2019 年,世界外匯市場每日平均的交易金額是 6.6 萬億美元,自國與國之間的邊界只剩下世界地圖上的那幾條虛線後,各國企業金錢往來的緊密性成了經濟發展蓬勃的依據,但同時也成了滋養犯罪的溫床⋯⋯。
FBI 將 BEC(Business Email Compromise,商務電子郵件入侵)定義為針對與外國供應商合作企業或經常進行匯款支付企業的精密騙局。而這種犯罪類型崛起與郵件伺服器代管服務業發展、電子商務迅速普及有莫大關連。IC3 (Internet Crime Complaint) 曾統計 2016 年 6 月~2019 年 7 月這三年間全球的 BEC 案例:共 16 萬起案件,累計的損失金額高達 262 億美元。以此數據可發現平均一起案件的受騙金額為 15 萬美金(約莫 450 萬台幣),誘因之高,完全可以想像 BEC 為目前網路犯罪範疇中最大的犯罪類型。
詐騙界的獨角獸
出於好奇,我找出美國聯邦調查局的歷年年刊,並整理 2014~2019 年發生在美國境內的 BEC 案例金額與受害人數。這六年來,受害案例以每年 110% 的速度成長,總損失金額以 1.4 倍速增加,累積金額來到了 44 億美元。若未來以此速度成長,預計在兩年後累計損失金額就會超過 100 億美元。
2014~2019 年美國BEC歷年案例數與損失金額除了獲益收入高,BEC 更誘人的是低成本。以前較普及的詐騙類型都是釣魚信或是勒索詐騙等等,攻擊一次的成本大約是 2000 美元以上,但 BEC 詐騙已經發展出許多簡單易上手的惡意軟體,像是 Ardamax, RAT, Lokibot 等,其中 Ardamax 售價 50 美元,這樣的價格大幅降低進入門檻。綜觀看來,2019 年美國所有網路犯罪中,以 BEC 的總損失金額最高,第二名——穩操勝算與愛情詐騙類別——的損失不到 BEC 的 1/3。然而,若是觀察所有網路犯罪中被害案例,則會發現 BEC 只有兩萬多起案例,僅居於第六名,相較於其他犯罪類型來說,是屬於數量不多但遭逢一次就後果慘重的手法,這種感覺有點像是核彈,不「投」則已,一「投」驚人。
值得冒險一試?
以美國境內為例,在 2019 年每發動一次攻擊預期可以獲益 74723 美元,並依照 Statista 網站提供的數據指出詐欺類型犯罪破案率大約落在 17.6%,至於美國法律則對詐欺罪的判刑 6 個月~30年不等。對詐騙集團好一點好了,假定他會被關五年,以美國高中學歷畢業的基本薪資來說,五年可以累積 18 萬美元的財富(不花任何一毛錢的情況下),那麼如此計算進行一次 BEC 犯罪的風險獲益結果為 2 萬 8 千多美元(82.4%*74723–17.6%*185640),如果是以單純投機獲利的角度出發,BEC 的確是滿值得冒險的。
當然,這只是非常粗略的估計,包括 7 萬塊的獲利不可能一個人完全獨吞,而且想要駭進去商務信更改帳務資訊,不只需要技術,還得事先獲得公司商務上的交易資訊,通常會有完整的戰術、工具跟程序,這並非一般組織單位可以發動的攻擊。另外道德層面上的損失是永遠沒有辦法推估的。
草民:大人,此人罪該萬死,該當重罰?
經由上述,才發現沒辦法有效嚇退詐騙集團們(說不定還不小心說服一群人跳入火海),而看到這裡的大家一定會非常憤慨,認為詐騙集團承受的風險太小,要關就關久一點,怎麼算也得把風險獲益結果打平才對,但有幾個現象大家得先了解:
- BEC 詐騙的案例中,大部分的款項是無法追回的,他們永遠都可以把錢弄得像是蒸發了一樣,所以即使人在獄中,錢仍在「消遙法外」。
- 再者,詐欺是刑事案件,警檢並不會負責幫你把錢要回來,還要自己去拿一筆保證金去申請民事訴訟,但他只要雙手一攤說帳戶裡沒錢,錢花光了,司法體制也拿他沒轍。錢,當然也拿不回來。
- 依照上述的說法,既然錢收不回來,關他越久反而損失越多,台北監獄在 103 年的報告中指出一位受刑人一年所花費的費用大約是 32000 元左右(包含食、住、設備)因此多關一年等於多灑了 32 張小朋友給他。且近年來通貨膨脹、物價上漲,這個數目應該是有增無減。
所以該怎麼辦才好?把他關起來也不對,不關又怕受害者更多。
揭開 BEC 的隱形斗篷
2019 年底,iThome 網站做了一個台灣資安大調查,關於企業無法阻擋資安攻擊的首要原因(63.1%)在於「員工資安意識不足」,換句話來說,根本是整個大環境在製造機會給詐騙集團犯罪。
因應如此趨勢,當務之急是提升每個人的警覺性。但仔細想想 BEC 案件從 2013 年起就遍佈全球,每個涉案的金額又這麼高,怎麼過了七年大家還是無感?甚至有很多人根本沒有聽過 BEC 詐騙?
「壞人將女主角綁走了,使得男主角束手無策⋯⋯」這樣的電影橋段想必大家不陌生,而詐騙集團有恃無恐的原因之一正是因為深諳目標對象的弱點:不願公開。大部分的 BEC 受害者都是中小型公司,當遇上BEC時,為了保護公司商譽,許多公司都會低調進行調查,甚至如果有上市上櫃,不造成股票波動是他們第一個止血劑,因此除非有檢調單位強力執行調查或被爆料才會被媒體曝光。像是在 2019 年年底,美國終於抓到逃了 4 年的 BEC 騙子 ——Evaldas,他在 2013~2015 短短兩年時間得到了 1.2 億美元的贓款,然而在整個司法調查過程中,均以「Company 1」 「Victim 1」 「Victime 2」等代號來代表被假冒公司與受騙公司,至於究竟是哪些公司,警檢隻字未提,反而是路透社與彭博社得到有效消息指出,這三家業者分別為廣達、Google 和臉書,大眾此時才知道整個犯罪全貌,然而事過境遷,案件的關注度與討論程度並不熱絡,這也讓這些大企業鬆了一大口氣。
缺乏曝光的犯罪手法,等於為 BEC 罩了個隱形斗篷,讓許多相關人員一不小心就落入圈套,如何在這樣的趨勢下,增加所有人對於資訊安全的意識,這是非常值得思考、也是我寫這系列文章的初衷。
如果喜歡這篇文章請幫我按愛心,給予初「寫」者一些鼓勵!同時也十分歡迎大家討論與指正。
參考資料:
Internet Crime Report by IC3, FBI: 2019, 2018, 2017, 2016, 2015, 2014.
FBI, 2019. BUSINESS EMAIL COMPROMISE THE $26 BILLION SCAM.
Statista Research Department, 2019. Clearance rate — crime clearance rate by type 2018.
李宗翰,2019。iThome 2019臺灣資安大調查重點整理。
