微軟發佈了第四版 Cyber Signals，數據顯示利用企業電子郵件詐騙（business email compromise, BEC）在近期大幅上升，根據微軟觀察，2019 年至 2022 年期間，針對企業電子郵件的網路犯罪即服務（CaaS）增加了 38%。

BEC 攻擊在網路犯罪產業中之所以能夠脫穎而出，主要來自於其對社交工程與詐騙的了解。在 2022 年 4 月至 2023 年 4 月期間，微軟威脅情報數位犯罪機構偵測並調查了 3,500 萬次 BEC 嘗試攻擊，平均每天嘗試 15.6 萬次。並在 2022 年 5 月至 2023 年 4 月成功下架 417,678 個釣魚網站連結。

常見的 BEC 攻擊手法

威脅攻擊者使用 BEC 詐騙會採取多種形式，包括透過電話、簡訊、電子郵件或社群媒體。偽造身份驗證請求的訊息以及冒充個人或公司身份也是常見的攻擊手法。

BulletProftLink等平台助長BEC詐騙犯罪活動

微軟觀察到攻擊者利用如BulletProftLink等平台來進行詐騙的顯著趨勢，BulletProftLink是一種用於創建產業規模惡意郵件活動的熱門服務，它提供端到端的服務，包括攻擊範本、主機託管和 BEC 自動化服務。使用此 CaaS 的攻擊者還能夠獲得IP 位址以幫助 BEC 攻擊者進行攻擊對象的選擇。

打擊BEC詐騙的建議

• 使用安全的電子郵件解決方案：現今雲端平臺的電子郵件服務使用如機器學習的 AI 功能來強化防禦，增加進階網路釣魚防護和可疑信件轉發偵測。其中，用於電子郵件和生產力相關的雲端應用還提供持續並自動的軟體更新以及安全政策集中化管理的優勢。
• 保護身份以禁止橫向移動：進行身份識別的保護是打擊 BEC 詐騙的關鍵要點。透過零信任和自動化識別管理來控制對應用程式以及資料的存取權。
• 採用安全的支付平台：建議將透過電子郵件寄送發票的模式轉換成使用專門為驗證付款設計的系統。
• 強員工對不安全訊號警惕性的教育訓練：持續教育員工如何辨識詐騙和其他惡意的電子郵件，例如網域和電子郵件位址不符，以及了解成功的BEC攻擊所帶來的風險和成本。

相信每個人都用過電子郵件，而你是否有認真確認過郵件的地址來源後再進行下一步?我們應該要保持警覺心，當有疑慮的郵件可先詢問本人或上相關網站查詢，請勿隨意點取來路不明的郵件，勿因小失大。

詳文請見資安人文新聞稿