老闆、財務要當心，變臉詐騙（BEC）又出新招

看過川劇變臉嗎？變臉藝人摺扇一翻，頭一轉，披風一揮，手一抬，比眨眼還短的時間內，一張臉瞬息萬變，因而變臉也被稱作「一瞬間」的藝術。這電光石火間的變化，往往濃縮著表演者台下幾十年的功夫。其實，網安圈裡也有一種「變臉」，在剎那間，卻可讓你企業損失慘重！

今天，小編帶領大家一睹網安圈的 「變臉詐騙」。變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱BEC），之前較為傳統的方式是利用鍵盤側錄程序來從受害電腦竊取使用者的帳號密碼，目標以企業高管、財務為主。據統計，2016年全球遭受變臉詐騙攻擊的企業，平均損失金額高達14萬美元。

隨著互聯網的高速發展，大多數人的網路安全意識普遍提高。看見郵件的第一反應肯定是：「小心，附件有毒」。想要利用電子郵件來散布鍵盤側錄程序，已經變得愈發困難，垃圾郵件過濾軟體通常也很快就會發現這類危險郵件並加以標註。最近，亞信安全網路監測實驗室發現了一波改用HTML網頁為附件的網路釣魚（Phishing）郵件出現，讓變臉詐騙攻擊的防範難度再提升。

亞信安全揭秘：夾帶HTML附件的網路釣魚

【夾帶HTML附件文件的網路釣魚郵件】

一旦打開該HTML附件文件，就會啟動瀏覽器並顯示如下內容：

【HTML網路釣魚頁面】

該網頁會要求使用者輸入電子郵件帳號和密碼以查看文件。而且為了誘騙使用者登入自己的電子郵箱，不法分子還刻意在網頁上放置了幾個知名電子郵件服務的圖標，如：Gmail、Outlook和YahooMail。

當使用者輸入自己的帳號和密碼並送出表單時，這些信息就會被傳送至不法分子所設定好的一個PHP腳本。這個腳本再將受害者的帳號密碼傳送至不法分子的電子郵箱。

【HTML文件內的原代碼利用POST指令來傳送數據】

從這個HTML附件檔的原代碼可以看出不法分子很可能位於奈及利亞，因為其提供的Google連接是該國的版本。

【不法分子的網址連接至奈及利亞當地的Google網域】

在奈及利亞一個知名論壇「Nairaland」有一個兜售詐騙網頁的網路廣告。刊登廣告的賣家提供了針對各種不同電子郵件服務的詐騙網頁，如：163 Mail、Gmail、Hotmail和Yahoo Mail。

【奈及利亞 「Nairaland」網路論壇詐騙網頁廣告】

淺析：兩種「變臉詐騙攻擊」的不同

目前，鍵盤側錄程序仍是「變臉詐騙」用來竊取受害者帳號密碼的最常使用工具，且效果良好。但是，想要利用電子郵件來散布執行文件，在今日已經不太容易，因為垃圾郵件過濾軟體通常很快就會發現這類危險郵件並加以標註。反觀HTML文件沒有這種危險性，除非該文件被判定為網路釣魚頁面，否則並不會被標註。

網路釣魚頁面在製作和架設上並不困難，不像鍵盤側錄程序那樣需要程序設計能力。此外，因為只需要瀏覽器就能執行，所以網路釣魚頁面可以適用任何平台，不像鍵盤側錄程序只能針對某種特定平台。

不過，相較於鍵盤側錄程序，網路釣魚頁面有個缺點就是取得受害者帳號密碼的過程較為複雜。當使用網路釣魚頁面，不法分子必須誘騙使用者在網頁上輸入帳號密碼並且送出數據。反觀鍵盤側錄程式只要一被執行，就能一直躲在背後偷偷側錄使用者在鍵盤上輸入的任何數據。

變臉詐騙攻擊使用鍵盤側錄程序與HTML文件的差別：

為了深入了解，亞信安全網路監測實驗室發現：從2016年7月1日至2017年6月30日，共收到了14,867筆數據，其中有6,664個非重複樣本。可見，針對以企業高管、財務為主發動的「變臉詐騙」，正在成為黑客盜取企業資金的利器。

亞信安全教你如何防範

防範此類威脅，只需要做到以下5點：

1. 點擊郵件中的網站鏈接前，移動滑鼠檢查鏈接的真實性；

2. 確認郵件來源，切勿輕易下載附件中的文件；

3. 收到要求提供個人資料的電子郵件要小心；

4. 檢查郵件內是否有拼寫錯誤和語法錯誤；

5. 自行鏈接到官方網站再輸入數據。