企業應慎防電子郵件詐騙(BEC)，避免被誤導轉帳至詐騙帳號

• 發布日期：105-12-29
• 發布單位：土城分局

由於使用電子郵件溝通即時便利且幾乎無須成本，已為企業間的主要聯繫方式，舉凡交易訂單、收據及匯款帳號等均可能載於郵件中。然不法分子利用社交工程或鍵盤側錄郵件帳密等方式，竊取企業間往來的電子郵件，並假冒請款方寄信要求更改匯款帳號，若匯款方不察或基於信任未再向請款方求證匯款帳號變更是否屬實，逕行匯款至詐騙帳號，待察覺後金額可能已被詐騙集團取得，企業雙方將蒙受財損且衍生交易糾紛。
 
有關電子郵件的變臉詐騙手法，國內近年已有多家企業受害，並造成鉅額損失，其中刑事局104年偵破的「跨國駭客詐騙、洗錢集團」案，企業損失即達新臺幣5,141萬餘元；今(105)年10月刑事局與台新銀行成功攔阻一詐騙案，金額更高達新臺幣1億5,360萬元，為近期最高，所幸及早發現始能即時啟動圈存機制，金額並未匯出。電子郵件詐騙運用科技手法進行犯罪誤導企業交易，刑事局為加強打擊科技犯罪能量，自104年與國內資安廠商趨勢科技簽訂合作備忘錄，不定期由趨勢科技提供情資予刑事局以即時遏阻網路犯罪發生，希望能防患於未然。今(105)年11月間，便由趨勢科技通報可疑情資，國內某傳產廠商與俄羅斯合作業者間的交易郵件被駭客竊取並竄改郵件內容，由於駭客先前已由竊取的郵件中取得有公司戳記的收據檔案，經加工捏造收據上所載之匯款帳戶，再假冒該公司員工名義寄出，告知匯款帳戶變更事宜。該傳產廠商在接獲本局警示電話前，雙方均未察覺已淪為詐騙集團犯罪目標，所幸即時攔阻匯款，才避免犯罪發生及九萬美金的交易金額損失。
 
企業與國外客戶進行交易時，由於雙方有時差等因素，可能未即時以電話或通訊軟體聯繫，且雙方因信賴電子郵件內容真實性，即使變更匯款帳號亦依指示進行匯款。在此呼籲企業應加強電子郵件系統的安全，避免郵件遭不法第三方擷取竄改；提升員工資安意識，勿點擊來路不明等可能為社交工程的郵件；此外，交易雙方在匯款前，應以約定之方式再進行第二次確認，以增加交易安全性。

資料來源：內政部警政署165反詐騙超連結