什麼是變臉詐騙/BEC- (Business Email Compromise) 商務電子郵件詐騙？

美國聯邦調查局（FBI）將企業郵件受駭（BEC）定義成針對與外國供應商合作企業或經常進行匯款支付企業的精密騙局。原本稱為Man-in-the-Email詐騙，這些詐騙會侵入公開的企業郵件帳號來進行非授權的轉帳。根據美國聯邦調查局指出，在2013年10月到2015年8月間，BEC詐騙已經造成美國受害者將近7.5億美元的損失，影響超過7,000人。全球網路犯罪份子從美國以外的受害者詐騙了超過5,000萬美元。

它如何運作？

BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚（Phishing）手法達成，攻擊者會建立類似目標公司的網域或偽造的電子郵件來誘騙目標提供帳號資料。在監控受駭電子郵件帳號時，詐騙者會試著找出進行轉帳及要求轉帳的對象。詐騙者通常會進行相當的研究，尋找財務高階主管變動的公司，高階主管正在旅行的公司或是進行投資人電話會議來製造機會以進行騙局。

BEC詐騙有三種手法：

第一個手法：透過偽造的郵件、電話或傳真要求匯款給另一個詐騙用帳戶

這個手法也被稱為「偽造發票騙局」、「供應商詐騙」和「發票變造騙局」，通常跟有供應商關係的企業有關。詐騙者透過偽造的郵件、電話或傳真要求匯款給另一個詐騙用帳戶。

第二個手法：詐騙者自稱為高階主管（CFO、CEO、CTO等）、律師或其他類型的法定代表

在這個手法中，詐騙者自稱為高階主管（CFO、CEO、CTO等）、律師或其他類型的法定代表，聲稱要處理機密或有時效性的事情，要求匯款至他們所控制的帳戶。在某些案例中，欺詐性的匯款轉帳要求直接到金融機構，指示要緊急發送資金到一家銀行。這種騙局也被稱為「CEO詐騙」、「企業高階主管詐騙」、「偽造身分」和「金融企業匯款詐騙」。

第三個手法：駭客入侵員工的電子郵件帳號

跟其他兩個手法類似，駭客入侵員工的電子郵件帳號，接著用此帳戶要求發票付款給詐騙者所控制的銀行帳戶。郵件送至員工聯絡人列表上所找到的多個供應商。在廠商追查發票付款狀態前，企業可能不會察覺詐騙發生。

這些騙局大多利用社交工程（social engineering ）攻擊，通常不需要進行複雜的系統滲透。跟網路釣魚詐騙不同，BEC詐騙所使用的電子郵件並非大規模寄送，以免被標記為垃圾郵件。此外，BEC詐騙會誘騙受害者轉帳給對方，通常會要求受害者快速或私底下進行。

六個防止成為 BEC受害者防禦之道

建議企業要保持警覺和教育員工如何防止成為BEC詐騙和其他類似攻擊的受害者。重要的是要知道，網路犯罪分子不關心你公司的大小，有越多受害者越好。此外，網路犯罪分子不需要有高超的技術，因為他們可以在網路犯罪地下世界中找到滿足各層面專業技術的工具和服務。隨著世界越來越加依賴網路服務，像是網路郵箱，一個受駭帳號就是竊取企業所需的一切。因此，這裡有一些如何保持安全的提示：

• 仔細檢查所有的電子郵件。小心來自高階主管送來的不尋常郵件，因為它們是用來誘騙員工去緊急動作。檢視要求資金轉移的電子郵件以確認該請求是否正常。
• 教育和訓練員工。雖然員工是公司最大的資產，當提到資訊安全，他們往往也是最脆弱的一環。依照公司的最佳實作來培訓員工。提醒他們遵守公司政策是一回事，但養成良好的安全習慣是另一回事。
• 供應商付款位置改變要由公司人員進行第二層簽核來加以確認。 了解你客戶的習性，包括細節和付款背後的原因。
• 使用手機驗證來確認資金轉移請求以作為雙因子認證，使用已知的熟悉號碼而非來自電子郵件中所提供的內容。
• 如果你懷疑自己成為BEC郵件的目標，立即向執法部門回報。

資訊來源：趨勢科技、Security 101