不論攻擊策略與手法如何轉變,電子郵件始終是駭客主要的滲透管道。尤其是已盛行多年的商業郵件詐騙(Business Email Compromise,BEC),根據網擎資訊(Openfind)的MailCloud防詐騙智慧分析中心統計,自2018年7月成立以來,陸續蒐集到許多不同企業提供的樣本資料,有八成以上來自不可信任的寄件者與網站,依據佔比前三大依序為非法寄件者來源域名(46%)、詐騙網址連結(35%)、惡意附加檔(9%)。至於詐騙類型,仍是以國際匯款居冠。
在網際網路環境中詐騙通常分為兩類,網擎資訊行銷副總李孟秋指出,也就是郵件商業詐騙、釣魚郵件騙取帳密。儘管後者已是老生常談,卻始終未能得到緩解,之所以有此現象,主要因素在於現代的應用服務類型相當多,例如偽裝成LinkedIn等社交平台發送的郵件,多數用戶根本難以判別真偽。
此外,在眾多的釣魚郵件中亦可能潛藏進階持續性滲透攻擊(APT)初期研究階段,鎖定對象取得社交平台的帳密後,藉此蒐集取得更詳盡的資訊,以便精心設計攻擊對象勢必會點選開啟的郵件,確保滲透入侵得以成功盜取公司高權限帳密,以進行下一階段的詐騙活動。這類商業型詐騙可說是種高投資、高報酬的手法,每一個關鍵操作流程皆必須成功,例如鎖定攻擊者、發動APT、盜用帳號登入、假冒身分發送郵件等,才得以在最後一刻得逞取得暴利。
商業詐騙以國際匯款為大宗
MailCloud防詐騙智慧分析中心統計前五大詐騙類型,依序是國際匯款(24.8%)、得獎通知(19.2%)、點數交易(16.5%)、註冊通知(8.7%)以及購票匯款(7.2%),網擎資訊產品經理張峰銘觀察,其中損失金額最高的莫過於國際匯款,利用往來的廠商為非相同時區且以電子郵件為主要聯繫方式的可趁之機,常見的伎倆不外乎攻擊者宣稱匯款出現問題、貨品被扣押,還附上查詢網址,實際上卻是駭客仿造海關、物流等官網所設計,讓企業承辦人落入圈套。
「令人印象較深的案例是日前某台商,員工經常需要出差到中國,某天收到宣稱為律師事務所發出的郵件通知,指出該公司派去中國出差的員工被公安扣押,因此無法取得聯繫。詐騙者竟能精確掌握派去出差的人、目的地、無法聯繫的時段,原因在於早已盜取內部員工郵件帳密,先行潛伏監蒐集,掌握完整資訊後再發動。」張峰銘說。
員工郵件帳密遭到竊取,根本問題仍舊是警覺心不足才會被詐騙得逞。李孟秋形容,就如同社會治安,過去民風淳樸時期確實可夜不閉戶,在社會治安出現問題後,家家戶戶開始增設鐵窗、兩道門鎖,同樣的概念,如今網路資安問題如此嚴峻,個人帳號必須更加嚴謹地控管,例如採用雙因素認證等方式,才可避免釀成災害。
DMARC標準輔助辨識郵件真偽
 |
| ▲網擎資訊行銷副總李孟秋強調,不論技術再先進,人永遠是最脆弱的環節、水桶上最低的那塊板子,須持續不斷地強化資安意識,才得以提升員工整體素養,進而全面防範各式新型態的騙局。 |
至於防護機制,針對低成本、低報酬的釣魚郵件手法較容易實作,典型的方式即為閘道端部署偵測機制,分析比對郵件內文中嵌入的URL是否為惡意,並觸發告警通知IT管理者或收件者。網擎資訊日前提出更進一步的檢測機制,也就是在MailGates系統平台中運行URL Rewrite,並且記錄使用者操作行為,即使第一時間目的地網站被判斷為正常,MailGates仍舊會持續追蹤檢查URL。萬一在使用者點選郵件連結後才被發現為惡意中繼站,仍可透過變更密碼等緊急應變措施來降低損害。
「URL Rewrite運作模式是在郵件內文中重新寫入連結網址,導向MailGates郵件安全系統,若當下發現為惡意隨即觸發執行阻擋;若未偵測到惡意,MailGates也會持續追蹤,一旦發現有問題,依據用戶操作行為記錄進行比對通知。」李孟秋說。
當然,釣魚郵件之所以能夠得逞,主要是因為偽裝,若有能力識破,被詐騙成功的機率將大幅降低。協助使用者辨識的機制,除了發展已久的電子簽章,許多大型郵件系統與服務皆已遵循新的基於網域進行郵件驗證、報告和一致性(DMARC)標準,主要用意即幫助使用者辨識郵件的真偽。以Mail2000郵件系統為例,當郵件符合DMARC當中的DKIM數位簽章,在收件夾清單中會以藍色勾圖示註記,表示網域已通過驗證,針對合作密切的上下游客戶即可藉此辨別身份,以防止被詐騙。未來可進一步運用人工智慧來輔助判斷,若發現業務郵件未標示藍色勾圖示則註記為紅色警告,提醒使用者留意。
運用人工智慧建立UEBA與智慧稽核
隨著外部威脅手法不斷演進、全球資安政策法規強制性更高,技術供應商勢必得加速跟進,提出因應之道。應用人工智慧來輔助資安防護已是大勢所趨,網擎資訊近兩年積極投入研發,現階段人工智慧已經整合應用的主軸,包含異常行為偵測(UEBA)、智慧輔助稽核、個人資安助理,不論地端與雲端的解決方案皆有納入,並且持續地調校精準度。
李孟秋進一步說明,以往系統偵測到使用者從非允許地區登入會主動發出告警的機制,必須事先正確設定規則條件來判斷。改採異常行為模式偵測後,則毋須經過設定,透過機器學習演算分析大數據以建立正常使用者的操作行為模式,藉此偵測發現偏離時才會觸發告警。
同樣的運行概念也應用到稽核領域。由於稽核的程序細節相當繁瑣,必須依據規範設定相對應的條件,才得以產出稽核要求的統計數據報告。運用機器學習演算技術,則可自動建立分類,甚至以往規則條件不具判斷郵件內文包含情緒性文字等能力,運用人工智慧皆可主動辨識。
「資安機制運用人工智慧,最大的特性可簡化設定配置,以及強化以往難以控管的範疇。特別是針對郵件詐騙的行為模式,網擎資訊已經建立過濾與偵測的演算分析,風險指數會依照行為回饋數值自動調校來建立,一旦超過即可觸發攔阻機制,取代以往固定條件式的技術。」李孟秋說。
此外,深受企業用戶肯定的防誤寄機制,也運用人工智慧來實作,當使用者選取收件者時,若偵測到並非經常聯絡的對象,則會主動標示為紅色,突顯郵件異常之處來提醒使用者檢查。諸如此類較以往更細緻的控管機制,極可能降低商業詐騙、錯誤操作等狀況帶來損失。