別再掉入商業郵件陷阱！四大驗證機制降低BEC風險

文章來源：奧登行銷團隊

近期台灣再度傳出企業遭詐騙的案例。上櫃公司奈米醫材旗下的美國子公司，因收到偽造的匯款通知郵件，誤將一筆高達新台幣 4,600 萬元（142.5 萬美元）的現金股利，匯入了詐騙集團指定的帳號。若這筆資金無法追回，恐將侵蝕公司上半年的大部分獲利。

（參考來源：https://udn.com/news/story/7241/8994548）

有專家指出，這類詐騙事件的核心問題往往不是系統本身出了大漏洞，而是流程管控不夠與人為驗證不足。例如付款或匯款帳號的異動，如果只憑電子郵件或 LINE 通知就改變，到底是誰確認？是否有主管或其他單位的雙重確認？是否有既定的帳號備案制度？這些都是關鍵防線。提醒企業應強化內控流程，尤其在「重大資訊變更」與「帳號更動」時，必須建立「人為雙重確認」機制。

此外，資安專家分析認為，除了釣魚郵件、偽冒網站之外，商業電子郵件入侵 (Business Email Compromise, BEC) 類型的詐騙其實是「假冒 Email + 公司內部資訊 + 偽造流程」的組合拳。駭客往往先透過入侵財務相關員工帳號，蒐集公司與上下游之間的匯款往來模式，甚至是母、子公司之間的資金往來等細節，再冒用真實公司的信件風格與內容通知付款流程。這樣的社交工程與資訊偽造使被騙方容易掉以輕心。

（參考來源：https://money.udn.com/money/story/5612/8994584）

零信任與人為驗證：企業必須落實的防詐騙策略

這些案例提醒我們，企業若要有效防止類似風險，必須從以下幾方面落實：

1. 建立零信任架構（Zero Trust）零信任的核心是「不預設信任」，即使是內部人員、同公司不同部門，也應經過身份驗證與授權。透過 Okta 在登入 Email 系統時導入雙因素驗證（2FA/MFA），並綁定個人裝置，降低帳號被駭客竊取後濫用的風險。對於任何涉及資金轉移或帳號變更的操作，應採多階段驗證，避免單點失守。

   
   

2. 連線與內容防護部署 Akamai DNS 過濾，自動攔截釣魚網站與惡意連結，降低員工誤點釣魚郵件或連結的風險。強化郵件安全過濾與異常流量偵測，提前阻擋潛在攻擊。

   
   

3. 組織流程與權限管控對涉及匯款、帳號異動的流程，建立跨部門的雙重或多重審核，避免「一紙通知」就能改變付款指令。對常用帳號建立「備案清單」，若有異動，必須透過獨立管道再次驗證。

   
   

4. 員工教育與文化落實定期進行 資安教育與社交工程演練，提升員工對釣魚郵件、偽冒通知的警覺性。強調「不要預設信任」的觀念，讓零信任從技術措施擴展到企業文化。

結語

此次奈米醫材案例雖然金額重大，但絕不是個別現象，而是目前企業普遍面臨的詐騙型態。企業若仍依賴「信任對方就是對方說的那樣」的思維，而在人為驗證與內部流程控管上打折，那麼駭客與詐騙分子就有漏洞可鑽。

零信任不僅是技術上的要求，更是組織文化與流程設計的要求。企業應立即檢視自身匯款流程、帳號變更流程與內部管控制度，強化多階段驗證與跨部門核可機制，並將教育與應變機制納入常態。唯有這樣，才能在日益複雜的詐騙威脅中守住資金與信譽。