近來我們的客戶又發生了郵件詐騙事件,就是客戶A的客戶B,B收到自稱是A傳送過來的應收帳款郵件,編造理由稱需更改匯款帳號,B因未做查證工作,便將帳款匯出,B不但成為受害人,也讓A成為間接受害人。
上述案例其實就是所謂的目標式攻擊,以往較常發生在大型企業。但近期發現,本國中小貿易出口商也陸續成為被鎖定對象,駭客經過三、四個月的社交工程及潛伏監控,成功竊取公司郵件帳號密碼並掌握其業務往來細節,對出口商本身騙取貨物,再對其客戶要求改變轉帳帳戶,損失金額對中小型貿易商來說是一筆很大的金額。
防毒軟體公司趨勢科技分析這類型的受害企業,整理出三階段攻擊手法並發現一些共同的特徵:
階段一、社交工程攻擊:由於許多中小企業仍使用免費的web mail,如Hinet mail、Gmail、Yahoo mail等,而且中小企業經常多人共用一個信箱。因此駭客第一波會先寄發假冒為免費email系統管理員的釣魚郵件,來引誘企業員工點選其中的惡意附件,緊接著植入惡意程式以竊取企業email的登入帳密,接著便開始進行email的潛伏監控。或者持續進行第二波社交郵件攻擊,寄發假的訂購單洽詢郵件,引導人員到假的企業網頁,下載訂購單訊息,同樣的下場被植入惡意程式。假冒web mail系統管理員的社交工程郵件
階段二、潛伏監控:駭客開始監控受害企業的業務往來email,並等到買賣雙方開始交涉付款細節時,從中攔截email。這時會先將雙方的email帳號分別加入各自的垃圾郵件黑名單,以中斷雙方郵件傳遞,或者直接刪除郵件。這也顯示許多企業從未有檢查垃圾信的習慣。
階段三、變臉詐騙:緊接著,駭客發信假冒客戶對貿易商表示會如期付款,並要求送貨到XX地點以騙取貨物。同時發信給客戶要求更改電匯帳戶,直接騙取貨款。往往等到買家付款遲遲未收到貨款,直接電話連繫時,才知遭到詐騙,而這過程不過短短2周。
這類攻擊有幾個共同特徵,包括受害企業的客戶通常是歐、美國家,因為有時差,因此雙方通常僅透過郵件往來;且現在的駭客不僅能熟悉商業英文書信,甚至還能懂產品專業,可以回答客戶問題,並且快速成交結案,受害企業產業橫跨汽機車零件、機械、化工、冷凍食品等。
中小企業由於沒有專職IT人員,無法適時判斷是否為假冒郵件,常因此誤入駭客的圈套中,因此我們提出以下建議:第一、來路不明郵件勿點選附件及連結;第二、定期以防毒軟體掃描電腦;第三、若收到要求更改匯款帳號的信件時,應以電話或傳真向對方確認,切勿使用郵件回覆確認;第四、轉告客戶及廠商收到類似信件時,做相同的確認動作。唯有如此,才能將風險降到最低
參考網址:Information Security 資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7635#ixzz3lzdQshsR
