過去半年國內發生好幾件大規模BEC詐騙,以色列知名軟體公司遭駭客入侵,通知客戶更改匯款帳號,多家廠商受害,蘋果某大供應商則是另一起以相同法的被害人,轉入駭客戶頭1千萬台幣。(圖片來源/FBI官方頻道)
國人被詐騙,企業也遭到詐騙,過去半年,企業界發生多起遭駭客入侵詐騙案,損失金額難以估計,一家以色列知名生產製造用軟體公司,發生遭駭客入侵事件,事發之後,通知全球客戶要注意,「我們已經被駭客盯上」,不願意直接承認遭駭。
「我收到以軟體公司名義發來的信,通知要改匯款的帳號,他裡面有開啟產品使用的密碼,密碼正確,我們都不疑有他。」一位受害的廠商表示。
收到通知更改匯款帳號,業務不疑有他
駭客疑似入侵軟體公司後台,取得供應商和客戶往來信件,與每一位客戶的產品授權使用碼,假冒供應商發信給客戶,通知新的收款銀行帳號,許多客戶不查,不疑有他,就把貨款轉到駭客指定的帳號,即便匯款之前回了一封email給總公司,相關的人員也很可能忽視。
一家蘋果手機的大供應商的業務,也是遭騙,誤以為駭客寄過來的信是出自於這家軟體公司,把1千萬元貨款轉了過去。
這家軟體公司收到許多客戶的反應後,察覺事態不妙,馬上通告全球客戶,它們的收款帳戶不會更動,如果有問題,請直接打電話來確認,不要只單憑e mail就做決定。
駭客入侵廠商與客戶之間的電子郵件,取得關鍵話術
不只國內,在印度海得拉巴(Hyderabad),兩家出口公司被駭郵入侵:財務部員工的公司郵件被駭客利用,詐騙指示收款人將款項匯至澳洲或墨西哥的帳戶。報導指款項總額約 ₹14 crore(約 1.4 億盧比)被轉走。
實際上,這是國際駭客長年使用手法,有專有名詞,被稱為供應商發票詐騙 (Vendor Email Compromise): 駭客入侵供應商的郵件,並在應付款項的通知中,將原有的銀行帳號偷偷換成駭客控制的帳號。被稱為 「商業電子郵件入侵」(Business Email Compromise, 簡稱 BEC 詐騙)。
俗稱BEC詐欺手法,中小企業特別容易中招
根美國聯邦調查局 FBI 的網路犯罪投訴中心 IC3)的報告,可以確定以下趨勢:損失金額巨大: BEC 詐騙是造成企業最大財務損失的網路犯罪類型之一。例如,報告指出 2024 年有公司因複雜的 BEC 攻擊損失了數千萬甚至上億美元。
手法核心:冒充與欺騙 (Pretexting): 駭客會入侵或模仿企業的電子郵件系統(通常是財務部門或高階主管的信箱),發送貌似合法、但實則要求更改收款銀行帳號的郵件。目標對象: 這種詐騙主要針對企業的會計、財務或高階管理人員,特別是與海外供應商或客戶有頻繁資金往來的部門。
一年多來,國內應該已經發生數起,可能廠商還沒有報案,因此外界多忽略,其實只要公司的財會人員多注意金融犯罪趨勢,輕則幾百萬,動則上億元的詐騙損失有機會避免的。
更多信傳媒報導
台股市值全球前十大 專家:台灣新創具4優勢
陳姓富商兒子疑吸毒過量 和女友雙亡在永吉路自家 豪宅變凶宅
從 J 粒子到宇宙射線:丁肇中的實驗物理之旅