商业电子邮件犯罪

出自 MBA智库百科(https://wiki.mbalib.com/)

　　商业电子邮件犯罪(Business Email Compromise，简称BEC)，也叫商业电子邮件欺诈

　　商业电子邮件犯罪(Business Email Compromise，简称BEC)是一种高级的电子邮件攻击，其本质是依赖于使用假身份欺骗受害者，同时通过避免使用可检测的有效载荷(如URL或附件)来躲避检测。通常情况下，犯罪分子将伪装成预期受害者的同事或预期受害组织的供应商，并要求他们进行付款或发送一些敏感数据。

　　与典型垃圾邮件不同，商业电子邮件犯罪是以欺骗者身份发送，冒充预期受害者的信任方，同时使用社会工程学手段使预期受害者执行冒险行为。它是一个骗局，完全基于说服预期受害者寄送金钱或数据的骗局。主要分为三种：假冒欺诈，相似域名和显示名称欺诈。根据Agari的调查显示，12%的BEC为假冒欺诈，7%的为相似域名和显示名称欺骗的组合，剩余81%为纯粹的显示名称欺诈。

　　假冒欺诈(Spoofing)

　　在这种类型中，攻击者使用设置为邮件服务器的路由器，但他不是简单地转发电子邮件，而是在邮件流中插入伪造的电子邮件。当然他也可以只是简单地选择使用免费或付费服务。这对于行骗者来说，几乎没有准入门槛。

　　如果被模仿的域具有已经发布的DMARC策略，那么这些诈欺邮件就可以被阻止或隔离。然而，大多数的企业域上并没有DMARC，根据DMARC策略进行身份验证的入站邮件过滤器就更少了。举例来说，只有5%的财富500强企业在其公司域上建立了拒绝(或阻止)策略。

　　有些假冒欺诈者使用了假冒目标组织的用户或者受信目标组织的用户。我们必须注意到DMARC只能阻止假冒受DMARC保护的域的企图。因此，攻击者能够假冒其他受信组织，如公司的律所、供应商及分所等而不被DMARC阻止。

　　相似域名(Look-alike Domain)

　　相似域名指的是一个受攻击者控制的看起来很相似的欺骗性域名，主要有两种类型。一种是“传统型”。这种类型看起来很像被模仿组织的域名。例如“agarii.com”(有两个“i”)可能被用来模仿一个域名为“agari.com”(只有一个“i”)的用户。

　　第二种类型更为常见和通用，类似于“公司-信息-邮件.com”，这是网络罪犯在现实世界使用的真实域名。尽管可能有人会争辩说这更像是域名模仿派，但也可以将它视作是一个与假冒欺骗派“一致”的域名，也就是说，预期受害者可能不会注意到这个差异。

　　显示名称欺诈攻击(Display Name Deception Attacks)

　　在典型的显示姓名欺诈攻击中，攻击者会在注册一个免费电子邮件账户，选择一个与被假冒方匹配的名字并设置显示名称。通常，一名BEC攻击者会将名字设置成被模拟者或被模拟企业的名字以匹配被模仿方。例如，攻击者可能会将显示姓名设置为“Ravi Khatod”来假冒Agari的首席执行官(注：Ravi Khatod为现任Agari的CEO)，或者设置成“Wells Fargo”(注：美国富国银行)来进行针对组织而不是个人名义的攻击。

　　除了选择与被模仿用户相匹配的显示名称外，犯罪分子有时还会选择用用户名帮助他们进行冒充伪装。有时，他们会选能够用来暗示被模仿组织或用户的名字来注册账户，例如Ravi.Khatod.Agari.com@gmail.com被用于模仿Ravi.Khatod@agari.com。我们要注意到，这不是显示名称，在这个例子中，也可能将其设置成“Ravi.Khatod”或“Ravi Khatod ”。更为极端的情况，用户名有时可以是任何名字，与显示名称无关。上图中的用户名就是一个很好的例子。最常见的情形是使用对应于被模拟用户角色的用户名。从犯罪的角度看，后一种方法的好处就在于，犯罪分子希望通过与被模拟角色名称一致的用户名去模仿、冒充大量的用户——只要这些用户也拥有类似的(组织)角色。

　　根据 Proofpoint 2019年发布的一份报告显示，在 2018 年第四季度中，每家目标组织遭遇的 BEC 攻击数量同比增长了 476%。与此同时，Mimecast 也在其发布的《2019年电子邮件安全年度报告》中指出，假冒和 BEC 攻击增长了 67%，且其中 73% 的受害组织遭受了直接损失。

　　最后这一点尤为重要(73%遭受直接损失)，因为 BEC 攻击所造成的伤害并不是系统破坏、停机或是生产力损失。相反地，它带来的都是冷冰冰的现金损失。总而言之，联邦调查局表示，仅 2018 年，已知的 BEC 攻击所造成的总损失已经高达 27亿美元。

　　BEC 欺诈各不相同，但它们一般都有一个共同点——主要瞄准那些拥有金融控制权的工作人员(无论其是在大型或小型组织中)，然后对其实施有针对性的鱼叉式网络钓鱼攻击。

　　最常使用的手段就是电子邮件账户接管或欺骗，欺诈者会冒充目标的同事或老板——有时候还会冒充 CEO、供应商甚至是另一个部门中职位很高的人。然后，他们会试图说服目标将资金转移给欺诈者，或是更改现有金融交易中的细节来使自己受益。

　　欺诈者会试图触发一些行动来完成攻击任务，包括让他们的目标将资产转移到据称是公司所持有的账户中进行保密交易;支付虚假的 “未付款” 发票，或者转移员工薪资等等。这些欺诈场景可谓十分丰富，只要攻击者能够充分发挥创造力提出令人信服的社会工程 “诱饵” 即可，需要注意的是，这些诱饵对于目标而言必须要极具吸引力。在许多情况下，这些交易规模都是相当大的，所以攻击者必须事先进行大量的研究，以提出合理的、量身定制的 “诱饵”。

　　Google/Facebook1亿美元发票诈骗

　　2017年4月，美国司法部门公开表示，Google/Facebook受到了BEC诈骗攻击，他们向伪装成服务器硬件供应商Quanta的犯罪分子支付了总共1亿美元。这位诈骗者是一位名叫Evaldas Rimasauskas的立陶宛人，为了实施欺诈，他甚至创建了真正的公司实体和相关的银行账户，以说服两家公司的会计部门向东欧的银行账户进行电汇。

　　MacEwan大学1180万美元电汇欺诈

　　2017年8月，位于加拿大阿尔伯塔省的MacEwan大学遭遇了一次BEC欺诈。对方假冒他们的供应商，诈骗金额高达1180万美元。幸运的是，这次诈骗很快就被发现了，大部分资金已被追踪并冻结。目前，该大学正和执法部门一起追回赃款。

　　纽约法官在房地产骗局中损失超过100万美元

　　一名纽约州最高法院的法官在一次BEC欺诈中损失了100多万美元。对方模仿她的律师，让她将自己购买的一套公寓费用转到犯罪分子的银行账户中。

　　这些都只是成千上万起攻击中的三个例子。目前，无论是财富500强、小企业、大学还是个人都依然持续受到BEC攻击的困扰。