(吉隆坡7日讯)根据卡巴斯基发表的2024年第一季《网络事件季报》,商业电邮诈骗已成为大马企业日益严重的网络安全威胁,从2023年至2025年上半年,公开报告的损失金额已超过750万令吉。
季报揭示,Cyber999应对中心在该季度接获6宗商业电邮诈骗个案,与去年第四季相比,案件数量翻倍上升。
撰写逼真电邮
卡巴斯基发文告指出,商业电邮诈骗(BEC)通常从钓鱼攻击(phishing)开始,骇客窃取登入凭证后,再透过社交工程绕过技术防禦,利用人性中的信任机制进行诈骗。
文告说,骇客会预先研究目标对象,撰写逼真的电邮,要求收件人进行转账、提供敏感资料或购买礼品卡。这些电邮通常不含可疑连结或恶意程式,因此容易被误认为是公司高层、供应商或同事的正常指示,有些诈骗只需数封电邮即可得逞,也有长达数週甚至数月者。
大马企业去年遭钓鱼攻击
月均5300宗东南亚第三
卡巴斯基统计显示,2024年大马企业共遭遇6万4778次钓鱼攻击,平均每月超过5300宗,为东南亚第三高,仅次于泰国(24万7560宗)和印尼(8万5908宗)。这些攻击多透过电邮、假网站、通讯应用程式与社交平台发动。
文告指出,近年大马媒体亦频频报导商业电邮诈骗个案,单一案件的损失金额介于25万令吉至620万令吉,受害企业涵盖物流、製造及厨具等行业,常见手法包括冒充供应商、窜改发票资料或发出虚假付款指示,不论企业规模大小皆难倖免。
卡巴斯基亚太区董事总经理阿德里安指出,商业电邮诈骗最可怕之处在于其简单性,通常没有明显的错字或夸张承诺,反而是在适当时机发送的普通电邮,利用对流程的信任与人为疏忽得逞。遗憾的是,许多企业仍把网络攻击视为过时风险,这种“认知落差”正是BEC成功的主因。
他强调,如今的网络安全重点不只在于侦测,更是预判,协助企业在看似正常的情境中识别异常,并培养员工在压力下保持警觉的习惯。
专家授招防BEC诈骗
为防止成为BEC受害者,卡巴斯基专家提出以下几项建议:
1.使用强大且唯一的密码并启用双重验证(2FA),即使密码外洩也能增加一道保护;
2.投资于具备专门防范BEC功能的资安解决方案,如卡巴斯基的Next EDR Foundations、Optimum及Expert方案;
3.训练员工防范社交工程攻击,透过卡巴斯基自动化资安意识平台的工作坊与模拟演练,提高警觉与辨识能力;
4.限制公司内部架构与关键财务、採购人员的联络资讯公开程度;
5.若寄件人看似可信但内容异常,应透过其他通讯方式与对方确认。
阿德里安总结说:“企业唯有持续强化人员与系统的整体防护,才能在商业电邮诈骗日益猖獗的趋势中立于不败之地。”