資安訓練小組 · 2025 年 專案彙報

2025–2026
企業防詐實戰

供應鏈商務郵件詐騙 (BEC) 演進與行政防禦策略

立即了解威脅 查看防禦 SOP
0
2025 全球 BEC 損失 (Billion USD)
0%
損失完全不可追回比率
0%
年度攻擊數量成長率
0
台灣每日遭受攻擊次數 (萬次)
Chapter 01

威脅現況

全球化的犯罪產業:BEC 已成為企業資金的最大殺手

2024(估計)
$1.67 Billion
2025(現況)
$2.22 Billion
2026(預測)
$2.63 Billion
+83%
平均單筆損失增幅(2025)
33%
年度攻擊數量成長率
260
萬次
身處地緣政治核心,台灣關鍵產業
平均每天遭受攻擊次數。
基礎設施攻擊在 2025 年成長了 6%。
  • 半導體與供應鏈
  • 金融體系
  • 醫療與能源部門
83% 的 BEC 財務損失
完全不可追回
— 2025 全球金融犯罪報告
Chapter 02

技術演變

當 AI 成為駭客的武器:Deepfake 與自動化釣魚

駭客取得憑證後,系統淪陷的速度遠超乎想像。
2025 年身份攻擊佔比高達 75%

0–2 Min
非法登入
Credential Use
5–8 Min
權限盤查
Internal Discovery
10–12 Min
建立轉寄規則
Forwarding Rule
14 Min ⚠
完成接管
Complete Takeover
🎙️
聲音門檻消失
僅需數秒的主管語音素材,即可生成高度擬真的指示,誘導緊急匯款。
📹
雙感官欺騙
AI 換臉技術結合語音模擬,降低行政人員在視訊會議中的懷疑門檻。
🤖
無語法錯誤
LLM 模型讓詐騙信件得以大規模「客製化」,消除了傳統釣魚信的語法漏洞。
Chapter 03

案例解構

這不是電影劇本,而是真實發生在台灣企業的慘痛代價

CASE 01 · 生技業 4600 萬慘案
漏洞:資訊斷裂

子公司 ASTVC 與 MBI 資訊不對稱,駭客潛伏長達數月,掌握供應商往來細節。

變更匯款帳號僅依賴「電子郵件」通知,完全缺乏人為雙重確認機制。

代價:吞噬半年獲利
Loss = $1,425,000 USD

單筆損失約台幣 4,600 萬。此金額足以讓一家中型生技公司整年度的研發預算歸零。

CASE 02 · 傳產總務的 LINE 群組陷阱
Step 01
✉️
假 Gmail 偽裝經理
引導加入 LINE 群組
Step 02
💬
群組中詢問餘額
心理操控施壓
Step 03
「緊急訂單」要求
當天立即匯款
Step 04
💀
三次匯款後驚覺
千萬資金歸零
盲點解析:員工因深陷「完成緊急任務」的成就感與壓力,主動為駭客找藉口,甚至在銀行端關懷提問時掩蓋異常。
「急迫性」
是詐騙最好的養分
Chapter 04

韌性防禦

建立行政端防禦金流的防火牆

三不原則
✖️不隨便提供個資
✖️不聽指示操作匯款
✖️不理來路不明訊息
三要原則
✔️要保管文件防止外流
✔️要撥打官方電話查證
✔️要利用 165 專線
關鍵行動:凡涉及資金,嚴禁「單一管道」異動帳號
零信任金流防線 SOP
第一步:技術過濾
強制標籤系統
強制標記「外部郵件」標籤,系統自動偵測「帳號變更、緊急」等關鍵字告警。
第二步:雙重驗證
回撥合約電話
收到變更通知後,必須回撥「合約登記電話」確認,嚴禁使用信件中的電話。
第三步:內部核決
三方財務簽核
大額交易(50 萬以上)必須經由財務主管三方簽核,落實職能分立制度。
第四步:緊急攔截
1 小時黃金期
發現受騙應於 1 小時內撥打 165 申請「資金圈存」,攔截黃金期。
2025 新法與企業責任
法規類別
重點項目
責任與罰則
詐防專法(2025)
高額詐騙所得(1 億以上)
最重可處 12 年有期徒刑
法人連帶責任
員工執行業務犯詐欺
法人科以相對應罰金(罰金刑)
合規內控
企業資安管理義務
落實誠信經營,防堵內外勾結門檻