每年,犯罪分子都会卷走数十亿美元。他们不是通过闯入豪华艺术画廊或银行金库,而是通过在恰当的时间向恰当的人发送恰当的电子邮件。这就是他们的作案方式。
在本文中,您将了解:
商业电子邮件诈骗究竟是什么
这些攻击是如何一步步实施的
最常见的 BEC 攻击类型
一起 3700 万美元攻击的真实案例
在您的企业成为目标之前,如何保护它
在网络安全中,什么是商业电子邮件诈骗?
商业电子邮件诈骗是一种网络攻击,其中 犯罪分子冒充您信任的人,诱骗您汇款或交出敏感数据。它之所以危险,在于其耐心和周密策划。攻击者会花上数周时间了解一家公司的沟通方式、谁掌握权限,以及何时出手。等到邮件送达时,它看起来就像是一封来自熟人的普通邮件。
商业电子邮件诈骗攻击是如何运作的?
这类攻击有一套久经验证的惯用套路,而诈骗者每次都会照着做。
第 1 步——找到目标
商业电子邮件诈骗攻击的核心就在于它必须足够令人信服。对攻击者来说,幸运的是,互联网是有关潜在目标信息的金矿。快速浏览一下您的社交媒体资料,就可能暴露您的工作、亲密朋友,甚至您的说话语气。再把这些信息与有关您未来公司动向的新闻稿以及公司网站上的个人简介拼凑起来,整件事就开始显得可信了。
攻击者可以抓取所有这些信息,并在几秒钟内创建一封看起来和听起来都像真的电子邮件。
第 2 步——进入收件箱
为了让电子邮件内容看起来真实,攻击者需要给它套上一层光鲜且可信的外壳。如果电子邮件地址看起来不是来自可信来源,整个骗局就会彻底失败。
攻击者可能会通过注册类似 acme-corp.com 而不是 acmecorp.com 这样的名称来伪造域名。或者,如果他们足够高明,就会入侵真实的收件箱,使其几乎无法与真正的邮件区分开来。
毕竟,如果它看起来像鸭子,叫起来也像鸭子,大多数人都会认为它就是鸭子。
第 3 步——建立信任
在这类攻击中,耐心才是关键。攻击者可以潜伏在被入侵的收件箱中数周,阅读邮件线程并学习沟通风格。当邮件最终到达时,它会自然融入之前的邮件中,模仿对话的语气和节奏。
第 4 步——提出要求
一旦攻击者对您了如指掌——您的说话语气、同事的姓名和职位,以及您公司正在发生的事情——并且他们已经成功潜入您的电子邮件系统,请求就会被发出。
这通常是一些很难轻易挽回的事情。可能涉及向某个银行账户汇款,或共享私人信息。关键在于,这件事必须是不可逆的。
一旦目标意识到出了问题,攻击者就需要确保损害已经造成。如果他们格外狡猾,甚至可能会在节日期间发送邮件,因为那时每个人的警惕性都较低,成功的几率也更大。
第 5 步——消失得无影无踪
资金一旦汇出,就会迅速通过一系列中间账户转移。这些账户通常设在海外,因此即使对执法部门来说,资金流向也非常难以追踪。
商业电子邮件诈骗示例
商业电子邮件诈骗堪称数字攻击中的终极 Boss。它通常涉及 大型公司和令人瞠目的巨额资金。
2019 年,Toyota 的一家主要供应商在一次转账中损失了数千万美元。攻击者入侵了 Toyota Boshoku 的电子邮件系统。他们阅读邮件并了解了公司的沟通方式。当一次大额转账在对话中被提及时,他们要求公司中有权调动资金的人更新此次转账的银行账户信息。看起来一切都很合法,于是钱就被汇出了。
就这样,3700 万美元没了。
商业电子邮件诈骗攻击的类型
并非所有商业电子邮件诈骗案例看起来都一样。当然,目标始终是诱骗人们交出尽可能多的钱,但手法可能截然不同。
CEO 欺诈(高管冒充)
这是最广为人知的 BEC 形式。攻击者冒充高级管理人员,通常是 CEO 或 CFO,并向财务人员施压,要求其转移资金。之所以有效,是因为权力关系在起作用。当老板想要某样东西时,大多数人不会停下来问为什么。如果再配上一个可信的背景故事,就足以让人不假思索地采取行动。
供应商电子邮件诈骗
攻击者瞄准的是公司外部的关系,而不是假装成公司内部人员。他们会针对受信任的供应商和卖家,混入现有的电子邮件对话中,把真实的付款信息替换成他们自己的。从受害者的角度看,这就像是来自合作多年的供应商发来的常规发票更新。
账户接管
这是最危险的一种变体,因为其中不涉及任何伪造。攻击者使用的是真实账户。电子邮件来自真实地址,语气也正确。消息看起来完全正常,因为从技术上讲,它本来就是真的。
工资转移
这种攻击针对的不是公司的钱,而是员工。攻击者冒充 HR 或员工本人,请求更新工资发放信息,悄悄把工资改汇到他们控制的账户。
受害者通常要到发薪日才会发现,而由于金额较小且请求看起来正常,它很少会触发欺诈警报。这是 BEC 的一种较慢版本,但如果攻击足够多的员工,金额也会迅速累积。
BEC 与网络钓鱼——有什么区别?
网络钓鱼邮件已经存在很长时间了,大多数人也知道它长什么样。就是那种告诉您中了大奖,或者某位尼日利亚王子需要您帮助的邮件。它们会被批量发送,并依靠庞大的数量来趁人不备。
如果说网络钓鱼是一张网,那么 BEC 就是一名狙击手。攻击者会花上数周研究一家公司,有时甚至是某一个特定的人。等到邮件送达时,它看起来就像是某个您认识的人在周二早晨发来的普通消息。
网络钓鱼通常是为了获取您的登录凭据,而 BEC 则完全跳过这一步,直接瞄准金钱或数据。
如何识别商业电子邮件诈骗攻击
BEC 攻击就是被设计得看起来很正常。但如果您知道该留意什么,迹象其实就在那里。
紧迫感— 一封催促您迅速转移资金、不给您停下来核实空间的电子邮件。
突然变化 — 某个供应商或同事突然毫无征兆地更新了他们的付款信息。
几乎正确的地址 — 发件人的电子邮件地址与真实地址只差一个字符。
有点不对劲的语气— 某些地方感觉不对,过于正式、过于随意,或异常神秘。
突如其来的请求 — 有人要求您去做一件通常会通过其他渠道处理的事情。
如何防止商业电子邮件诈骗攻击
了解这些攻击如何运作,等于赢了一半。另一半则是确保您的企业不会成为容易下手的目标。
拿起电话
如果一封电子邮件要求您转账或更新付款信息,不要直接回复。请使用您已经掌握的号码直接致电对方,而不是使用邮件中的号码。这只需要 30 秒,却是您能做的最有效的一件事。
开启双重身份验证
如果攻击者拿到了某人的登录凭据,2FA 可以阻止整个收件箱被完全接管。它不能阻止一切,但会让账户被攻破变得困难得多。
让您的团队知道什么才是正常情况
定期培训 BEC 是什么、它如何运作,以及危险信号是什么样子,可以让您的员工成为一道防线。
让工具替您分担一些重任
垃圾邮件过滤器和域名身份验证工具(例如 SPF、DKIM 和 DMARC)可以在 BEC 企图到达您的团队之前将其过滤掉。基于 AI 的检测则更进一步。它会学习您组织内部正常的电子邮件行为模式,并标记任何可疑内容。
常见问题
商业电子邮件诈骗是指犯罪分子通过电子邮件冒充您信任的人,诱骗您汇款或分享敏感信息。攻击者会发送一封极具说服力的电子邮件,模仿公司邮件的语气,甚至还会使用公司电子邮件地址发出。
它们有关联,但并不相同。网络钓鱼是撒一张大网,向尽可能多的人发送通用邮件。BEC 攻击则是定向的。攻击者会研究某一家特定公司、某一个特定的人,以及某一个特定时机。结果就是它更具说服力,代价也高得多。
大多数商业电子邮件诈骗都始于侦察研究。攻击者会研究一家公司的结构和沟通方式。一旦他们掌握了足够的信息,就会伪造一个受信任的电子邮件地址,或者接管一个真实地址。
CEO 欺诈。攻击者冒充高级管理人员,并向财务人员施压,要求其迅速转账。之所以有效,是因为大多数人不会质疑老板发出的紧急请求。
是的。商业电子邮件诈骗防护始于人。培训您的团队识别危险信号,通过电话核实付款请求,并使用 2FA 和 DMARC 等工具,让您的电子邮件更难被攻破。没有任何单一措施是万无一失的,但正确的组合会让您变得更难成为目标。
__1440x360.01kn9s6z8zcf2njg0pzkatjd26.png)

分享您的想法