·WhiteMail 資安團隊#weekly-report#VEC#BEC
週報 #4 — 當信任成為武器:供應商郵件詐騙
本週的深度分析,是我們最為警惕的一種攻擊,因為它幾乎不像攻擊。那就是供應商郵件詐騙(VEC, Vendor Email Compromise)。
本週
在一般的 BEC 中,攻擊者從外部冒充一個受信任的對象。但在 VEC 中,沒有人被冒充。郵件是從真實供應商或合作夥伴真正遭到盜用的帳號發出的。信箱是真的,簽名是真的,對話串就是原本已經在進行中的那段對話。
我們觀察到的模式,耐性極深。
- 攻擊者悄悄掌控供應商的信箱,通常長達數週之久。
- 閱讀真實的對話串,學習雙方的關係、語氣與付款週期。
- 在恰當的時機——通常是接近請款時——在既有的對話串內回覆,告知新的入帳帳戶。
由於是真實帳號回覆真實對話,認證會通過,歷史紀錄也吻合,文風也正確無誤。幾乎所有傳統訊號都顯示「正常」——因為就每一項技術指標而言,它確實是正常的。
深度分析:無物可供偽裝
這正是 VEC 如此棘手的原因。常見的線索全都不存在。
- 通過認證 — SPF、DKIM、DMARC 全部有效,因為那就是真正的網域。
- 發信者歷史紀錄吻合 — 你確實曾經與這個地址往來通信過。
- 沒有相似網域 — 沒有一線之差可供抓取,因為那就是真正的網域本身。
唯一還能被察覺的,是脈絡中的行為:關係中途突然更改的入帳帳戶、付款急迫性的突然轉變、不符合這家往來客戶一貫節奏的請求。詐騙並不存在於訊息的任何單一屬性中,而是存在於偏離既有模式的那一點。
可以採取的行動
- 讓任何付款或入帳資訊的變更都必須經過驗證步驟。即使是已知、通過認證的往來客戶在既有對話串中發出的請求——甚至正是在那種情況下——也一樣。請透過另一個管道,用原本就持有的號碼確認,而不是郵件中提供的號碼。
- 留意對話中途的變化:新帳戶、新的急迫性、新加入副本(CC)的「會計」聯絡人。
- 請記住,通過認證不代表安全。VEC 從設計上就必然通過認證。
WhiteHat 在這裡之所以有用,正是因為它不會止步於認證。SA-01 對關係建模,SA-04 讀取意圖。因此即使所有標頭都正常,依然能根據脈絡,標記出正當卻偏離常軌的請求。
在分析主控台測試一段要求變更付款資訊的對話串,看看是脈絡而非認證如何引導出最終判定。