這十年電子郵件詐騙術是怎麼進化的?

過去幾年間,「奈及利亞王子」詐騙法已飛躍式的進步。
評論
Photo Credit:Shutterstock/達志影像
評論

原文來自 Wired《The Decade Big-Money Email Scams Took Over》,作者 Lily Hay Newman。 台灣康泰納仕集團授權提供,經 INSIDE 編審。

有一些誆稱陰莖增大術,或是偽裝成奈及利亞王子的詐騙電子郵件,好像從電子郵件發明以來就一直存在。但是,電子郵件詐騙在這十年有了很大的進化,詐騙者發現他們可以從大企業詐取到比一般受害者更多的金錢。僅在過去幾年間,他們就已經得手數十億美元。到2020年,狀況只會越來越糟。

在這些所謂的企業電子郵件詐騙案中,攻擊者不是從公司內部駭進電子郵件帳號,就是創立一個以假亂真的詐騙電子郵件帳戶。他們利用這種方式,用看似合法的電匯方式進行詐騙。例如在合約付款時,大筆款項反而落入詐騙犯口袋,規模驚人。光是在2019年9月,豐田汽車(Toyota)、日本經濟新聞(Nikkei)就分別在跨國商業e-mail詐騙案(BEC)損失3700和2900萬美元(分別約台幣11.12億、8.71億元)。

電子郵件安全公司Agari威脅研究資深總監、前聯邦調查局(FBI)數位行為分析師克萊恩・哈索德(Crane Hassold)表示,「很長一段時間以來,網路犯罪份子都相信,若要詐騙得從大眾下手,但是在過去十年,特別是過去五年,情況出現翻轉,他們轉往企業的營收更高。現在當然不是這波浪潮的高峰,但卻已經處在快速發展的時期。」

真正的問題是,人們怎麼才能不被詐騙?-克萊恩・哈索德(Crane Hassold)/Agari威脅研究資深總監

一個很明顯的趨勢是,企業被詐騙的金額遠比個別受害者更多,詐騙犯很早就想到這一點。立陶宛詐騙犯艾瓦達斯・立馬薩斯卡(Evaldas Rimasauskas)2019年12月下旬遭判入獄五年,原因是他承認自2013年起就藉由Facebook、Google管道從事跨國商業e-mail詐騙,總金額超過1.2億美元(約台幣36.06億元)。

整體來說,詐騙犯在1990至2000年代初透過很多小額詐騙發了大財,但隨著垃圾郵件過濾器改進、網路用戶增加,這些詐騙犯發現所得停滯不前。於是,他們和任何企業家一樣,致力創新、多元化。

2016年6月至2019年7月間,聯邦調查局在全球共破獲16萬6349起跨國商業e-mail詐騙,總損失逾260億美元(約台幣7813億元)。美國財政部金融犯罪執法網路估計,跨國商業e-mail詐騙每月帶來超過3億美元的損失(約台幣90.15億元),光是在2018年,每個月就有超過1100起案件,這還不包括受害者沒報案的情況。

跨國商業e-mail詐騙案成長的原因之一,是詐騙並不需要什麼高級駭客技能,只要具備基礎知識即可。誘使某人透過電子郵件為假的報價單付帳,看起來和邀請人們參與狂歡遊戲並沒有什麼不同。通常詐騙技術含量最高的不是網路釣魚,或是憑證填充攻擊,也就是利用殭屍網路以自動化方式,不斷用偷來的登入憑證,試圖登入企業網路服務。

牛津大學科技與全球事務中心獨立網路安全顧問、副研究員盧卡斯・歐列尼克(Lukasz Olejnik)指出,「詐騙總是以各種方式出現,但隨著時代演進,數位環境也出現變化。跨國商業e-mail詐騙案基本上就是社交工程陷阱(social engineering)和操控,瞄準口袋深卻沒有足夠安全意識的企業或個人肥羊,利用資訊不對稱行騙。

跨國商業e-mail詐騙案,通常會透過一系列能被重新調整用途和組合的工具和技術盜取現金。正如Agari高級威脅研究員羅尼・托卡佐瓦斯基(Ronnie Tokazowski)所言,憑證釣魚攻擊、接管帳戶、支票詐欺、洗錢、仙人跳和其他無數元素,都像是這個工具箱裡的工具。近年來,即便立法逮捕詐騙者和錢騾(money mules,指在自願或非自願被召募的狀況下,協助網路詐騙者從企業處偷盜金錢)取得一些進展,但潛在攻擊的多樣性,使查明詐騙行為極為困難。

Agari研究人員表示,他們每天都會看到傳統詐騙方法出現新變化,從公寓出租、轉租兜售榨乾受害者存款,變成刊登在露營資訊網站的旅行房車出租騙局,或是一系列退稅騙局也可以變成欺騙上班族的色情服務。哈索德指出,「這些詐騙前提都一樣,只是細節稍有不同。就像我把在分類廣告網站Craigslist上的那一套用在旅行房車上。誰會想到還有這一招?」

如此一來,跨國商業e-mail詐騙案和其他詐欺手段並行,仙人跳特別是如此。仙人跳詐騙者會和受害者建立完全數位化的浪漫關係,以獲取他們的信任,並藉此大撈一筆。在這些騙局中,受害者最終變成跨國商業e-mail詐騙案的待宰羔羊,駭客可以請受害者設置銀行帳戶並用電匯得到款項,不必被問太多問題。

就在本世紀之交,電子郵件詐騙者甚至還開發出傷害更大的跨國商業e-mail詐騙型態。這種型態有時也被稱為供應商e-mail詐騙(VEC),專門破壞供應商的運作。這些供應商的業務往往涉及承包其他公司業務,並提供報價單給該公司。

在這些詐騙案中,即便是經過大量安全訓練的人,也可能無法警覺到這是詐騙行為,因為行騙者會向供應商下手,得到合法報價單的副本,並把這些副本發送給真實的客戶,除了電匯帳號以外,幾乎什麼改變都沒有。供應商和客戶其一,常得花數月或數週時間才能意識到不對勁,到那時候這筆錢早已落入詐騙犯口袋裡。

Agari的哈索德表示,「對於一般的跨國商業e-mail詐騙攻擊,你可能會想要知道,就算行騙者提供的資訊拼錯字,也有其他不盡精確之處,人們為何仍掉入陷阱?但是在供應商e-mail詐騙案件中,問題會變成:人們怎麼會不掉入這個陷阱呢?郵件中沒有任何異狀。那是一封假可亂真的e-mail,幾乎可以完美模仿供應商的正常信件,這是因為行騙者掌握這封郵件所有必要的資訊。」

隨著執法工作加強、企業採取更多e-mail安全預防措施(如雙重身份驗證),可望在防禦詐騙有更多進展。但是,一如往常,騙子就是會騙人,網路時代當然也沒有任何例外。

責任編輯:Chris


Cookie 消失?試試看全新 AI 影像內容辨識:讓用戶看的內容決定看到的廣告

Google Chrome 即將淘汰幫助廣告主的工具—— Cookie ,它的離去將再一次地影響數位廣告產業。
評論
Photo Credit:<a href="https://www.shutterstock.com/zh/image-photo/ai-artificial-intelligence-big-data-internet-1075853384" target="_blank">shutterstock</a>
評論

透過GA分析進站者發現, Safari的新客數越來越多,難道這表示 iOS 的用戶數也跟著增加了嗎?注意了,這有可能是 Apple 封鎖第三方 Cookie 帶來的影響。隨著 Google 即將淘汰 Chrome 上的 Cookie ,這個幫助廣告主記住用戶受眾的小工具,將要再一次地影響數位廣告產業。

Photo Credit:驚點股份有限公司( FreakOut Taiwan )

後 Cookie 時代的廣告受眾如何鎖定?

各大廣告平台在過去幾年不斷地透過 Cookie 以及其它方式,悄悄收集使用者的用戶數據,隨著這幾年用戶的隱私權意識抬頭, Apple 與 Google 對於藉由 Cookie 辨識用戶資料的廣告投遞方式,持有不同的態度,這也將是所有廣告主的極大挑戰。當 Cookie 不復存在,要如何辨識使用者資料?

Cookie 消失了,或許會有新的數據辨識工具來取代,但是任何試圖跟蹤受眾的方式,都難以符合大眾對於保護隱私權的期望。另一方面,也極有可能無法再通過日趨嚴格的媒體監管限制。無論如何,數位廣告不能像過去一樣,無條件地使用類似 Cookie 的追蹤方式,來達到與現在同樣的廣告效果。

後 Cookie 時代內容辨識類型的廣告鎖定方式,將成為未來具指標性的投放策略。廣告與瀏覽平台或內文主題的高相關性,不僅能顯著提高受眾的互動度,更重要的是,完全不需要收集任何個人數據。

FreakOut Taiwan 不斷嘗試更友善的廣告投遞形式, 自 2016 年進入台灣市場的原生廣告,到 2020 年末引進「 Mirrors 」 AI 影像視覺內容辨識系統,都是以網路使用者的角度出發。「 Mirrors 」不需要使用傳統的受眾興趣設定,即可針對「目標受眾在觀看的影像內容」、「品牌自身競爭對手或相關指定系列產品出現的影片」來投遞 YouTube 上的影音廣告。

Photo Credit:驚點股份有限公司( FreakOut Taiwan )

AI 人工智慧影像技術突破,推動新一代內容辨識功能

傳統的內容比對廣告皆為自然語言處理 NLP 中心,基於「純文字」的比對來顯示相關廣告,如大家很熟悉的 Google AdSense 。但是,結合新興的 AI 演算和複雜的圖像辨識,已然能夠達到「影片」的內容偵測,透過增加多個比對層和基於自然語言處理 NLP 的基準定位,可深度學習並提供更精細的辨識洞察力。

舉例來說,若想要將汽車廣告投放給對汽車有興趣的人,我們要先從可能對汽車感興趣的受眾中開始推估,並且根據過去的經驗加入不同的興趣條件,最後針對素材更進一步地測試。透過 Mirrors ,我們可以讓廣告出現在有滿足特定條件的影片內,例如:在消費者觀看的影片中,出現汽車評測報告、自家品牌或競爭對手的 LOGO 、代言人等指定條件,再依照不同廣告主設定的預算判斷是否露出廣告。

藉由這樣的影像比對方式,可以更有效地根據消費者行為觸發廣告投遞條件,而不再是現行的用戶受眾數據。人的興趣是多樣且多變的,當對汽車有興趣的用戶在完成汽車的選購後,短期內將不會再瀏覽相關資訊,轉而瀏覽其他更具時效性的內容。透過消費者當下正在觀看的影片內容,取代消費者身上被貼上的數位標籤,將更貼近消費者本身的使用行為。

Photo Credit:驚點股份有限公司( FreakOut Taiwan )

Mirrors AI 影像辨識:用消費者看的內容決定廣告

2021 年台灣數位報告指出,台灣人在各網路內容服務中,最愛「網路影片」的比例高達 97.9%,遠超過 Vlog、串流音樂、網路廣播、Podcast 。

影音廣告早已是品牌經營的趨勢:根據 DMA 2019 年台灣數位廣告量統計報告指出,台灣各類型廣告中,影音廣告以 37.2% 的成長比例大幅領先奪冠。其中 YouTube 持續蟬聯台灣最常被造訪網站第 2 名(僅次於 Google ) ,在台灣各大影音平台中的觸及率及影響力不容小覷。

2021 年 FreakOut Taiwan 已與客戶合作,進行搭載新系統的 YouTube 串流內廣告投遞,在針對品牌及產品客製化的多層鎖定策略建議下,房地產廣告的 CTR 表現高於平均,並發現「人臉」群組辨識表現為佳,其中多為財經、名嘴等名人。而美妝品牌廣告 VTR 表現優異,則以品牌「 Logo 」、「人臉」群組有最出色的表現。

本文章內容由「驚點股份有限公司( FreakOut Taiwan )」提供,經關鍵評論網媒體集團廣編企劃編審。