WhiteMail
返回部落格
·WhiteMail 資安團隊#weekly-report#BEC

週報 #1 — BEC 並未消失,只是變得更安靜

歡迎閱讀 WhiteMail 的第一篇週報。我們每週會整理分析郵件中最突出的內容——模式、值得了解的手法,以及可以立即採取行動的建議。

本週

新的一年總是如期帶來一波商業郵件詐騙(BEC)。預算重新編列、請款單堆積如山、財務團隊步調加快——這正是攻擊者最樂見的條件。

本週樣本中值得注意的是,風險最高的郵件沒有連結、沒有附件、也沒有惡意程式碼。只有短短幾行文字。看起來像是來自高階主管或熟識往來客戶的簡短留言,要求在付款前更改入帳帳戶,或是「今天整天都在開會」,請對方悄悄完成匯款。

這類郵件對任何掃描惡意酬載(Payload)的工具而言都是隱形的,因為根本沒有酬載存在。攻擊完全存在於文字之中,以及那些文字所借用的關係裡。

深度分析:劫持受信任的發件人

最有效的 BEC 攻擊不會冒充陌生人,而是搭上收件者早已信任的身分。

  • 顯示名稱一致,但網域不同 — 名稱顯示為「財務長 朴智恩」,但實際地址卻是一個免費網路郵件帳號。
  • Reply-To 與 From 不同 — 你看到熟悉的名字並回覆,但那封回信悄悄流向了攻擊者。
  • 打破慣例流程的合理藉口 — 緊急、保密、出差中、截止期限將至。

這些單獨看都不算惡意。但在合適的對話串、合適的時機結合在一起時,它們就構成了整場攻擊。

可以採取的行動

  • 任何帳戶或付款資訊變更的要求,每一次都視為需要驗證的訊號,毫無例外。務必透過另一個已經信任的管道確認,絕不要直接回覆該封郵件確認。
  • 留意顯示名稱與實際地址之間的差異,以及 From 與 Reply-To 之間的差異。
  • 當郵件催促你加快動作時,正是最該提高警覺的時刻。緊急性不是正當性的證明——在 BEC 中,緊急性本身就是手法。

這正是 WhiteHat 在每一封郵件上執行的比對工作。SA-01 檢視身分,SA-04 檢視意圖。在人為察覺之前,劫持信任發件人的手法就已先被揭露。


將可疑郵件貼到分析主控台,即可親自查看各代理人的分析結果。