商業電子郵件犯罪

出自 MBA智库百科(https://wiki.mbalib.com/)

　　商業電子郵件犯罪(Business Email Compromise，簡稱BEC)，也叫商業電子郵件欺詐

　　商業電子郵件犯罪(Business Email Compromise，簡稱BEC)是一種高級的電子郵件攻擊，其本質是依賴於使用假身份欺騙受害者，同時通過避免使用可檢測的有效載荷(如URL或附件)來躲避檢測。通常情況下，犯罪分子將偽裝成預期受害者的同事或預期受害組織的供應商，並要求他們進行付款或發送一些敏感數據。

　　與典型垃圾郵件不同，商業電子郵件犯罪是以欺騙者身份發送，冒充預期受害者的信任方，同時使用社會工程學手段使預期受害者執行冒險行為。它是一個騙局，完全基於說服預期受害者寄送金錢或數據的騙局。主要分為三種：假冒欺詐，相似功能變數名稱和顯示名稱欺詐。根據Agari的調查顯示，12%的BEC為假冒欺詐，7%的為相似功能變數名稱和顯示名稱欺騙的組合，剩餘81%為純粹的顯示名稱欺詐。

　　假冒欺詐(Spoofing)

　　在這種類型中，攻擊者使用設置為郵件伺服器的路由器，但他不是簡單地轉發電子郵件，而是在郵件流中插入偽造的電子郵件。當然他也可以只是簡單地選擇使用免費或付費服務。這對於行騙者來說，幾乎沒有準入門檻。

　　如果被模仿的域具有已經發佈的DMARC策略，那麼這些詐欺郵件就可以被阻止或隔離。然而，大多數的企業域上並沒有DMARC，根據DMARC策略進行身份驗證的入站郵件過濾器就更少了。舉例來說，只有5%的財富500強企業在其公司域上建立了拒絕(或阻止)策略。

　　有些假冒欺詐者使用了假冒目標組織的用戶或者受信目標組織的用戶。我們必須註意到DMARC只能阻止假冒受DMARC保護的域的企圖。因此，攻擊者能夠假冒其他受信組織，如公司的律所、供應商及分所等而不被DMARC阻止。

　　相似功能變數名稱(Look-alike Domain)

　　相似功能變數名稱指的是一個受攻擊者控制的看起來很相似的欺騙性功能變數名稱，主要有兩種類型。一種是“傳統型”。這種類型看起來很像被模仿組織的功能變數名稱。例如“agarii.com”(有兩個“i”)可能被用來模仿一個功能變數名稱為“agari.com”(只有一個“i”)的用戶。

　　第二種類型更為常見和通用，類似於“公司-信息-郵件.com”，這是網路罪犯在現實世界使用的真實功能變數名稱。儘管可能有人會爭辯說這更像是功能變數名稱模仿派，但也可以將它視作是一個與假冒欺騙派“一致”的功能變數名稱，也就是說，預期受害者可能不會註意到這個差異。

　　顯示名稱欺詐攻擊(Display Name Deception Attacks)

　　在典型的顯示姓名欺詐攻擊中，攻擊者會在註冊一個免費電子郵件賬戶，選擇一個與被假冒方匹配的名字並設置顯示名稱。通常，一名BEC攻擊者會將名字設置成被模擬者或被模擬企業的名字以匹配被模仿方。例如，攻擊者可能會將顯示姓名設置為“Ravi Khatod”來假冒Agari的首席執行官(註：Ravi Khatod為現任Agari的CEO)，或者設置成“Wells Fargo”(註：美國富國銀行)來進行針對組織而不是個人名義的攻擊。

　　除了選擇與被模仿用戶相匹配的顯示名稱外，犯罪分子有時還會選擇用用戶名幫助他們進行冒充偽裝。有時，他們會選能夠用來暗示被模仿組織或用戶的名字來註冊賬戶，例如Ravi.Khatod.Agari.com@gmail.com被用於模仿Ravi.Khatod@agari.com。我們要註意到，這不是顯示名稱，在這個例子中，也可能將其設置成“Ravi.Khatod”或“Ravi Khatod ”。更為極端的情況，用戶名有時可以是任何名字，與顯示名稱無關。上圖中的用戶名就是一個很好的例子。最常見的情形是使用對應於被模擬用戶角色的用戶名。從犯罪的角度看，後一種方法的好處就在於，犯罪分子希望通過與被模擬角色名稱一致的用戶名去模仿、冒充大量的用戶——只要這些用戶也擁有類似的(組織)角色。

　　根據 Proofpoint 2019年發佈的一份報告顯示，在 2018 年第四季度中，每家目標組織遭遇的 BEC 攻擊數量同比增長了 476%。與此同時，Mimecast 也在其發佈的《2019年電子郵件安全年度報告》中指出，假冒和 BEC 攻擊增長了 67%，且其中 73% 的受害組織遭受了直接損失。

　　最後這一點尤為重要(73%遭受直接損失)，因為 BEC 攻擊所造成的傷害並不是系統破壞、停機或是生產力損失。相反地，它帶來的都是冷冰冰的現金損失。總而言之，聯邦調查局表示，僅 2018 年，已知的 BEC 攻擊所造成的總損失已經高達 27億美元。

　　BEC 欺詐各不相同，但它們一般都有一個共同點——主要瞄準那些擁有金融控制權的工作人員(無論其是在大型或小型組織中)，然後對其實施有針對性的魚叉式網路釣魚攻擊。

　　最常使用的手段就是電子郵件賬戶接管或欺騙，欺詐者會冒充目標的同事或老闆——有時候還會冒充 CEO、供應商甚至是另一個部門中職位很高的人。然後，他們會試圖說服目標將資金轉移給欺詐者，或是更改現有金融交易中的細節來使自己受益。

　　欺詐者會試圖觸發一些行動來完成攻擊任務，包括讓他們的目標將資產轉移到據稱是公司所持有的賬戶中進行保密交易;支付虛假的 “未付款” 發票，或者轉移員工薪資等等。這些欺詐場景可謂十分豐富，只要攻擊者能夠充分發揮創造力提出令人信服的社會工程 “誘餌” 即可，需要註意的是，這些誘餌對於目標而言必須要極具吸引力。在許多情況下，這些交易規模都是相當大的，所以攻擊者必須事先進行大量的研究，以提出合理的、量身定製的 “誘餌”。

　　Google/Facebook1億美元發票詐騙

　　2017年4月，美國司法部門公開表示，Google/Facebook受到了BEC詐騙攻擊，他們向偽裝成伺服器硬體供應商Quanta的犯罪分子支付了總共1億美元。這位詐騙者是一位名叫Evaldas Rimasauskas的立陶宛人，為了實施欺詐，他甚至創建了真正的公司實體和相關的銀行賬戶，以說服兩家公司的會計部門向東歐的銀行賬戶進行電匯。

　　MacEwan大學1180萬美元電匯欺詐

　　2017年8月，位於加拿大阿爾伯塔省的MacEwan大學遭遇了一次BEC欺詐。對方假冒他們的供應商，詐騙金額高達1180萬美元。幸運的是，這次詐騙很快就被髮現了，大部分資金已被追蹤並凍結。目前，該大學正和執法部門一起追回贓款。

　　紐約法官在房地產騙局中損失超過100萬美元

　　一名紐約州最高法院的法官在一次BEC欺詐中損失了100多萬美元。對方模仿她的律師，讓她將自己購買的一套公寓費用轉到犯罪分子的銀行賬戶中。

　　這些都只是成千上萬起攻擊中的三個例子。目前，無論是財富500強、小企業、大學還是個人都依然持續受到BEC攻擊的困擾。