機器學習解析寫作風格　揪出假郵件變臉詐騙

其中商務電子郵件詐騙（BEC，也稱為變臉詐騙）偵測數量較2019下半年增長了19%，不排除是國際詐騙集團試圖利用居家辦公期間，大量運用社交工程發動攻擊。

趨勢科技技術總監戴燊認為，全球各地企業實施居家辦公後，更加仰賴郵件聯繫與視訊會議，讓詐騙得手的機率變高，自然吸引更多犯罪者投入。台灣中小企業可說是重災區，使用者在警覺心不足之下點選釣魚郵件的惡意附加檔案或連結被植入後門程式，由於並非如同加密勒索軟體的手法導致電腦無法操作，使用者也未察覺有異狀，實際上詐騙者已經在系統背景潛伏，觀察與學習往來商務郵件的形式與溝通語言，待掌握到訂單付款時間後，才假冒合作夥伴發送詐騙匯款的郵件。

詐騙郵件獲利豐厚造成大肆蔓延

戴燊指出，詐騙者可能自暗網中購買取得企業員工的個資，開始針對式發動釣魚郵件，以假冒知名網路服務發送請立即更新密碼通知等方式騙取密碼後，即可合法登入修改郵件帳號規則，把往來客戶的郵件位址列入黑名單，再由詐騙者偽裝接續溝通，把貨款指定交付到人頭帳戶，即可迴避後續追蹤。

「尤其採用免費郵件信箱在談生意的中小企業，用戶帳密遭竊根本不自知。只是對於投資建置防護措施的意願始終不高，即使已實際發生詐騙案仍然如此，所幸這些企業尚會因此提高警覺，在支付款項的郵件處理流程中以人工方式執行多重確認來防範。」戴燊說。

運用工具的好處是可協助提高檢測效率，以及避免人為疏失，但是多數中小企業礙於預算只好以人力方式確認。實際上，純粹運用制度管理的手段確實也可防範BEC事件，只是社交工程郵件通常會宣稱時間緊迫，利用人性弱點來達到目的，仍可能會有疏漏之處。畢竟詐騙成本低廉、獲利又豐厚，勢必會吸引國際犯罪組織覬覦。

郵件協定本身容易偽冒卻難以驗證，一旦遇到企業交易流程管理不夠嚴謹，支付大筆款項未經過查核，詐騙者即可得逞。再加上今年全球疫情尚未研發出有效疫苗加以控制，各地區域持續維持居家辦公，讓跨地區的交易難以在第一時間連繫查核，風險也因此提升。詐騙者藉由郵件發動BEC，成本低廉又不容易被追蹤，即可得手高額貨款，正是大肆蔓延的因素。

寫作風格DNA偵測防偽冒 

持續追蹤掌握變臉詐騙最新活動狀態、演進的手法，如此才可善用現代工具協助防堵。戴燊指出，不管企業郵件系統是採用雲端服務或自建部署，趨勢科技皆有設計相對應的防護解決方案，包含針對Microsoft 365與Google G Suite設計的Cloud App Security（CAS）、搭配Exchange系統提供的ScanMail、閘道端部署的Deep Discovery Email Inspector（DDEI），抑或是雲端版的Email Security來協助。

前述的解決方案中，皆已納入增強的機器學習功能與專家規則用於解析郵件的行為模式、內文，以及基於SPF（寄件者政策框架）、DKIM（域名金鑰辨識郵件）、DMARC（網域型郵件驗證、報告與一致性）標準進行驗證，同時可設定財務相關人員的專屬群組，特別針對該群組發送與收取的郵件內容進行交叉比對，提高安全防護等級。其中較特別的是設計Writing Style DNA（寫作風格DNA）識別機制，運用人工智慧執行學習，一旦發現內文的寫作風格異於常態，有可能為偽冒郵件，可立即通知寄件者與IT部門嚴加留意。

多年前國際駭客組織開始進化到變臉詐騙手法時，人工智慧應用尚未普及，當時只能針對特定欄位運算評等分數，提醒使用者留意高風險的郵件。隨著BEC詐騙數量逐年攀升，防護機制也持續地增進輔助偵測能力，進一步引進人工智慧應用輔助，不僅提高釣魚郵件的辨識能力，更重要的是可理解行為模式背後的意圖，搭配寫作風格DNA機制，各項數值加總之後，提醒收件者可能是偽冒郵件。其中亦包含沙箱功能，可以阻擋附加檔案夾帶惡意程式。

搭配雲端沙箱檢測防堵缺口 

對於檢測BEC行為模式，人工智慧的輔助正可發揮效益，藉由持續不斷地餵入更多資料，訓練演算分析郵件行為模型，精準度會持續提高，降低誤判的機率。針對工作職掌須接觸到財物的員工，可納入特定群組以更嚴謹地進行偵測，例如郵件內文中提及訂單、匯款帳號、金額等指標，權重會被提高，必須再次地掃描確認。

戴燊說明，前述提到設定財務相關人員的專屬群組，以提高安全等級的因素，主要在於權重提高後可能會產生誤判，但是可接觸到財物的員工可能會是詐騙者鎖定目標，即便誤判率較高也必須更嚴謹地看待，提醒員工再次檢查郵件的真偽。

對此，趨勢科技發展多年的雲端服務可說奠定了重要基礎，至今不僅加速人工智慧應用的實踐，可達到即時比對，同時持續不斷地調校準確度，才得以讓郵件安全解決方案獲得眾多企業的青睞，更因此在國際市調組織評鑑中優於其他廠商。再加上詐騙者若採用的是郵件附加檔夾帶滲透程式手法，趨勢科技的雲端沙箱亦可精準地進行攔阻，為第一道防線建立滴水不漏防護機制，如此方可降低企業爆發資安事件的風險。