時常在新聞事件或報導上看到某某企業遭惡意詐騙勒索損失慘重，那麼在探討商業詐騙怎麼預防？不如先設法瞭解所謂「詐騙」是怎麼開始成為大家關心的話題。

假的真不了! 真的假不了! vs. 人性的弱點

早期主要詐騙手法是利用人性合理的投機心態，個人觀察最早詐騙的來自於民國 60年代的金光黨，常見的手法就是謊稱手上有價值不菲的金子想要低價變現，強調要現金交易，藉此引誘受害者交付大量現金後，但拿到的金子卻都是假的。花光積蓄買到假金子，名副其實的「金光黨」。詐騙行為轉變成通知中獎或抽抽樂領到紅包，但需要先支付一筆手續費，藉此騙取受害者交付個資資料或者金錢。

其次利用人性合理的恐懼心態，常見的偽冒黑道或流氓，威脅親人在手上，付款才能獲得釋放，甚至偽裝成檢察官、警察身份(註1)，通知受害者有法院傳票或訴訟需要繳交費用，到提款機操作，受害者基於恐懼，不疑有他的情況下，匯出款項。這類的詐騙手法利用具備公信力的身份，讓受害者不清楚資訊的情況下，被迫接收與控制進行匯款。

最後是利用人性合理的情感心態，其中有不少是在網路上認識從未謀面的男子，進而以各種理由要求匯款，常見的假交友真詐騙(註2)，之前新聞甚至出現有學歷高的女教授，被謊稱是美軍派駐阿富汗的「維和部隊將軍」要求匯款 8000 元、以及自稱美軍四星上將，要求 40 萬律師費等。

以及利用同理心或同情心進行詐騙，但此類詐騙容易辨識，例如常見到的"人道主義救援' 標體是來自國外或簡體字，其實看得出來是一封釣魚信件，甚至寄件人跟回信的電子郵件地址都不同，就技術觀點來看是一封非常粗糙的釣魚信件。但對於資訊敏感度較低的人，可能就會信以為真而掉入陷阱。

利用商業電子郵件的可信任性，合法掩護非法，藉此進行詐騙行為

商務電郵詐騙（Business Email Compromise）又稱變臉詐騙，係指透過電子郵件冒充高階主管或合作供應商藉以騙取金錢或機敏資料。駭客要進行商業詐騙，首先要能夠了解受害企業的郵件行為，才能夠去模擬身置直接操作合法信件進行詐騙。

但要提高成功率，要偽冒一封看起來極為正常的信件，引誘使用者上當。要達到這樣的目的，就需要了解使用者對外收發信關係。例如，攻擊 A企業，成功盜取 A企業帳密，再利用 A企業信箱發釣魚信給合作夥伴 B企業，藉此騙取 B 企業的匯款 ; 或者偽冒 A企業信箱但把寄件者帳號巧妙的修改，例如 “l” 改成 “1” 藉此騙取 B 企業的匯款。

詐騙電郵超過八成來自不可信任的寄件者/連結/附檔，企業信箱遇到的網路釣魚是個人信箱的 6.2 倍 (註3) 隨著駭客對於偽冒技術更精進情況下，透過傳統防垃圾信過濾清洗，已經不能夠完全阻擋這些的變形的商業詐騙郵件。利用合法掩護非法已成為此類威脅信件新手法，靠教育訓練與提高員工資安意識，雖然有幫助，但人性存在合理的弱點，仍然會有百密一疏的地方。

參考資料 :

註1:假檢警怎麼騙你的-新北市政府警察局資訊服務網

https://www.police.ntpc.gov.tw/cp-1298-15033-1.html

註2:「會來台娶妳！」美將軍詐騙要匯款　被害人多失婚單身或高齡-東森新聞

https://www.ettoday.net/news/20171102/1043675.htm

註3:重新認識釣魚郵件威脅！iThome

https://www.ithome.com.tw/news/120507