商業電子郵件詐騙(BEC)對於企業安全威脅之因應措施探討

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：87

、訪客IP：3.149.253.73

姓名

張世蕾(Shih-Lei Chang) 查詢紙本館藏

畢業系所

企業管理學系在職專班

論文名稱

商業電子郵件詐騙(BEC)對於企業安全威脅之因應措施探討
(Discussion on Countermeasures for the Threat of Business Email Compromise (BEC) to Corporate Security)

相關論文

★ 在社群網站上作互動推薦及研究使用者行為對其效果之影響	★ 以AHP法探討伺服器品牌大廠的供應商遴選指標的權重決定分析
★ 以AHP法探討智慧型手機產業營運中心區位選擇考量關鍵因素之研究	★ 太陽能光電產業經營績效評估－應用資料包絡分析法
★ 建構國家太陽能電池產業競爭力比較模式之研究	★ 以序列採礦方法探討景氣指標與進出口值的關聯
★ ERP專案成員組合對績效影響之研究	★ 推薦期刊文章至適合學科類別之研究
★ 品牌故事分析與比較-以古早味美食產業為例	★ 以方法目的鏈比較Starbucks與Cama吸引消費者購買因素
★ 探討創意店家創業價值之研究- 以赤峰街、民生社區為例	★ 以領先指標預測企業長短期借款變化之研究
★ 應用層級分析法遴選電競筆記型電腦鍵盤供應商之關鍵因子探討	★ 以互惠及利他行為探討信任關係對知識分享之影響
★ 結合人格特質與海報主色以類神經網路推薦電影之研究	★ 資料視覺化圖表與議題之關聯

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

商務電子郵件詐騙（Business Email Compromise，簡稱BEC）是近年來常見之網路詐騙攻擊手段，由於金融貿(交)易公司對科技依賴性日益趨增，攻擊者利用國際間商業往來合作雙方之互信原則，以電子郵件、即時通訊軟體等工具，再利用跨國時間及距離之差異、組織內部流程之漏洞，以及人員疏忽等途徑，進而從中攻擊並謀取暴利，造成企業以及社會經濟之嚴重損失，受害之企業人數及金額為數甚多，儼然已成為全球企業刻不容緩，極需面對之問題。本文透過蒐集近十年BEC詐騙實例資料，對於受騙個案進行根本原因分析，並提出改善建議。
本研究以受害公司遭詐騙情形為例，對事件發生之根因採5W1H之方式作為根本原因分析工具加以研析，結果顯示，企業遭受商務電子郵件詐騙，主因包括內部流程不完善、人員培訓不足及技術手段不夠先進等問題，致造成重大損失。本研究建議，可透過強化內部審批機制，增加多層次驗證程序，同時對於所有涉及財務、會計及研發的人員，應強化進行資安培訓，使其具備識別潛在詐騙的能力。同時，建議企業應與時俱進，部署更先進的垃圾郵件過濾系統、即時監控系統以及定期進行內外部安全稽核，以避免商務電子郵件詐騙。

摘要(英)

Business Email Compromise (BEC) is a common method of cyber fraud in recent years. As financial trading companies increasingly rely on technology, attackers exploit the trust principle between international business partners. They use tools such as email and instant messaging software, taking advantage of time and distance differences across countries, organizational process loopholes, and personnel negligence to carry out attacks and gain huge profits. This results in severe losses for enterprises and the socio-economy, with a significant number of affected companies and financial losses. It has become an urgent global issue that enterprises must face and address. This article collects data on BEC fraud cases over the past decade, conducts a root cause analysis of the incidents, and proposes improvement suggestions.
This study uses examples of companies that fell victim to fraud, employing the 5W1H method as a root cause analysis tool to analyze the incidents. It finds that the primary causes are incomplete process planning and a lack of security awareness among personnel. Based on these findings, improvement suggestions are proposed.

關鍵字(中)

★ 根本原因分析法
★ 商業電子郵件詐騙

關鍵字(英)

★ Root Cause Analysis
★ Business Email Compromise
★ 5W1H

論文目次

2 摘要 i
Abstract ii
誌謝 i
3 目錄 ii
圖目錄 iv
表目錄 vi
1 第一章緒論 1
1.1 研究背景與動機 1
1.2 研究目的 3
1.3 研究架構 3
2 第二章文獻探討 4
2.1 根本原因分析 4
2.1.1 緣起 4
2.1.2 根本原因分析之使用效益與侷限 5
2.1.3 根本原因分析之作業程序 6
2.1.4 根本原因肇因分析工具 12
2.1.5 研究方法應用 17
2.2 相關領域文獻探討 18
2.3 商務電子郵件詐騙 19
2.3.1 商務電子郵件詐騙手法 19
2.3.2 商務電子郵件詐騙流程 21
2.3.3 商務電子郵件防範對策 22
2.3.4 商業電子郵件(BEC)攻擊的類型策 24
3 第三章案例分析 25
3.1 案例分析 26
3.1.1 案例分析 26
3.1.2 案例分析 29
3.1.3 案例分析 32
3.1.4 案例分析 35
3.1.5 案例分析 38
3.1.6 案例分析 41
3.2 延伸問題 44
3.2.1 運用受害人憑證，竊取內部具價值性資料並運用 44
3.2.2 勒索軟體，要求贖金 44
3.2.3 損失可能不只金錢 45
4 第四章改善建議 47
4.1 案例彙整 47
4.2 案例研析建議 51
4.2.1 人員管理 51
4.2.2 企業內外部管控機制 52
4.2.3 資安防堵 54
5 第五章研究結論、限制與未來展望 56
5.1 研究結論 56
5.2 研究限制 57
5.3 未來展望 57
參考文獻 59

圖目錄
圖 1 1論文架構 3
圖2 1異常事件決策樹 9
圖2 2 Bonding Assy. Panel模線不符分析關聯圖 15
圖2 3機械不能運作5Whys 1How分析圖 16
圖2 4 魚骨圖 17
圖2 5 BEC攻擊的運作方式 20
圖2 6實施BEC攻擊步驟的流程圖 21
圖3 1 本案例 5why 1how 分析圖 26
圖3 2 本案例 5why 1how 分析圖 29
圖3 3 本案例 5why 1how 分析圖 32
圖3 4 本案例 5why 1how 分析圖 35
圖3 5 本案例 5why 1how 分析圖 38
圖3 6 本案例 5why 1how 分析圖 41

表目錄
表2 1美國醫療機構評鑑聯合委員會(JCAHO)執行程序 7
表2 2異常事件嚴重度評估風險矩陣 10
表4 1案例彙整表 48
表4 2案例研析建議分類表 51

參考文獻

中文文獻
1. 鍾佳瑀（2020），【老闆寄信給你，你敢不開？】微軟偵測大型釣魚攻擊，潛伏半年等待「惡魚」上鉤。2020年7月8日，取自https://chen-jennifer.blogspot.com/2018/05/blog-post.html。
2. 資安人編輯部（2023），研究：利用企業電子郵件詐騙數量大幅上升。2020年5月29日，取自https://www.informationsecurity.com.tw/article/article_detail.aspx？aid=10492。
3. 莊雨潔張肇元（2021），竄改商務電郵詐騙今年最高遭騙近2億。2021年9月6日，取自https://news.cts.com.tw/cts/society/202109/202109062055193.html
4. 林盈君（2021），駭客太猖狂！釣魚網頁竊帳密　騙科技業秘書匯款1.9億。2021年9月6日，取自https://www.setn.com/News.aspx？NewsID=993468
5. 羅正漢（2020），BEC詐騙集團已將目標鎖定私募基金與創投，三家金融公司聯名帳戶遭騙近4千萬元。2020年5月7日，取自https://www.setn.com/News.aspx？NewsID=993468
6. 林妍溱（2017），傳歹徒冒充廣達的電子郵件，臉書、Google遭詐1億美元。2017年5月1日，取自https://www.ithome.com.tw/news/113790
7. 劉書均（2021），根據使用根本原因分析探討商務電子郵件詐騙-以A公司為例，國立高雄大學，碩士論文。
8. 黃文福（2016），臺中市政府消防局救護車交通事故之分析與探討-使用根本原因分析，逢甲大學，碩士論文。
9. 簡慈彥（2011），桃園縣消防分隊救護反應時間延遲之分析與探討-使用根本原因分析，國立中央大學土木工程學系，碩士論文。
10. 蕭景中（2017），RCA根本原因分析與案例實作－以音樂盒故障排除為例，國立中正大學通訊資訊數位學習學系，碩士論文。
11. 田又云（2020），根本原因分析法-以我國冤錯案為例，國立交通大學科技法律研究所，碩士論文。
12. 財團法人醫院評鑑暨醫療品質策進會：根本原因分析方法，取自http://www.tjcha.org.tw/newsDetail.asp？newsid=1
13. 鄧守量（2016），應用六標準差管理改善太陽能熱水系統施工流程之缺失，健行科技大學土木工程系空間資訊與防災科技碩士論文
14. wikipedia（2009），取自https://zh.wikipedia.org/zh-tw/%E7%9F%B3%E5%B7%9D%E5%9B%BE。
15. 趨勢科技（2016），認識變臉詐騙/BEC- (Business Email Compromise) 商務電子郵件詐騙與防禦之道，資安趨勢網頁，取自https://blog.trendmicro.com.tw/？p=16295。
16. 詹舒涵（2019），利用字母變化電郵詐騙至少每起百萬起跳，TVBS官網，取自https://news.tvbs.com.tw/life/1222312。
17. TWCERT/CC台灣電腦網路危機處理暨協調中心（2018），辨識常見的駭客手法「變臉詐騙」，資安趨勢網頁，取自https://www.twcert.org.tw/newepaper/cp-65-757-6fca4-3.html。
18. 趨勢科技（2018），懷疑信箱遭駭，「Gmail密碼改到記不住,信件內容還是外洩？」，你可能忘了檢查這個！，資安趨勢網頁，取自https://www.twcert.org.tw/newepaper/cp-65-757-6fca4-3.html。
19. 邱俊福（2017），電郵帳號多個１駭客搬走百萬，自由時報官網，取自https://news.ltn.com.tw/news/society/paper/1124721。
20. 羅正漢（2017），【遇到電郵詐騙怎麼辦】刑事警察局教你如何追回BEC詐騙款項，iTHome官網，取自https://www.ithome.com.tw/news/116970。
21. 孔繁栩（2021），首季145電郵騙案駭客扮美國「副總裁」騙上海公司7600萬元，港聞，取自https://www.hk01.com/article/632114？utm_source=01articlec-opy&utm_medium=referral。
22. 土城分局（2018），公司企業經手國外匯款的採購、會計人員，應仔細辨別email帳號，避免受騙，新北市政府警察局三重分局官網，取自https://www.sanchong.police.ntpc.gov.tw/cp-454-54887-17.html。
23. 陳曉莉（2020），挪威國家投資基金遭BEC詐騙，被盜走1千萬美元，iTHome官網，取自https://www.ithome.com.tw/news/137660。
24. 楊國文（2017），「紅橘子」老闆涉跨國詐欺今遠端訊問加拿大籍證人，自由時報官網，取自https://news.ltn.com.tw/news/society/breakingnews/2275598。
25. 羅正漢（2017），【比勒索軟體更危險】從臺灣BEC詐騙實例看駭客攻擊手法，iTHome官網，取自https://www.ithome.com.tw/news/116961。
26. 羅正漢（2017），企業財務負責人員當心！冒充高層或客戶的郵件詐騙事件頻傳，iTHome官網，取自https://www.ithome.com.tw/news/116960。
27. Cloudflare，什麼是社交工程，Cloudflare官網，取自https://www.cloudflare.com/zh-tw/learning/security/threats/social-engineering-attack/。
28. 劉宇軒（2022），機器學習針對勒索病毒之效能佔用與行為分析，國立屏東大學，碩士論文。
29. 羅正漢（2021），商業電郵詐騙國內報案平均每週至少兩起，企業通常已遭入侵半年以上，一旦遭騙需把握黃金72小時，iTHome官網，取自https://www.ithome.com.tw/news/146821。
英文文獻
30. Barbara M. Soule：Infection-Related Root Cause Analysis，Joint Commission Resources 。2010 年 11 月 11 日，取自http://health.nv.gov/HCQC/HAI/Infection-RelatedRootCauseAnalysis.pdf
31. Sekhar, S. C. and Lidiya, K. (2012), Brainstorming, Scientific and Academic Publishing, Management, 2 (4), 113-117.
32. Taiichi Ohno (1988), Toyota Production System: Beyond Large-Scale Production, Portland, Oregon: Productivity Pres
33. Cross and Gillett, 2020. Eploiting trust for financial gain: An overview of business email compromise (BEC) fraud.Journal of Financial Crime, 27(3), pp. 871-884.
34. Norah Saud Al-Musiba, Faeiz Mohammad Al-Serhania, Mamoona Humayuna,⇑, N.Z. Jhanjhi (2021),Business email compromise (BEC) attacks，Materials Today Proceedings 81(1)
35. Meyers, A. 2018. “Not your fairy-tale prince: The Nigerian business email compromise threat”, Computer Fraud and Security, Vol. 8, August, pp. 14-16.。
36. Mansfield-Devine, S. 2016. “The imitation game: How business email compromise scams are robbing organisations”, Computer Fraud and Security, Vol. 11, November, pp. 5-10.
37. Siadati, H., Jafarikhah, S. and Jakobsson, M. 2016. Traditional countermeasures to unwanted email, in in Jakobsson, M. (Ed.) Understanding social 56 engineering based scams, Springer: New York, pp. 51-62.
38. Kruck, G. and Kruck, S.E. 2006. “Spoofing - a look at an evolving threat”, Journal of Computer Information Systems, Vol. 47, No. 1, pp. 95-100.
39. Opazo, B., Whitteker, D. and Shing, C. 2017. “Email trouble: Secrets of spoofing, the dangers of social engineering, and how we can help”, paper presented at the 13th International Conference on Natural Computation, Fuzzy Systems and Knowledge Discovery, 29-31 July, Guilin, China, available at: https://ieeexplore.ieee.org/document/8393226.
40. Agarwal, N. 2019. “Cyber security trends to watch out in 2019”, Cyber Nomics Vol. 1 No. 1, pp. 28-29.
41. Ross, C. 2018. “The latest attacks and how to stop them”, Computer Fraud and Security, Vol. 1, November, pp. 11-14.
42. Rutherford, R. 2018. “The changing face of phishing”, Computer Fraud and Security, Vol. 11: November, pp. 6-8.
43. Zweighaft, D. 2017. “Business email compromise and executive impersonation: Are financial institutions exposed？”, Journal of Investment Compliance, Vol. 18, No. 1, pp. 1-7.
44. Federal Bureau of Investigation (FBI) 2019a. “Business email compromise the $26 billion scam”, available at
45. Arcaro, J. S. 1997. TQM facilitator’s guide. Boca Raton, Fla.St. Lucie Press. Australian Cyber Security Centre 2018. “Business email compromise”, available at https://www.cyber.gov.au/threats/business-email-compromise (accessed 14 January 2020).
46. Cidon, A., Gavish, L., Bleier, I., Korshun, N., Schweighauser, M. and Tsitkin, A. 2019. “High precision detection of business email compromise”, paper presented at the Proceedings of the 28th USENIX Security Symposium, August 14-16, Santa Clara, CA, available at:https://www.usenix.org/conference/usenixsecurity19/presentation/cidon (accessed 14 January 2020).

指導教授

許秉瑜(Ping-Yu Hsu)

審核日期

2024-8-20

推文