件者卻是利用相似網域的service@compony.com.tw,讓收件人忽略其中的些微差異,因而相信仿冒的電子郵件內容。 - 篡改回覆地址:
除了在寄件者欄位動手腳之外,駭客也會利用真實的寄件人讓收件者放下戒心,再變更回覆地址(Reply-To)的網域,如寄件人為 service@company.com.tw,但被誘導的收件者回覆信件時,卻會將機密資料回覆到service@phishing.com.tw。 - 寄件者詐騙:
通常與金錢相關的指令或匯款資訊內容,駭客會偽造寄件人傳送釣魚信件,卻沒有提供回覆地址,使該電子郵件無法進行雙向溝通,一不小心就可能讓企業損失鉅款。
常見的詐騙郵件手法有哪些?
詐騙Mail欺騙、誘導不知情的收件者進行不安全的操作,後果可能會是導致感染惡意病毒、盜刷款項,甚至洩漏機密資料給駭客,是「社交工程攻擊」中最常見的攻擊方式之一,往往讓企業損失慘重。以下為商務端常見的詐騙信件情境:
- 偽造系統通知信
假借通知密碼變更或誘導點擊惡意連結,騙取帳號密碼資訊。 - 貿易往來詐騙信
利用詢價、請款等商業行為,誘導受害者開啟夾帶病毒、惡意連結的檔案或圖檔。 - 情境勒索恐嚇信
將機密資訊顯示在電子郵件中,藉此引發收件者恐慌,要求支付贖金。 - 中獎通知信
寄送假的中獎通知信,收件者為了領取獎項將會提供更多個人資訊,導致個資外洩。 - 典型病毒信
信件夾帶病毒檔案,開啟時就會將病毒下載至電腦。 - QR Code釣魚信
電子郵件中夾帶含有惡意連結的QR Code,無法被資安防護機制直接辨識或偵測。 - 轉址釣魚信
透過轉址、變動域名等手法,讓郵件中夾帶的惡意連結順利躲避資安防護機制的偵測。 - 星際檔案系統釣魚信
有別於傳統的集中式檔案管理,星際檔案系統(IPFS,InterPlanetary File System)是屬於分散式的檔案系統,當檔案上傳到IPFS時,將會有數個以上的網路節點接收。駭客利用IPFS的功能特性,讓其發布的惡意軟體、偽造的資訊更加難以偵測、追蹤,並且無法輕易刪除,利於持續性地發動攻擊。
如何判斷是否為網路釣魚或詐騙郵件?
面對陌生郵件,我們自然會提高警覺,但如果寄件者是熟識的人或系統通知信,多數人就會直接選擇信任內文而落入駭客的圈套中,因此在收發信件時,一定要特別留意以下資訊:
- 寄件者
確認寄件者名稱及電子郵件地址是否正確,特別是網域名稱需多加核對審視。 - 主旨與內容
是否出現奇怪的文法用字或亂碼,文末的簽名檔也是檢視重點之一。
若提及金錢或其他恐嚇威脅資訊,更須提高警覺。 - 附件與連結
未經確認,請勿下載附件或點擊網址。
AI也能幫企業管理信件?將釣魚詐騙拒於門外
企業如何增加郵件安全性?
當詐騙Mail的技術不斷升級,企業資安需要建立更完善的郵件安全防護,員工的資安防禦意識也必須跟著強化,才能避免落入商務電子郵件的詐騙陷阱。下列提供企業兩大防護面向,全面抵禦網路釣魚信件攻擊,維持企業資料的機密性與安全性:
郵件安全防護
- 惡意軟體掃描
在郵件進入郵件伺服器之前便預先檢測,如導入SPAM郵件防護機制,全面掃描信件中的附件或連結,第一時間協助企業抵擋外來威脅。 - 垃圾信件過濾
透過AI監控郵件安全,如鼎新AI智管家平台可快速過濾企業郵件,即時告警異常事件,隨時掌握系統防禦狀況。 - 電子郵件驗證
導入SPF、DKIM、DMARC等郵件身分驗證機制,防範假冒網域的郵件。 - 電子郵件加密
為防止駭客取得管理者的權限,攔截或篡改企業電子信箱的郵件或設定,可加密信件中的機敏資訊,避免帳號、密碼或相關身分驗證資訊外洩。
提升員工資安意識
人員認知教育
- 提升資安意識與警覺性,宣導並建立良好習慣,如:
- 不輕易開啟來路不明的電子郵件,特別是有夾帶附件與連結的信件。
- 廠商變更任何交易資訊時,務必雙重確認。
- 不使用公開的 Wi-Fi 連線,只在信任的網路上執行工作。
- 確認工作時所使用的行動設備之安全性。
- 避免儲存公司資料在個人電腦或USB 隨身碟中。
(延伸閱讀:資安教育訓練課程:改變使用者行為建立正確資安觀念)
資安維護及軟體更新
- 定期備份,並做好資料存放管理。
(延伸閱讀:企業資料備份備援:意外不可控,但資料備份可以先做) - 加強個人電腦掃毒,定期更新郵件軟體、安全軟體和作業系統。
- 限制不同資料的存取權限及存取有效時間。
- 確實區分管理權限,管控帳號密碼以符合資安要求。
(延伸閱讀:3W管理法是什麼?一起杜絕駭客共享特權帳號) - 為防止信件遭篡改或偽冒,機敏附件須進行加密處理。
社交工程演練
發送模擬實際攻擊情境的釣魚信件,測試員工對於詐騙郵件的警覺性,在演練結束後做為加強內部資安的依據。
(延伸閱讀:社交工程演練:提升員工資安意識,破解社交攻擊手法)
企業郵件防護最佳解法,阻擋釣魚郵件的詐騙威脅
雖然多數企業的Mail Server具備基礎的郵件過濾功能,但面對日新月異的駭客技術,企業需要建立更完善的郵件安全防護。
鼎新資安團隊提供SPAM郵件防護方案,不只可檢測詐騙行為的來源、網域等特徵、自動過濾垃圾郵件、沙箱驗證郵件中的附件及連結,還加上ADM進階防禦機制,可主動追擊並挖掘潛在風險,阻斷任何可能遺漏的威脅,若有異常事件發生則第一時間示警以利企業處置,事後提供鑑識報告解析與相關建議,可說是防堵詐騙郵件威脅的得力助手,協助企業全面落實商務電子郵件的安全防護。
除了SPAM郵件防護方案外,還可搭配鼎新推出的Ai智管家,透過AI科技監控郵件安全,隨時隨地掌握資安狀況,有效阻絕釣魚郵件。
