什麼是商業電子郵件入侵 (BEC)？

商業電子郵件入侵 (BEC) 是一種以組織為目標的網路釣魚攻擊，目的是竊取金錢或重要資訊。

商業電子郵件入侵 (BEC) 的定義

商業電子郵件入侵 (BEC) 是一種網路犯罪，詐騙者透過電子郵件誘騙他人轉帳或洩漏機密公司資訊。罪犯會冒充值得信賴的人物，然後要求支付假帳單的費用，或將可用於其他詐騙的敏感性資料提供給罪犯。由於遠端工作的情況日漸增加，BEC 詐騙也隨之提升，去年向 FBI 提出的 BEC 申訴就有將近 20,000 起。¹

商業電子郵件入侵詐騙的類型

91% 的網路攻擊起點是電子郵件。² 了解最常見的遭入侵電子郵件類型。

資料竊取

詐騙者有時會先將目標鎖定為人力資源部門，並竊取他人排程或個人電話號碼等公司資訊。然後，詐騙者就能更輕易實施其他 BEC 詐騙，將可信度提升。

假發票騙局

詐騙者會冒充與貴公司合作的合法廠商，然後透過電子郵件傳送假帳單，這通常看起來與真帳單非常相似。帳號可能只差了一個數字。或者，詐騙者會要求您付款到另一家銀行，並聲稱您的銀行正受到稽核。

執行長詐騙

詐騙者騙取或入侵執行長的電子郵件帳戶，然後向員工傳送電子郵件，指示員工進行購買或透過電匯轉帳。詐騙者甚至可能會要求員工購買禮品卡，然後要求提供序號的相片。

假冒律師

在這種詐騙中，攻擊者以未經授權的方式存取法律事務所的電子郵件帳戶，接著向客戶傳送發票或線上付款的連結。電子郵件地址是合法的，但銀行帳戶卻不是。

帳戶洩露

詐騙者使用網路釣魚或惡意程式碼取得財務部門員工 (例如應收帳款主管) 的電子郵件帳戶存取權。接著，詐騙者傳送公司供應商的假發票，要求收件者向假冒的銀行帳戶付款。

BEC 詐騙的運作方式

以下是 BEC 詐騙會發生的情況：

1. 詐騙者會研究目標，並找出假冒其身分的方式。有時他們會建立假網站，或甚至在不同國家註冊與貴公司名稱相同的公司。

2. 詐騙者取得存取權後，會監控電子郵件來找出可能會匯款或收款的對象。他們也會查看交談模式和發票。

3. 在電子郵件對話中，詐騙者會透過造假的電子郵件網域來冒充其中一方。(電子郵件地址可能有一、兩個字母不同，或是電子郵件地址雖然正確，但「透過」不同的網域傳送，例如 chris@contoso.com 是透過 fabrikam.com。)

4. 詐騙者嘗試取得目標的信任，並要求提供金錢、禮物卡或資訊。

商業電子郵件入侵的目標

任何人都可能是 BEC 詐騙的目標。企業、政府、非營利組織和學校都會是目標，尤其是以下角色：

1. 主管和領導者，因為公司網站上通常會公開提供他們的詳細資料，攻擊者就能假裝認識他們。

2. 財務員工，像是掌握銀行詳細資料、付款方式和帳戶號碼的財務長與應付帳款員工。

3. 人力資源主管握有社會安全號碼、稅籍證明、連絡資訊和排程等員工記錄。

4. 新進或基層員工，他們無法向寄件者驗證電子郵件的真實性。

BEC 的危險性

如果遭到商業電子郵件入侵攻擊，貴組織可能會：

1. 損失數十萬到數百萬元。

2. 因個人識別資訊遭竊，面臨廣泛的身分識別盜用。

3. 意外洩漏智慧財產權等保密資料。

BEC 騙局會演變，而威脅防護策略亦是如此。事實上，Microsoft 在去年封鎖了 320 億封電子郵件威脅。³ 深入了解 Microsoft 的電子郵件威脅防護解決方案。

商業電子郵件入侵的範例

範例 1：支付這筆緊急帳單

假設您在貴公司的財務部門工作。您收到來自財務長的電子郵件，內容有關逾期帳單的緊急要求，但這實際上並非來自財務長。或者其他詐騙者假裝是維修公司或網路供應商，並傳送看起來有說服力的發票。

範例 2：您的電話號碼是？

一名公司主管向您傳送電子郵件：「我需要您幫忙一件小事。給我您的電話號碼，我會再傳簡訊給您。」簡訊讓人感覺比電子郵件更安全也更個人化，因此詐騙者希望您能傳送付款資訊或其他敏感性資訊。這稱為「簡訊網路釣魚」或透過簡訊 (文字) 的網路釣魚訊息。

範例 3：您的租用時間已到期

詐騙者取得房地產公司的電子郵件存取權，發現進行中的交易。他們向客戶傳送電子郵件：「這裡是辦公室租用續約一年的帳單」或「這裡是支付租用訂金的連結」。詐騙者最近透過這種方式騙取某人超過 50 萬美元。⁴

範例 4：最高收購機密

您的老闆要求一筆收購競爭對手的頭期款。信件中提到：「不得洩漏這個祕密，」打消您驗證要求的念頭。由於併購案通常會要等塵埃落定才會公布，這種詐騙乍看之下並不可疑。

預防 BEC 的提示

遵循這五種最佳做法來阻止商業電子郵件入侵：

使用安全的電子郵件解決方案

Office 365 這類電子郵件應用程式會自動標記和刪除可疑電子郵件，或提醒您寄件者未經驗證。您就可以封鎖特定寄件者並回報電子郵件為垃圾郵件。適用於 Office 365 的 Defender 甚至新增了更多 BEC 防範功能，例如進階網路釣魚防護和可疑轉寄偵測。

設定多重要素驗證 (MFA)

啟用多重要素驗證讓您的電子郵件不易遭入侵，這種驗證需要代碼、PIN 碼、或指紋和密碼來登入。

教導員工找出警告跡象

確保所有人都知道如何找出網路釣魚連結、不相符的網域和電子郵件地址和其他危險信號。模擬一場 BEC 詐騙，實際發生時人員就能辨識。

設定安全性預設值

系統管理員可以透過要求所有人使用 MFA、以驗證質疑新的或有風險的存取，以及在資訊洩露時強制執行密碼重設來加強整個組織的安全性要求。

使用電子郵件驗證工具

使用寄件者原則架構 (SPF)、網域金鑰識別郵件 (DKIM) 和網域型郵件驗證、報告與一致性 (DMARC)，來驗證寄件者，讓您的電子郵件更難以遭詐騙。

採用安全的付款平台

考慮從電子郵件式發票轉換成專為驗證付款所設計的系統。

商業電子郵件入侵防護

透過適用於 Office 365 的 Microsoft Defender 等解決方案來偵測可疑電子郵件以保護貴組織，此解決方案包括：

1. 自動檢查電子郵件驗證標準、偵測詐騙，並將電子郵件隔離或傳送到垃圾郵件資料夾。

2. 使用 AI 為每個人建構一般電子郵件模式並標記異常活動。

3. 依使用者、網域和信箱設定電子郵件防護。

4. 調查威脅、找出遭鎖定的對象、偵測誤判為真的狀況，以及識別威脅總管中的詐騙者。

5. 使用詐騙情報中的進階演算法，檢查整個網域的電子郵件模式並強調異常活動。

深入了解 Microsoft 安全性

讓電子郵件更安全的六個提示

遵循這些電子郵件安全性最佳做法，協助防範 BEC。

閱讀提示

了解禮品卡詐騙

閱讀詐騙者嘗試進行 BEC 詐騙的電子郵件，您就能有所準備。

探索其策略

深入認識 BEC 攻擊

了解詐騙者如何在這種現實生活中的商業電子郵件入侵詐騙進行操作。

取得詳細資料

防止密碼噴灑攻擊

了解如何阻止此電子郵件攻擊，並找出貴組織中誰是弱點。

閱讀文章

CISO 應了解的項目

了解安全性意識訓練的現狀，以及如何對團隊進行網路釣魚教育。

深入閱讀

MFA 如何防範網路釣魚

採取最快速簡單的步驟之一來阻擋 BEC 詐騙：啟用多重要素驗證。

深入了解

認識數位犯罪小組

了解 Microsoft 的網路犯罪小組如何透過產品創新、研究和 AI 來對抗 BEC。

探索 DCU

常見問題集

向 FBI 的網路犯罪投訴中心 (IC3) 提出申訴。將電子郵件標記為垃圾郵件來向您的電子郵件供應商回報該郵件。如果您的電子郵件沒有該選項，請告訴您的主管。
網路釣魚只是商業電子郵件入侵的一種形式。BEC 是一種術語總稱，這類型的攻擊通常包括網路釣魚、詐騙、模擬和假發票。
透過遵循電子郵件安全性最佳做法來保護商業電子郵件，例如使用安全的電子郵件供應商、啟用多重要素驗證 (MFA)、選擇強式電子郵件密碼並經常變更，以及避免在線上分享個人詳細資料。如果您是系統管理員，可以考慮適用於 Office 365 的 Defender 解決方案、設定安全性設定，並監控異常活動。
透過留意任何異常情況來偵測 BEC 詐騙，例如在上班時間之外傳送的電子郵件、拼寫錯誤的名稱、寄件者電子郵件地址和回覆地址之間不相符、急迫感、奇怪的連結和附件，或者付款或帳單資訊更改。您還可以藉由檢查您電子郵件帳戶已刪除的電子郵件和轉寄規則，來查看您的帳戶是否遭入侵，而檢測 BEC 詐騙。如果您的電子郵件應用程式標記特定電子郵件為可疑或未驗證，這就是另一個偵測 BEC 詐騙的方式。
電子郵件詐騙是偽造一組電子郵件地址，讓該電子郵件地址看起來像來自某個人。詐騙電子郵件可能看起來像真實的地址，但來自不同網域，在仔細檢查之前問題並不明顯 (chris@contoso.com 透過 fabrikam.com) 或有細微的拼寫錯誤 (chris@cont0so.com) 或完全來自不同的網域 (chris@fabrikam.com)。

1. FBI。「2021 年網路犯罪報告。」網路犯罪申訴中心。2021.

2. Tanmay Ganacharya。「防範以冠狀病毒為主題的網路釣魚攻擊。」 Microsoft 安全性部落格。2020 年 3 月 20 日。

3. Microsoft。「數位防禦報告。」 2021 年 10 月。

4. 美國司法部。「位於羅德島州的男子坦承與他人合謀犯案，透過電子郵件入侵並詐騙麻薩諸塞州律師進行洗錢。」 2020 年 7 月 15 日。