日本山形银行今年3月10日示警,指出有攻击者冒充该银行发动自动语音网钓,并透过伪冒真人客服诱骗开启钓鱼邮件,假借更新企业网路银行(EB)帐号名义骗取帐密与MFA。而根据当地媒体报导,山形铁道公司已确认是受害者,被盗取约1亿日元。
过去骇客社交工程手法,多使用钓鱼邮件,如今主动打电话的语音网钓攻击增加,诱骗受害者主动说出机敏资讯或不当操作,近来更是有一起攻击事件混用多种手法,来骗取企业网路银行帐密。
山形铁道在2025年3月,传出遭假冒山形银行的语音网钓(Vishing)诈骗,损失约1亿日元(约2,000万元),据当地报导指出,山形县还有多家企业也受害于类似网钓手法,而山形铁道公司是此波攻击损失最为惨重的一起。
此事件的特殊之处在于,攻击者先透过预录自动语音系统,来假冒银行来电让受害者误信,进而诱骗受害者开启钓鱼连结,依照指示操作。
更令人警惕的是,这类攻击的锁定对象与典型的商业电子邮件诈骗(BEC) 如出一辙,直接锁定掌管企业网路银行的公司财务人员而来。
关于山形铁道遭遇的攻击事件,我们找到更多资讯、试图拼凑还原事发过程与细节。
根据日本NHK、读卖新闻、山形广播等多家媒体报导指出,山形铁道公司表示,他们的公司会计人员是在3月10日中午接到自动语音电话,声称是山形银行来电,要求更新企业网路银行资讯,接著被转接到伪冒银行员的真人客服,并被引导钓鱼网站输入登入资讯与密码,虽然后续会计人员意识到可疑,但为时已晚,1亿日元已经转出,随后山形铁道公司将此事件通报山形银行,以及执法机关。
这次事件之所以受关注,是因为这次被诈骗的资金,也包含政府给予的补助经费。据当地媒体报导指出,山形铁道公司是公部门与民间共同经营,该公司原本规画要在三年内更新老旧的号志系统,因此政府补助的更新经费也在其中。
此外,虽然有些人可能觉得日本山形县的事件很遥远,这个地方很陌生,不过该地有银山温泉、藏王树冰、月山等观光景点,早已是台湾旅客经常造访的地区,因此这起事件亦引发我们关注。
另一方面,遭到伪冒的山形银行亦在同日采取紧急措施,暂停其企业网路银行向其他银行的即时转帐服务,避免更多上当受骗情形。
由于传出多家企业受害,因此他们同时也向企业客户呼吁,该银行不会透过自动语音电话打给客户来提供服务,也绝不会以自动语音、电话、电子邮件、社群平台等方式,向客户询问登入帐密与个人资料。
山形银行解析攻击手法,锁定会计人员并结合多种网钓
关于这起事件的更多细节,我们发现值得关注的是,若与其他网钓攻击场景相比,我们联想到,台湾在2021年,曾发生假冒银行钓鱼简讯诈骗,利用简讯散布钓鱼网站,只是,攻击者当时网钓目标,是一般用户的网路银行帐密。而上述日本山形的手法是利用自动语音来电,搭配假冒银行人员并散布钓鱼网站,网钓目标则是企业网路银行帐密。
若再放眼国际,资安业者Sophos在今年5月发布一份最新研究报告指出,近半年来有多个勒索软体集团的攻击手法,是先以「电子邮件轰炸」方式,再从非公司内部的微软Teams帐号来电,并伪冒Microsoft Teams的技术支援人员,辅以语音网钓手法,进而诱骗企业员工提供电脑的远端存取权限,入侵后最终得以将勒索软体植入企业内部,今年1月就已有11家企业受害。
虽然这更偏向以技术支援名义发动的攻击,与山形铁道面对的威胁不同。
但从这些消息,我们也可以看出社交工程手法的持续演变,攻击者如今结合语音诈骗与网钓邮件,手法更加多元且具欺骗性。