自由財經

〈財經週報-司法熱點〉要求更改匯款帳號 須再次求證

2021/02/28 05:30

商業電子郵件陷阱多 掌握這六招企業不受騙

記者陳慰慈/專題報導

商業電子郵件詐騙(BEC)是近年來常見的詐騙手法,不少企業因此中招。調查局指出,駭客常會註冊與公司相似網域,提醒企業主及員工,重要信件往來勿直接使用「信件回覆」功能,應自行輸入對方電子郵件位址,或在回覆信件寄出前,核對方電子郵件位址是否正確。

重要信件 勿直接回覆

因駭客攻擊無孔不入、資安防護也不可少。調查局建議企業主提醒員工,勿使用私人或免費信箱作為聯絡使用,並定期檢查信箱是否遭設定「信件轉寄」功能或是信箱「規則」是否遭設定信件轉寄,及檢查「刪除郵件」或「垃圾筒」是否有異常。還應加強員工教育訓練、資安宣導與社交工程演練,尤其是BEC詐騙通常是針對從事匯款的員工、主管,當遇有要求更改匯款帳號,須以電話、傳真再次向對方求證;而企業系統管理員也應檢視員工存取個人信箱的IP與登入時間是否有異,管理郵件伺服器或重要伺服器的IP應採白名單機制,限制不相干IP存取。

曾取得CEH道德駭客認證、CHFI資安鑑識調查專家認證的明毓律師事務所律師徐仕瑋分析,駭客可能利用植入木馬程式等方式入侵企業電子郵件,或伺機截取交易雙方電子郵件,採取所謂「 中間人攻擊」,蒐集分析資訊,直到對企業往來細節,如雙方對接窗口、層級、交易內容、慣用語等瞭若指掌後,這才出手攻擊。

遭騙款項難追回

徐仕瑋指出,類似詐騙案匯款的銀行帳號、帳戶名稱及電子郵件IP位址都在境外,詐騙金額通常在極短時間內遭提領或轉移。企業如想追回損失,恐怕機會甚微。建議企業在發送重要電子郵件前後,比照往日傳真慣例,以電話聯絡接收方,並建立與對接窗口熟悉度。

徐仕瑋並提醒,企業應妥善管理所使用電腦及手機,系統及軟體更新,安裝防毒軟體,限制使用者權限,且不安裝不該裝的軟體或瀏覽器擴充功能,不點不該點的連結,不對任何人透露重要的帳號或密碼等;另應防堵傳播資訊的途徑在實體上被擷取的可能,如企業網路設備乃至無線網路環境應妥善設定,不讓不屬於企業的電腦有存取企業網路的機會;其次企業內部及對外資訊的傳輸,應盡量採取點對點加密,也就是讓資訊在發送前加密,直到接收方收取資訊後才解密;若客觀環境不易達成,那至少在傳送重要附件檔案時,要對附件檔案加密。此外,為防駭客截取資訊後篡改內容,或有冒用身分機會,電子郵件數位簽章的採行實屬必要。