Microsoft發佈了第四期「Cyber Signals報告」,揭示商業電郵詐騙活動激增,同時闡述網絡犯罪份子的攻擊手法,以及企業如何防禦這些攻擊的建議。報告指出,商業電郵的攻擊次數高達3,500萬次,2022年4月至2023年4月,Microsoft Threat Intelligence平均每日偵測及調查15.6萬次商業電郵攻擊。網絡犯罪份子往往利用每日大量收發的電郵及訊息,引誘受害人提供財務資訊或直接轉帳資金至「錢騾」戶口,使犯罪份子得以騙取不法款項。
為免受商業電郵詐騙攻擊,企業應運用具備AI能力的雲端應用程式,引入高階網路釣魚防護及可疑轉發偵測等功能,以強化防護。企業亦可以採取措施,預防及降低被攻擊的風險。Microsoft副總裁Vasu Jakkal表示:「企業應考慮將IT、合規、網絡風險人員、企業管理層、財務人員、人力資源主管及其他有權查閱員工記錄人士納入範圍。企業一方面應強化AI能力及網絡釣魚防護,另一方面亦應培訓員工識別電郵內的可疑之處,避免企業受商業電郵攻擊造成損失。」
商業電郵攻擊形式多樣,企業需防範
商業電郵攻擊的形式有多種,例如通話、文字訊息、電郵及社交媒體等,網絡犯罪份子具備專門工具執行商業電郵攻擊,如網路釣魚工具及經核實的電郵地址列表,以聚焦攻擊高級行政人員、應付賬款人士,以及其他特定人士的帳戶。為有效預防及降低被攻擊的風險,企業需在應用程式及數據採取零信任和自動化身份認證控制,防止網絡犯罪份子擴大一旦突破防護後的受影響範圍。此外,採用安全的支付平台,從電郵發票轉向專為驗證付款而設的系統,可有效降低欺詐的風險。