【明知故犯】多因素驗證有效預防BEC 專家話:89%企業未做到
商務電郵詐騙 (BEC) 問題愈來愈嚴重,Palo Alto Networks 最新發表的報告顯示,犯罪集團以 BEC 騙取的金額由最少的 56.7 萬美元,到最高的 600 萬美元。雖然 2020 年美國企業總損失高達18.7億美元,但受害企業因為不想商譽受損,所以才選擇保密。老闆想知道如何防避 BEC?不妨聽聽專家講解。
有別於一般的釣魚電郵攻擊,商務電郵詐騙 (Business Email Compromise, BEC) 是一種更高階的電郵詐騙技術,黑客不單只會鎖定受害目標,就連電郵內容亦有針對性,而且非常熟悉受害企業的架構、職員關係及客戶對象,例如黑客會冒認收件者的上司,向下屬發電郵指示匯款到指定戶口;又或假扮客戶,要求會計部特定員工找數等。為了取得上述資料,黑客一般會潛伏在公司內部網絡一段時間,包括暗中讀取員工與上司、客戶之間的電郵往來,才能掌握實行騙案的關鍵資料。亦正因為電郵內容相當真實,因此員工便非常容易中招,導致公司遭受巨額損失。
網絡安全公司 Palo Alto Networks 的 Unit 42 安全團隊,早於去年年初開始對BEC進行深入調查,而在最新發表的報告中,專家指出單在調查期間已收到數以百計的 BEC 騙案資料,損失由數十萬至數百萬美元不等。不過,專家認為 BEC 並非無法阻止,因為黑客往往必須先入侵公司的帳戶,因此只要做好帳戶安全工作,某程度上已可阻止入侵事件發生。
其中一種重要的工作是引入多重因素驗證 (MFA),因為只要員工電郵帳戶或其他應用服務的帳戶都需要通過 MFA 登入,那麼即使黑客已取得帳戶基本的登入名稱及密碼,依然無法使用帳戶。不過,專家進一步指出在調查的企業中,差不多有 89% 未有啟用 MFA 驗證工具,所以亦難怪 BEC 騙案如此之多。專家又警告現時 BEC 亦有 as-a-Service 模式,即使對 BEC 及釣魚電郵沒有深入認識,也可以低廉價錢購入套件工具或僱用罪犯犯案,如企業管理者繼續心存僥倖,相信不難成為 BEC 受害者。