跳到主要內容

簡易檢索 / 詳目顯示

回結果列表
研究生: 張世蕾
Shih-Lei Chang
論文名稱: 商業電子郵件詐騙(BEC)對於企業安全威脅之因應措施探討
Discussion on Countermeasures for the Threat of Business Email Compromise (BEC) to Corporate Security
指導教授: 許秉瑜
Ping-Yu Hsu
口試委員:
學位類別: 碩士
Master
系所名稱: 管理學院 - 企業管理學系在職專班
Executive Master of Business Administration
論文出版年: 2024
畢業學年度: 112
語文別: 中文
論文頁數: 77
中文關鍵詞: 根本原因分析法商業電子郵件詐騙
相關次數: 點閱:6下載:0
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    • 商務電子郵件詐騙(Business Email Compromise,簡稱BEC)是近年來常見之網路詐騙攻擊手段,由於金融貿(交)易公司對科技依賴性日益趨增,攻擊者利用國際間商業往來合作雙方之互信原則,以電子郵件、即時通訊軟體等工具,再利用跨國時間及距離之差異、組織內部流程之漏洞,以及人員疏忽等途徑,進而從中攻擊並謀取暴利,造成企業以及社會經濟之嚴重損失,受害之企業人數及金額為數甚多,儼然已成為全球企業刻不容緩,極需面對之問題。本文透過蒐集近十年BEC詐騙實例資料,對於受騙個案進行根本原因分析,並提出改善建議。
    本研究以受害公司遭詐騙情形為例,對事件發生之根因採5W1H之方式作為根本原因分析工具加以研析,結果顯示,企業遭受商務電子郵件詐騙,主因包括內部流程不完善、人員培訓不足及技術手段不夠先進等問題,致造成重大損失。本研究建議,可透過強化內部審批機制,增加多層次驗證程序,同時對於所有涉及財務、會計及研發的人員,應強化進行資安培訓,使其具備識別潛在詐騙的能力。同時,建議企業應與時俱進,部署更先進的垃圾郵件過濾系統、即時監控系統以及定期進行內外部安全稽核,以避免商務電子郵件詐騙。

    Business Email Compromise (BEC) is a common method of cyber fraud in recent years. As financial trading companies increasingly rely on technology, attackers exploit the trust principle between international business partners. They use tools such as email and instant messaging software, taking advantage of time and distance differences across countries, organizational process loopholes, and personnel negligence to carry out attacks and gain huge profits. This results in severe losses for enterprises and the socio-economy, with a significant number of affected companies and financial losses. It has become an urgent global issue that enterprises must face and address. This article collects data on BEC fraud cases over the past decade, conducts a root cause analysis of the incidents, and proposes improvement suggestions.
    This study uses examples of companies that fell victim to fraud, employing the 5W1H method as a root cause analysis tool to analyze the incidents. It finds that the primary causes are incomplete process planning and a lack of security awareness among personnel. Based on these findings, improvement suggestions are proposed.

    2 摘要 i Abstract ii 誌謝 i 3 目錄 ii 圖目錄 iv 表目錄 vi 1 第一章 緒論 1 1.1 研究背景與動機 1 1.2 研究目的 3 1.3 研究架構 3 2 第二章 文獻探討 4 2.1 根本原因分析 4 2.1.1 緣起 4 2.1.2 根本原因分析之使用效益與侷限 5 2.1.3 根本原因分析之作業程序 6 2.1.4 根本原因肇因分析工具 12 2.1.5 研究方法應用 17 2.2 相關領域文獻探討 18 2.3 商務電子郵件詐騙 19 2.3.1 商務電子郵件詐騙手法 19 2.3.2 商務電子郵件詐騙流程 21 2.3.3 商務電子郵件防範對策 22 2.3.4 商業電子郵件(BEC)攻擊的類型策 24 3 第三章 案例分析 25 3.1 案例分析 26 3.1.1 案例分析 26 3.1.2 案例分析 29 3.1.3 案例分析 32 3.1.4 案例分析 35 3.1.5 案例分析 38 3.1.6 案例分析 41 3.2 延伸問題 44 3.2.1 運用受害人憑證,竊取內部具價值性資料並運用 44 3.2.2 勒索軟體,要求贖金 44 3.2.3 損失可能不只金錢 45 4 第四章 改善建議 47 4.1 案例彙整 47 4.2 案例研析建議 51 4.2.1 人員管理 51 4.2.2 企業內外部管控機制 52 4.2.3 資安防堵 54 5 第五章 研究結論、限制與未來展望 56 5.1 研究結論 56 5.2 研究限制 57 5.3 未來展望 57 參考文獻 59   圖目錄 圖 1 1論文架構 3 圖2 1異常事件決策樹 9 圖2 2 Bonding Assy. Panel模線不符分析關聯圖 15 圖2 3機械不能運作5Whys 1How分析圖 16 圖2 4 魚骨圖 17 圖2 5 BEC攻擊的運作方式 20 圖2 6實施BEC攻擊步驟的流程圖 21 圖3 1 本案例 5why 1how 分析圖 26 圖3 2 本案例 5why 1how 分析圖 29 圖3 3 本案例 5why 1how 分析圖 32 圖3 4 本案例 5why 1how 分析圖 35 圖3 5 本案例 5why 1how 分析圖 38 圖3 6 本案例 5why 1how 分析圖 41 表目錄 表2 1美國醫療機構評鑑聯合委員會(JCAHO)執行程序 7 表2 2異常事件嚴重度評估風險矩陣 10 表4 1案例彙整表 48 表4 2案例研析建議分類表 51

    中文文獻
    1. 鍾佳瑀(2020),【老闆寄信給你,你敢不開?】微軟偵測大型釣魚攻擊,潛伏半年等待「惡魚」上鉤。2020年7月8日,取自https://chen-jennifer.blogspot.com/2018/05/blog-post.html。
    2. 資安人編輯部(2023),研究:利用企業電子郵件詐騙數量大幅上升。2020年5月29日,取自https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10492。
    3. 莊雨潔 張肇元(2021),竄改商務電郵詐騙 今年最高遭騙近2億。2021年9月6日,取自https://news.cts.com.tw/cts/society/202109/202109062055193.html
    4. 林盈君(2021),駭客太猖狂!釣魚網頁竊帳密 騙科技業秘書匯款1.9億。2021年9月6日,取自https://www.setn.com/News.aspx?NewsID=993468
    5. 羅正漢(2020),BEC詐騙集團已將目標鎖定私募基金與創投,三家金融公司聯名帳戶遭騙近4千萬元。2020年5月7日,取自https://www.setn.com/News.aspx?NewsID=993468
    6. 林妍溱(2017),傳歹徒冒充廣達的電子郵件,臉書、Google遭詐1億美元。2017年5月1日,取自https://www.ithome.com.tw/news/113790
    7. 劉書均(2021),根據使用根本原因分析探討商務電子郵件詐騙-以A公司為例,國立高雄大學,碩士論文。
    8. 黃文福(2016),臺中市政府消防局救護車交通事故之分析與探討-使用根本原因分析,逢甲大學,碩士論文。
    9. 簡慈彥(2011),桃園縣消防分隊救護反應時間延遲之分析與探討-使用根本原因分析,國立中央大學土木工程學系,碩士論文。
    10. 蕭景中(2017),RCA根本原因分析與案例實作-以音樂盒故障排除為例,國立中正大學通訊資訊數位學習學系,碩士論文。
    11. 田又云(2020),根本原因分析法-以我國冤錯案為例,國立交通大學科技法律研究所,碩士論文。
    12. 財團法人醫院評鑑暨醫療品質策進會:根本原因分析方法,取自http://www.tjcha.org.tw/newsDetail.asp?newsid=1
    13. 鄧守量(2016),應用六標準差管理改善太陽能熱水系統施工流程之缺失,健行科技大學土木工程系空間資訊與防災科技碩士論文
    14. wikipedia(2009),取自https://zh.wikipedia.org/zh-tw/%E7%9F%B3%E5%B7%9D%E5%9B%BE。
    15. 趨勢科技(2016),認識變臉詐騙/BEC- (Business Email Compromise) 商務電子郵件詐騙與防禦之道,資安趨勢網頁,取自https://blog.trendmicro.com.tw/?p=16295。
    16. 詹舒涵(2019),利用字母變化 電郵詐騙至少每起百萬起跳,TVBS官網,取自https://news.tvbs.com.tw/life/1222312。
    17. TWCERT/CC台灣電腦網路危機處理暨協調中心(2018),辨識常見的駭客手 法「變臉詐騙」,資安趨勢網頁,取自https://www.twcert.org.tw/newepaper/cp-65-757-6fca4-3.html。
    18. 趨勢科技(2018),懷疑信箱遭駭,「Gmail密碼改到記不住,信件內容還是外洩?」,你可能忘了檢查這個!,資安趨勢網頁,取自https://www.twcert.org.tw/newepaper/cp-65-757-6fca4-3.html。
    19. 邱俊福(2017),電郵帳號多個1 駭客搬走百萬,自由時報官網,取自https://news.ltn.com.tw/news/society/paper/1124721。
    20. 羅正漢(2017),【遇到電郵詐騙怎麼辦】刑事警察局教你如何追回BEC詐騙款項,iTHome官網,取自https://www.ithome.com.tw/news/116970。
    21. 孔繁栩(2021),首季145電郵騙案 駭客扮美國「副總裁」騙上海公司7600萬元,港聞,取自https://www.hk01.com/article/632114?utm_source=01articlec-opy&utm_medium=referral。
    22. 土城分局(2018),公司企業經手國外匯款的採購、會計人員,應仔細辨別email帳號,避免受騙,新北市政府警察局三重分局官網,取自https://www.sanchong.police.ntpc.gov.tw/cp-454-54887-17.html。
    23. 陳曉莉(2020),挪威國家投資基金遭BEC詐騙,被盜走1千萬美元,iTHome官網,取自https://www.ithome.com.tw/news/137660。
    24. 楊國文(2017),「紅橘子」老闆涉跨國詐欺 今遠端訊問加拿大籍證人,自由時報官網,取自https://news.ltn.com.tw/news/society/breakingnews/2275598。
    25. 羅正漢(2017),【比勒索軟體更危險】從臺灣BEC詐騙實例看駭客攻擊手法,iTHome官網,取自https://www.ithome.com.tw/news/116961。
    26. 羅正漢(2017),企業財務負責人員當心!冒充高層或客戶的郵件詐騙事件頻傳,iTHome官網,取自https://www.ithome.com.tw/news/116960。
    27. Cloudflare,什麼是社交工程,Cloudflare官網,取自https://www.cloudflare.com/zh-tw/learning/security/threats/social-engineering-attack/。
    28. 劉宇軒(2022),機器學習針對勒索病毒之效能佔用與行為分析,國立屏東大學,碩士論文。
    29. 羅正漢(2021),商業電郵詐騙國內報案平均每週至少兩起,企業通常已遭入侵半年以上,一旦遭騙需把握黃金72小時,iTHome官網,取自https://www.ithome.com.tw/news/146821。
    英文文獻
    30. Barbara M. Soule:Infection-Related Root Cause Analysis,Joint Commission Resources 。2010 年 11 月 11 日,取自http://health.nv.gov/HCQC/HAI/Infection-RelatedRootCauseAnalysis.pdf
    31. Sekhar, S. C. and Lidiya, K. (2012), Brainstorming, Scientific and Academic Publishing, Management, 2 (4), 113-117.
    32. Taiichi Ohno (1988), Toyota Production System: Beyond Large-Scale Production, Portland, Oregon: Productivity Pres
    33. Cross and Gillett, 2020. Eploiting trust for financial gain: An overview of business email compromise (BEC) fraud.Journal of Financial Crime, 27(3), pp. 871-884.
    34. Norah Saud Al-Musiba, Faeiz Mohammad Al-Serhania, Mamoona Humayuna,⇑, N.Z. Jhanjhi (2021),Business email compromise (BEC) attacks,Materials Today Proceedings 81(1)
    35. Meyers, A. 2018. “Not your fairy-tale prince: The Nigerian business email compromise threat”, Computer Fraud and Security, Vol. 8, August, pp. 14-16.。
    36. Mansfield-Devine, S. 2016. “The imitation game: How business email compromise scams are robbing organisations”, Computer Fraud and Security, Vol. 11, November, pp. 5-10.
    37. Siadati, H., Jafarikhah, S. and Jakobsson, M. 2016. Traditional countermeasures to unwanted email, in in Jakobsson, M. (Ed.) Understanding social 56 engineering based scams, Springer: New York, pp. 51-62.
    38. Kruck, G. and Kruck, S.E. 2006. “Spoofing - a look at an evolving threat”, Journal of Computer Information Systems, Vol. 47, No. 1, pp. 95-100.
    39. Opazo, B., Whitteker, D. and Shing, C. 2017. “Email trouble: Secrets of spoofing, the dangers of social engineering, and how we can help”, paper presented at the 13th International Conference on Natural Computation, Fuzzy Systems and Knowledge Discovery, 29-31 July, Guilin, China, available at: https://ieeexplore.ieee.org/document/8393226.
    40. Agarwal, N. 2019. “Cyber security trends to watch out in 2019”, Cyber Nomics Vol. 1 No. 1, pp. 28-29.
    41. Ross, C. 2018. “The latest attacks and how to stop them”, Computer Fraud and Security, Vol. 1, November, pp. 11-14.
    42. Rutherford, R. 2018. “The changing face of phishing”, Computer Fraud and Security, Vol. 11: November, pp. 6-8.
    43. Zweighaft, D. 2017. “Business email compromise and executive impersonation: Are financial institutions exposed?”, Journal of Investment Compliance, Vol. 18, No. 1, pp. 1-7.
    44. Federal Bureau of Investigation (FBI) 2019a. “Business email compromise the $26 billion scam”, available at
    45. Arcaro, J. S. 1997. TQM facilitator’s guide. Boca Raton, Fla.St. Lucie Press. Australian Cyber Security Centre 2018. “Business email compromise”, available at https://www.cyber.gov.au/threats/business-email-compromise (accessed 14 January 2020).
    46. Cidon, A., Gavish, L., Bleier, I., Korshun, N., Schweighauser, M. and Tsitkin, A. 2019. “High precision detection of business email compromise”, paper presented at the Proceedings of the 28th USENIX Security Symposium, August 14-16, Santa Clara, CA, available at:https://www.usenix.org/conference/usenixsecurity19/presentation/cidon (accessed 14 January 2020).

    QR CODE
    :::