【臺灣資安大會直擊】BEC郵件詐騙手法採用AI深偽技術，讓商業詐騙進入「真假難辨」新階段

他強調，BEC最危險之處，在於攻擊者不是直接竊取資金，而是利用企業原本正常運作的信任機制，讓受害者「親手完成匯款」。

「它是透過合法的商業流程，操控人類在正常運作所依據的信任機制，而且最恐怖的是，它是透過受害者自己的手完成最後一個動作」，易換棣說。

BEC已成各產業共同風險，從資安問題升級為治理問題

他引用今年資安調查資料指出，不論高科技產業、製造業、百億營收企業或中小企業，BEC都已成為發生機率與衝擊程度最高的資安風險之一。

他認為，BEC與傳統駭客攻擊最大的不同，在於其攻擊目標不只是系統，而是瞄準企業生態與商業信任鏈。

「它攻擊的不只是表面上的錢，也是信任」，易換棣說。

以遠東新世紀為例，由於企業橫跨6個國家，內部需使用5種以上語言，加上涵蓋製造、金融、醫療、運輸等多元事業，使跨境郵件往來與供應鏈溝通情境更加複雜，也提高BEC滲透空間。

易換棣指出，BEC之所以難防，還包括法律責任模糊、攻擊者使用真實身份、遭詐騙的損失難以追回，以及企業與駭客之間存在高度的不對稱等特性。

他舉例，若供應商財務主管帳號遭駭，並透過合法Email要求更改匯款帳號，企業依照正常流程付款後，最後的責任該由誰承擔，往往難以界定。

BEC詐騙手法從假郵件演進到AI深偽視訊

易換棣將BEC攻擊演進分為4個階段。早期BEC 1.0，主要透過相似網域與假冒Email進行詐騙，例如利用字母混淆誘如「VV」代替「W」欺騙企業匯款。當時只要做好SPF、DKIM、DMARC等郵件驗證機制，加上基本員工教育，多數攻擊仍可有效阻擋。

到了BEC 2.0階段，駭客開始直接竊取企業帳號與密碼，長時間潛伏在郵件系統中，觀察主管與財務流程，伺機發動攻擊。

由於防不勝防，他指出，部分的東南亞企業甚至已默認系統遭入侵，「某種程度已經變成與駭客共生」。

進入BEC 3.0後，攻擊者開始濫用Google Workspace、Microsoft 365等合法雲端服務，以及第三方會計系統發送通知，利用真實平臺提升可信度。

現在則進入BEC 4.0階段，生成式AI與深偽技術則進一步讓真假難辨。易換棣舉例，國際上已有案例，一家企業的財務主管，在AI偽造的視訊會議中，誤以為正和公司高層開會，最後受騙匯出2,500萬美元。

從BEC 1.0到4.0的詐騙手法並非演進，他觀察這些手法同時存在，甚至會混合攻擊。

遠東新世紀以AI與流程治理加固BEC防線

易換棣認為防禦BEC不能只靠IT部門，必須建立跨部門治理與供應鏈聯防機制。

他提出「BEC黃金三角」概念，企業需同時管理自身、客戶與供應商之間的信任關係。

其中，面對客戶時，企業需事先建立清楚的責任邊界與付款規範；面對供應商時，由於企業是付款方，可強化帳號異動與付款驗證機制。

在技術面，遠東新世紀已導入AI協助分析異常登入、郵件轉寄規則與ERP供應商帳號異動等行為，並透過AI分析供應商資安風險分數，建立高風險供應鏈預警機制。

此外，還建立AI輔助的釣魚郵件通報機制，由員工將可疑郵件轉寄至特定信箱，再透過大型語言模型協助第一線分析與回應。

易換棣表示，許多BEC異常行為並非人力無法處理，而是「太累了」，需要AI協助大量自動化分析。

企業不能只靠工具，還要靠自身「免疫力」

除了AI防禦，他也強調企業基本功的重要性，包括部署SPF、DKIM與DMARC、建立Out-of-Band（OOB）雙重驗證、將BEC納入正式風險評估、強化財務與採購人員訓練、定期進行情境式演練、建立供應鏈資安風險管理制度。

他認為，許多企業以為通過ISO 27001等認證就能百毒不侵，但如果沒有真正將BEC納入治理與內控流程，仍可能存在高度風險。

他強調企業不能只依賴外部資安產品，還要建立自己的「免疫力」。

「專業廠商提供的是盔甲，但你不可能只靠盔甲打贏戰爭。」他說，真正的防禦力，仍來自企業自身長期累積的治理能力、內控機制與組織韌性。