資安周報第18期：你知道正在跟你通信、打電話甚至見面的

jis2577

從美國芭比娃娃公司Mattel為例，一封假冒執行長的信，就可以要求財務主管匯款給假的中國供應商，所幸詐騙款項最後追回，但這麼輕易就相信電子郵件的命令匯款，也讓人感到驚訝。

芭比娃娃製造商Mattel日前對外公布，在去年4月曾經發生過，有詐騙集團假冒執行長的信，要求財務主管匯款給假中國供應商且成功的案例，所幸300萬美金事後已經追回。

詐騙集團的手法越來越精密，對於被鎖定的「當事人」或「組織」掌握度甚至已經到了無孔不入的地步，像是美國聯邦調查局（FBI）在日前揭露的案例，美國芭比玩具製造商Mattel就被詐騙了300萬美元，雖然之後很幸運的追回相關的款項，但進一步分析詐騙集團所掌握的資訊，其實相當驚人。
以Mattel的案例為例，詐騙集團很清楚的知道該公司執行長Christopher Sinclair剛剛在2015年4月初上任，事件發生在同年4月下旬，執行長和財務長的確很很難在短短佈道一個月的時間，培養足夠的默契。
不過，詐騙集團本身除了清楚Mattel公司經營階層的異動狀況外，甚至也清楚該公司貸款簽核金額的上限，以及核發撥款的權限與流程，因為掌握的資訊相當精準，所以，整起詐騙事件才會成功。
首先，詐騙集團便利用社交工程的手法，將網路釣魚信件發送到負責Mattel公司的財務主管手上，在財務主管點選網路釣魚信件後，趁機在財務主管的電腦中植入惡意程式，有了惡意程式作為馬前卒，想要該公司內什麼樣的資料，無不手到擒來。因此，詐騙集團知道該公司的請款流程，也知道每一個主管手中對於貸款金額的權限，以及授權放款的程序與流程。
在掌握相關的情資後，詐騙集團便假冒執行長發信給財務主管，由於Mattel公司對於大筆的款項支付審核，內部規定需要有兩位高階主管核可，而被植入木馬程式的財務主管和執行長，都具有相關的核可權限，所以，財務主管在收到執行長的匯款信件後，不疑有他，便立即將大約300萬美元的金額，轉帳給位於中國的某一間供應商。
在這個過程中，這個假的供應商必須是真實存在，只不過存在的目的是為了詐騙而不是真的做生意，而Mattel貸款給這個假供應商的金額與事由，也都必須是合理的，且符合公司既有的規定和流程才可能做到如此天衣無縫。而財務主管直到當天稍晚，口頭和執行長確認時，才發現原來遭到釣魚郵件的詐騙，才趕緊請求美國聯邦調查局協助。
當然，有許多人會覺得，怎麼可能這麼容易受騙上當，怎麼不會想說再事前確認一下。我們都不是當事人，無從對於中間的流程細節多所置喙，只能相信，每一間公司都有各自遵循以久的做事流程與標準作業程序（SOP），我們人往往都是習慣的動物，討厭異動，所有的事情只要習以為常的，就沒有改變的必要，也更容易疏忽再度確認中間所有細節的必要性。所以，詐騙集團往往只要掌握到關鍵的人，流程，以及人性，經常可以成功完成一次甚至是多次詐騙。
詐騙集團假冒臺灣客戶發信給外國客戶更改匯款帳號，至少損失10萬美金
Mattel公司的詐騙其實只是冰山一角，根據美國聯邦調查局的調查，光是這樣的網路調查信件，在過去兩年來，就已經成功詐騙23億美元（約713億元）的金額，詐騙金額之龐大，令人咋舌。
不過，或許有人認為，像是Mattel公司遇到的這種網路釣魚信件的詐騙事件，並不會發生在臺灣，可能是因為臺灣大都是以中小企業為主體的企業型態，經常不具有標準的流程，以人治為主的運作型態。因此，想要出現財務主管會因為只看了一封執行長寄來的電子郵件後，就會直接匯款給供應商。
但是，其實在臺灣，即便不會發生類似Mattel公司的這類網路釣魚詐騙案件，卻可以發現，已經有許多中小型企業，深陷另外一種網路釣魚的詐騙事件中。
聽到的案例則是，某間在南部，專做國際貿易的中小企業公司，某一天，國外客戶敲定某個產品品項的製作數量和交期後，該中小企業公司求先匯款部分款項後，才會開始製作。這間中小企業在要求匯款的信件寄出後，便遲遲等不到匯國外客戶先款進入指定的帳戶。後來，這間中小企業終於和客戶方連絡上後才發現，該名客戶老早就收到郵件的隔天，已經將相關的款項匯入臺灣公司的帳戶中。
在這個過程中，包括外國客戶以及臺灣公司都因為習慣，遲遲沒有發現中間的不合理之處，因為，外國公司有收到臺灣公司發信，更改匯款帳號的信，面對這麼大且不合理的改變，外國客戶選擇「直接相信」而不確認打電話確認相關的資訊，才造成這麼大的損失，如果沒記錯的話，這個臺灣中小企業的損失高達10萬美元。
而趨勢科技也曾經發表過類似的臺灣受害案件，手法基本上也和網路釣魚郵件相關，因為受害者點擊釣魚郵件中的惡意連結後，詐騙集團也趁機在受害者的電腦中植入惡意程式，不僅回傳相關受害臺灣企業公司的相關資訊，甚至於，詐騙集團發信給受害臺灣企業的外國客戶時，還可以接續兩人上一封信從哪裡中斷的地方繼續下去，假冒發信的內容已經足以亂真，才會讓人毫無所覺的直接相信這樣的改變。
事後，臺灣企業請資安公司進行調查才發現，該公司的電腦已經被植入惡意程式，難怪一舉一動，全部被詐騙集團完全掌握住。
假冒合作客戶，親自現身要求區域公司主管匯款
植入木馬程式，假冒外國客戶發信給臺灣業者，這整過過程都是一種犯罪行為，一旦被抓照，都有嚴重的罰責處分。
但是，你以為詐騙集團的手法只有如此嗎？舉例而言，日前我便曾經聽過一個案例，同樣是假冒問題，是跨國公司另外一間分公司的主管，帶著一起合作的業者出現，要求區域分公司中，權限比較大的區域公司撥款給這個要合作的業者，也要求立即匯款。而這個業者就是由詐騙集團假冒的。
基本上，這個詐騙集團知道該公司的匯款授權的權限和金額上限，甚至還親自現身，讓人沒有意料的情況下，親自談好合作和承攬的條件，再要求區域公司撥款。後來，是該公司撥款時，發現資料有誤，進一步追查才發現，原來這個合作的業者其實是假冒的。總公司執行長獲知有發生這樣的事情後，也立即發信給全球分公司的主管，未來有任何的合作項目，都必須再度與總公司確認無誤後，才能進行撥款。
這起案件讓人意外的事件在於，原本都躲在電贏螢幕面的的詐騙集團，已經不避諱真正現身在企業的面前，除了膽大妄為之外，也是利用人性，普遍認為，詐騙集團在怎樣都不可能現身在分公司主管面前，親自談合作、要求匯款。但事實證明，「殺頭的生意有人做」，只要有利可圖，各種可能性都會出現。
現在的詐騙集團除了透過電子郵件假冒之外，已經發展到親自現身、跟你談生意，連跨國公司都可能因為一個不小心或查證不確實而受騙上當。這也凸顯，每一個人都必須堅持各自崗位，並做好各種的基本查證工作，才能避免成為詐騙集團鎖定的對象。