商業(yè)電子郵件?(BEC) 是一種網(wǎng)絡(luò)釣魚欺詐，一直位居全球最具經(jīng)濟破壞性的在線犯罪名單之首。2021 年，全球超過70% 的企業(yè)報告了遭到了BEC 攻擊。2021年 FBI 的互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 報告記錄了 19,954 起商業(yè)電子郵件泄露/電子郵件帳戶泄露 (EAC) 投訴，詳細統(tǒng)計后確認損失近 24 億美元。換言之，BEC 欺詐占 2021 年 全球69 億美元網(wǎng)絡(luò)損失總額的近三分之一。

常見的 BEC 示例和新的虛擬 BEC 方案

在 Business Email Compromise 欺詐中，攻擊者發(fā)送看似來自發(fā)出合法請求的已知來源的電子郵件。為此，他們可能會使用受感染或欺騙的電子郵件帳戶。兩個常見的例子是：

• 公司首席執(zhí)行官通過電子郵件向其助理發(fā)送電子郵件，要求其購買禮品卡作為員工獎勵發(fā)送出去。

• 與貴公司有業(yè)務(wù)往來的供應(yīng)商通過電子郵件發(fā)送包含更新的銀行信息的發(fā)票等。

之前由于COVID-19大流行，對面對面會議的限制導致出現(xiàn)了新的BEC手段。那這些較新的BEC計劃是如何運作的呢？根據(jù)IC3 公共服務(wù)公告，攻擊者會破壞雇主或財務(wù)主管（例如 CEO 或 CFO）的電子郵件帳戶。然后，攻擊者會使用受感染的電子郵件帳戶請求員工參加虛擬會議。攻擊者會插入一張沒有音頻的 CEO 的靜態(tài)圖片，或者“深度偽造”聲音的。欺詐者充當企業(yè)高管，然后聲稱他們的音頻/視頻無法正常工作。在虛擬會議期間，攻擊者會直接指示員工發(fā)起電匯或使用高管的受感染電子郵件提供電匯指令。

商業(yè)電子郵件欺詐的幾個案例：

BEC組織“深紅王蛇”

“Crimson Kingsnake”是一個 BEC 組織，與美國、英國和澳大利亞的 19 家律師事務(wù)所和收債機構(gòu)的 92 個惡意域相關(guān)聯(lián)。根據(jù)云電子郵件安全平臺 Abnormal Security 的一篇文章，BEC 組織發(fā)送了冒充真實律師事務(wù)所的債務(wù)追償服務(wù)的電子郵件。他們的目標是欺騙會計專業(yè)人員支付據(jù)稱提供給接收公司的假發(fā)票。

來自異常安全的屏幕截圖

一旦目標受害者做出回應(yīng)，BEC 攻擊者就會在 PDF 發(fā)票中回復支付賬戶詳細信息。發(fā)票包括賬單號、銀行賬戶詳細信息和公司的增值稅號。如果目標受害者出現(xiàn)懷疑，BEC 攻擊者將冒充目標公司的高管，進一步向目標受害者施加壓力。他們使用帶有欺騙性的顯示名稱的新電子郵件。通過這個虛假的執(zhí)行角色，攻擊者授權(quán)員工繼續(xù)付款。

?來自 Abnormal Security 的截圖——冒充公司高管的 Crimson Kingsnake 電子郵件示例?

拉雷多市

KGNS 報告說，拉雷多市是 BEC 欺詐的受害政府之一，導致納稅人損失超過 1,000,000 美元。它是怎么發(fā)生的？在調(diào)查過程中，KGNS 發(fā)現(xiàn)該市財務(wù)部門的一名員工將錢支付給了一個冒充城市供應(yīng)商的電子郵件詐騙者。

列克星敦市

據(jù) LEX18 新聞報道，一項 BEC 計劃導致列克星敦市的員工向詐騙者匯款 4,000,000 美元。該市表示，犯罪行動“涉及多封電子郵件和一個復雜的計劃”，并且“犯罪分子將自己置于市與社區(qū)行動委員會之間的溝通之中?！?發(fā)生了什么？員工收到一封來自自稱是社區(qū)行動委員會的發(fā)件人的電子郵件，其中提供了新的銀行信息。列克星敦市表示當時“沒有意識到銀行信息是假的，向假銀行地址發(fā)送了三筆總計約 400 萬美元的電匯?！?/p>