关于BEC商业电子邮件诈骗案,过去国内很少有企业揭露这方面的资安事故,通常只有警政署公布统计资讯,或以去识别化的案例来宣导,又或是等到主管机关揭露,像是之前台湾银行洛杉矶分行通报金管会遭遇BEC诈骗案。
国内也曾传出BEC诈骗,但很少浮出台面让外界得知,难得有公司主动公布发生这样的事故,不过,现在随著证交所对台湾上市柜公司资安重讯发布的要求条件扩大,企业BEC诈骗事件可望有更多公开揭露的机会。
今年4月才刚在国内证券柜台买卖中心申请成为公开发行公司的崴宝精密科技,虽然他们尚未成为上市柜公司,在6月28日仍透过证交所公开资讯观测站发布重大讯息,说明遭遇冒名通知客户更改收款帐户的事件。根据公告内容来判断,我们认为这起事故就是典型的BEC诈骗。
在崴宝崴宝精密科技这次公告中,揭露了他们遭遇的商业电子邮件入侵诈骗案,有合作客户被冒名崴宝发送的电子邮件所骗,将1百多万美元(3千多万元)款项,汇至不属于崴宝精密科技的帐户。
之所以发现这起事件,根据崴宝精密科技的说明,他们是在6月22日执行定期清查逾期帐款时,发现有一家客户的数笔帐款已逾期,因此联系该客户。
但对方声称已付款,并提出先前电子邮件往来的纪录,指出崴宝东莞子公司的人员曾在5月7日发送电子邮件,通知变更汇款帐户,于是他们也已经按该邮件指示,付款至某香港公司帐户。因此,崴宝立即发觉遭他人冒名、发送虚假电子邮件通知客户更改收款帐户的情形。
在察觉发生BEC诈骗的后续因应上,崴宝在隔日6月23日即展开行动,分别前往东莞及香港向警方报案,所幸的是,根据香港警方清查,该假帐户所收到的1,050,324元美元款项,尚未被移转,于是在当地执法单位与金融机构协助下紧急冻结该帐户,后续崴宝将在司法程序以取回该笔帐款。同时,崴宝也向所有客户询问是否收到变更汇款帐号的类似通知,目前确认没有其他客户受害。
特别的是,崴宝也清楚说明了他们后续将采取的诸多行动,
例如,对于公司内部,该公司除了将配合司法调查,也厘清公司作业流程及内控是否存有漏洞而遭人利用。
另外,他们表示会将这次事件列为员工教育训练教案之一,对于清查逾期帐款一事,也将持续宣达要确实执行,并将检讨精进相关后续应变处理措施。
对于与其合作的客户,他们也发出通知,说明日后如有类似这次事件的汇款变更通知,崴宝将以电话亲自通知,也请客户务必再与公司相关管理层人员确认。
整体而言,这次事件能及早拦阻,除了定期清查逾期帐款,最主要是汇款尚未被BEC诈骗骇客再次转移,但我们也要提醒,通常BEC诈骗能成功,代表骇客已掌握双方的款项交易行为,像是入侵电子邮件系统、阅读公司信件内容,掌握关键业务窗口与交易资讯,才能伺机发送假冒的变更汇款帐户通知信,因此电子邮件防护的面向也要多加留意。