預防BEC詐騙,從郵件安全做起!

預防BEC詐騙,從郵件安全做起! 企業員工郵件遭冒用,誤導企業交易的電匯詐騙事件頻傳,為了避免這樣的狀況發生,強化電子郵件系統的使用安全性,勢在必行! 文/羅正漢 | 2017-09-30發表 針對BEC詐騙這樣的攻擊,近期我們也看到一些電子郵件安全產品中,提供新的社交工程攻擊防護技術,像是內建了BEC的防護選項。藉由偵測與交叉分析,針對像是郵件標題、內文與遞送資訊等。(圖為趨勢Hosted Email Security產品介面) 經營企業最主要的目的就是「創造利潤」,說白一點就是要賺錢,雖然過程中可能面對市場變化與經營不善,但如果是因為詐騙而造成損失,應該很不甘心。面對商業電子郵件詐騙(BEC)這樣的威脅,由於是企業本身疏於資安保護,如何「預防」交易匯款被騙走,就是企業最關心的事情。因為BEC詐騙已經為企業帶來鉅額損失,我們需要有更多的警惕,至於該如何預防,如何強化電子郵件安全,就是一大議題。這次,我們也詢問了多家郵件安全與資安廠商,並整理出現有應對BEC詐騙各環節的作法,以及能利用的防護技術,讓企業能夠多些因應之道。養成安全的郵件使用習慣電子郵件已經是普遍企業傳遞訊息不可或缺的工具,尤其是與海外業者交易聯繫的重要管道。而BEC詐騙的最大特點是,都是利用普遍人們對於電子郵件太過信任的習慣,沒有想到要去進一步確認寄件者,是否就是當事人,而誤信更改匯款帳號與緊急電匯的內容。一般企業該如何防範呢?由於公司本身疏於資安防護,我們先從基本的資安防護面向來看,供企業作為因應參考。 不要用免費信箱與共用帳號 盡量不要使用免費網路信件空間,也千萬不要共用郵件帳號。要知道,這容易成為網路犯罪分子鎖定的目標。有企業可能認為,他們連公司網站都沒有,怎麼會成為目標,其實在參展的各式交際與交換名片過程中,就有機會被駭客蒐集到資料而鎖定,特別是當他們發現,有使用免費信箱與共用信箱的情形時,很有可能判斷該公司是容易下手的目標,因為資安防護薄弱。對於一些傳統的中小企業而言,老闆、會計與業務人員,可能都沒有這方面的概念,也欠缺專業IT人員,即便生意規模可能已經作的很大。也許,當大家在接觸到這樣的企業時,可以適時做出一些提醒,共同提升防護意識。 做好基本密碼安全與端點防護 由於BEC詐騙在早期發生階段,駭客也會監看電子郵件中的財務往來細節。因此在郵件帳號與登入方面,像是密碼設定不能太過簡單,避免輕易遭到暴力破解,同時也要做好基本端點防護,減少駭客入侵、木馬程式植入的機會,防止電郵詐騙案的發生。 培養員工資訊安全意識 面對各式釣魚信件、詐騙信件,企業員工只要稍不注意,就可能一次造成鉅額的損失。因此,企業平時就需要培養員工正確的資訊安全觀念,尤其是交易負責人與財務相關經辦人員,他們是BEC詐騙的主要收件者對象。特別是在回覆電子郵件時,也應留意收件者的E-mail 是否正確,像是來自甲的電子郵件,回覆時寄件者卻是乙,就是問題,但一般使用者可能並不知道會有這樣的情形。同時,使用者也應對竄改電子郵件帳號的假冒與混淆手法,有些概念,才比較容易發現異常。透過郵件安全產品的進階防護功能,加強企業本身的資安保護不過,對於一般使用者來說,要識破這類假冒的電子郵件,純粹用人眼來看出也很難,也還是會有疏忽,因此通常也會建議,強化強化電子郵件系統的使用安全性,搭配一些郵件安全防護產品或輔助功能,來避免這樣的狀況發生,或是幫助使用者過濾。 應用郵件加密方式確保內容安全 企業可要求員工對重要信件進行附檔加密,或是透過具有自動加密的郵件防護產品,將整封重要信件加密成ZIP、PDF,而收到信件的用戶,需搭配事前透過電話約定之密碼才能開啟。而若要運用這樣的功能,已經有一些郵件安全產品可以提供這樣的功能,例如臺灣本土廠商網擎。 發送BEC測試信,提升員工資安意識 當然,如果想要強化人員對於BEC詐騙的資安意識,也有對應的作法。像是臺灣本土郵件安全廠商基點表示,他們提供的郵件滲透測試服務,也可與企業承辦人員探討客製化、針對式攻擊的BEC模擬樣本。例如:寄件人偽冒為該公司的總經理,收件人為該公司的財務人員,也就是測試信的受測對象。至於郵件主旨,可以是「歐盟新開帳戶及信用額度」,郵件本文則是「歐盟XX廠商要新開帳戶及信用額度,此事很急,今天下午2點前要辦妥,並署名總經理。」這種寄發測試信的方式,也能達到提升警覺性的效果,針對上當的使用者。 可啟用專屬的BEC防護功能 此外,近年不少郵件安全廠商,也很關注BEC詐騙的猖獗,開始在郵件防護相關產品中,加入BEC相關的防護功能。舉例來說,像是趨勢與Cisco的產品中就有相關設定選項,一旦系統偵測到有問題,系統預設動作會在郵件內文或標提前面加上警示字樣,能夠幫助使用者察覺到郵件異常,提醒使用者要進一步去確認。臺灣郵件安全廠商中華數位同樣表示,現在他們的郵件過濾產品也加入智慧型詐騙郵件行為特徵檢測,並可針對匯款詐騙、冒名偽造網域社交郵件防禦等,同時不會因為白名單設定不正確而影響判別結果。同樣,也會有做出警示,企業管理者管理者只需要宣導收到類似信件警示,需做第二管道的確認,即可降低詐騙郵件入侵的風險。而趨勢科技也提到一些他們在BEC防護的技術原理,針對BEC詐騙社交工程手法,可透過機器學習來做到更精準的判斷,從郵件行為與意圖來偵測與交叉分析,分析郵件標頭,還有像是這類社交工程信件內容有太多種寫法,透過龐大的樣本來學習分析,提升準確性。 自行設定郵件管控原則 一些郵件安全防護產品也有內寄外送的管控機制,使用者也能簡單設定一些條件,像是將取名與CEO名字相同的信,如果不是內部傳送的話,都要做一些特殊的處理,放到隔離區或警示。 強化郵件帳號登入安全 避免郵件帳密被盜遭入侵,也是避免身分遭冒用,以及郵件內容被監看的防護重點。因此,在郵件帳號與登入安全上,企業也能強化相關防護的機制,特別像是一些企業內部如有開放員工,透過網頁郵件服務、行動郵件App來收發信,應考慮是否強化相關的身分驗證機制,像是搭配雙因素認證,例如,以個人智慧型手機作為驗證裝置,確保登入郵件服務的使用者是否為本人,多一道驗證程序。又或者是要有異地登入警示的機制,才不至於讓企業帳號被盜,卻無法立即察覺。 採用郵件身分驗證等機制 若企業對於郵件安全有更高的條件需求,也可以注意郵件產品能夠提供的SPF、DKIM與DMARC等郵件身分驗證機制,或是S/MIME、PKI等加密以及簽章技術,從而降低釣魚郵件及偽造郵件的發生,甚至防護郵件傳送過程中不會遭到竄改,只是,這類方法通常也要寄收件雙方都能配合,施行難度較高。至於針對假冒網域的情況,除了使用者最好要認識竄改E-Mail的混淆手法,過去有些公司在註冊網域名稱時,為了怕有被冒用的可能性,其實就會將這些看起來很像的網域,預先註冊以防範,也是一種方法。強化企業匯款確認流程,也是預防BEC詐騙的關鍵方法從BEC詐騙事件來看,都是對於電子郵件太過信任,誤信更改匯款帳號與緊急電匯的內容,匯款方不察或基於信任未再向請款方求證,導致匯款至詐騙帳號,使企業可能蒙受財務損失,且雙方也容易衍生交易糾紛。若從商業流程的角度來看,由於公司本身可能疏於匯款確認,應加強公司內部商業流程的內控機制。如以近期的BEC詐騙情境來看,簡單的作法就是,看到「客戶變更匯款帳戶」、「CEO通知緊急電匯」的郵件內容,一定要以第二管道聯繫,像是立即電話確認,增加交易的安全性。或是請執行長與財務主管能提供一些匯款帳號清單,並建立確認帳號的標準流程。讓不在清單內的帳號,以及變更匯款與緊急電匯,都能有多一道審核程序。 iThome Security

更多訊息更多資料都在這裡喔!~蝦青素~蜂王乳~蜂王漿~血栓溶解酵素~蚯蚓粉~南極寶~蝦紅素~PPLS~力雪達~膠股力~智勝王~保健食品~磷蝦油~地龍粉~地龍酵素~健康食品~膠骨力~青春元素~芙婷寶

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *