隨著企業遭受商務電子郵件詐騙(BEC)事件逐年攀升,特別是在新冠肺炎(COVID-19)爆發後更是倍增,犯罪者冒充微軟向62國用戶寄送COVID-19相關資訊的釣魚郵件,誘使點選惡意連結並登入Office 365帳密,取得企業內部員工資料。
對此,微軟總部已主動出擊,檢具事證向美國法院提請要求特定網域必須下架或封鎖,畢竟每個網域皆通過合法申請與支付費用才可登記啟用,欲進行封鎖,同樣須得依循法律程序。
台灣微軟數位安全中心(Microsoft Digital Crimes Unit,DCU)分析師陳品佑觀察,COVID-19迫使居家辦公成為新常態,即使是內部員工溝通也回歸到以郵件為主、視訊會議為輔,因此擅長利用人性弱點發動的詐騙者,正可伺機滲透握有高權限的管理階層電腦,並且取得帳密,藉此詐騙掌管財務的員工或上下游供應鏈,獲取非法利益。
「微軟數位安全中心與各國執法單位長期合作偵辦,BEC為其中一項案件類型。COVID-19爆發後確診病例指數級攀升的時間主要在今年(2020)3月份,從全球客戶回報的數量統計,BEC詐騙郵件竟也隨之暴增,原本每月大約發現2千起,3月至4月期間累計居然增長到6萬起,顯見詐騙者積極地趁虛而入。」陳品佑說。
台灣微軟資安產品行銷經理張士龍認為,全球多數人因應防疫居家辦公,使用私人裝置處理公務,喪失了在辦公室環境建立的多層次防護,因而大幅提升BEC詐騙得逞機率,促使這類手法更加活躍。畢竟在疫情緊張時期,倉促決議實施居家辦公,根本來不及考量到衍生的安全性問題,接下來勢必會重新檢視居家辦公的資安風險,並且加以控管。現階段企業尚在摸索新型態工作模式的管理辦法,於此期間微軟的雲端服務正可協助在安全無虞前提下維持生產力,例如運用VPN連線或登入遠端桌面執行工作任務,基於雲端服務可立即提供使用,無須再經過部署與設定。
詐騙手法轉向鎖定高階管理層
全球犯罪組織慣用的伎倆,通常會跟隨時下的趨勢改變攻擊手法,以及發動的工具。陳品佑指出,今年疫情全球大流行眾所矚目,實際上詐騙者只要設計一封郵件,即可發送到全球超過60個不同地區。「進一步觀察最常被BEC利用的產業,主要為醫療與政府單位,其中政府單位須發布說明疫情現況,詐騙者正可利用,以政府名義發郵件給產業要求提交資料,因而誤觸陷阱。」
至於學術界,因應疫情全球各級機關學校大多改以遠距教學,由學生私人裝置登入上課,學校對於IT環境的保護機制本就薄弱,此時也不可能提供全校師生皆透過VPN連線接取服務,或許教育單位商業交易與機敏資料較少,詐騙者仍可竊取個資、帳密,利用來執行非法活動。
根據微軟統計,最常被鎖定發動BEC的對象多數為高階管理層,其中近六成為副總級,顯然詐騙者並非無差別式發動,不僅已鎖定標的,且事前也掌握利害關係人背景,如此更可讓整起詐騙事件增加成功機率。
依循法律途徑下架殭屍網路
全球公部門與資安業界多年來皆不斷提醒BEC的危險程度,也不乏市場教育,但受騙上當的案例卻不減反增,陳品佑認為,從網路犯罪的角度來看,地下經濟的生態鏈已相當完整,為了追求最高利益,駭客與其耗費一段時間滲透入侵企業內部潛伏伺機竊取機敏資料,成功後再予以變現,不如轉換成商業模式,在暗網中提供訂閱式攻擊服務,收益更加穩定。例如可選購以月計費的發送BEC詐騙郵件,甚至是加密勒索服務還出現拆帳分潤模式。
駭客組織建立完整生態鏈之後,攻擊次數勢必只會增長無法被制止,微軟內部長期追蹤與研究發現,從2010年到2019年,平均每年都是倍數成長。過去個人要發動攻擊活動,通常是技術高手,如今則只要進入暗網,即可付錢請高手代為操作,藉此獲取更多利益。 當駭客攻擊逐漸變成非法牟利的手段,規模也逐年壯大,微軟數位安全中心也開始協助當地警察運用資訊科技進行調查,例如提供惡意程式反解譯工具,才有機會追蹤到原始設計者。畢竟數位犯罪者確實已成功地獲取利益,這類型手法勢必會被仿效與改良避免遭追蹤逮捕,欲有效地遏止,需要產業與政府單位緊密合作。例如年初時台灣微軟與法務部調查局共同宣布破獲VPN非法IP攻擊,以及在2020年3月下架全球最大垃圾郵件殭屍網路之一的Necurs,防止台灣產業遭駭。
陳品佑進一步說明,實際上早在2018年12月,台灣微軟已跟法務部調查局簽署情資交換計畫,其中包含殭屍網路攻擊訊號來源,運用人工智慧與機器學習解析,讓台灣警政單位得知遭受攻擊威脅的狀態。特別針對Necurs殭屍網路,主因除了發動大量釣魚郵件、加密勒索、DDoS攻擊,更特別的是Necurs殭屍網路設計為混合式架構,並非僅為過去熟知的中繼站主機遠端發送控制指令模式,同時也為P2P(Peer-to-Peer),任一台殭屍電腦皆可傳播執行指令,若僅撤銷部分無法發揮效果,必須得全面封鎖才可避免危害。
EOP驗證郵件標準規範判別真偽
欲降低社交工程成功率,必須持續地進行員工教育訓練提高警覺心,搭配防護措施輔助才可發揮效益。從郵件收取與發送的風險環節來看,張士龍說明,例如SMTP協定缺乏鑑別寄件人身分的機制,詐騙者若在郵件的寄件者欄位上手動填寫,即可偽冒他人身分來發送釣魚或垃圾郵件,且來源難以追查。
台灣微軟資安產品行銷經理張士龍觀察,BEC事件通常是運用社交工程郵件發動,詐騙者相當熟捻人性弱點,再加上地下經濟完整生態鏈,運用大數據分析與理解人們點選開啟郵件、輸入帳密的驅動因素,詐騙者可參考以設計成功機率更高的攻擊策略。
對此Microsoft 365具備的EOP(Exchange Online Protection)機制,允許域名管理員公布所授權的郵件伺服器IP位址,接收伺服器會在收到郵件時驗證發件人在SMTP對談過程中執行Mail From命令時,比對該郵件位址與SPF記錄所指定的來源IP,以判斷是否偽冒。
郵件系統環境已具備相當成熟的防護機制降低風險,至於人的行為,首要是須藉社交工程演練等方式持續地強化,提高警覺心,至少須具備經常往來的聯絡人郵件位址與顯示名稱不一樣時得以及時發現。其次是增添多因素驗證(MFA),儘管Exchange Online雲端服務已經具備保護機制,萬一是帳密遭盜取,仍可被利用來發送BEC詐騙郵件,此時多因素驗證即可發揮防護。