六个迹象表明您是否正在经历商业电子邮件泄露攻击。此外，我们还提供了有关如何保护您和您的组织免受 BEC 攻击的提示

编者注：这是来自 Cyphere 的安全专家、董事和管理顾问 Harman Singh 的客座博客投稿。Singh 分享了他对如何识别常见的商业电子邮件泄露通信以及组织可以采取哪些措施来打击此类电子邮件欺诈的看法。

随着针对企业的网络攻击数量不断增加，企业显然需要改进其安全工作。网络犯罪分子不断开发针对企业和与他们开展业务的人的新计划。一种被称为商业电子邮件泄露 (BEC) 的攻击方式一直在打击全球所有行业的组织。BEC 攻击特别危险，因为它们的目标是银行账户中可能有大量可用资金的企业（尽管任何组织或个人都可能成为目标）。

此外，攻击者通常对公司的结构和运营有详细的了解，这使得员工很难区分合法请求和欺诈请求。

如果我们按照 FBI 的 IC3 2020 互联网犯罪报告来看，BEC 计划仍然是最昂贵的。共有 19,369 起投诉导致调整后损失超过 18 亿美元。是的，这大约是 20 亿美元的已知 BEC 骗局……这甚至不包括未报告的犯罪！

考虑到所有这些，让我们探讨如何识别 BEC 诈骗以及您可以采取哪些措施来保护您的组织。 

让我们把它算出来。

什么是商业 电子邮件妥协？ BEC 骗局解释

商业电子邮件泄露攻击是一种网络钓鱼诈骗，其中欺诈者试图破解、欺骗或冒充商业电子邮件地址。社会工程是 BEC 攻击准备的核心概念，其中受害者使用各种社会工程技术提示初始恶意行为。

这些攻击者通常会向员工发送电子邮件，这些电子邮件似乎来自公司内部的某个人，例如 CEO 或其他高管，或者来自已知的第三方（例如供应商或合作伙伴）。在某些情况下，员工或高管的电子邮件被黑客入侵，攻击者使用合法帐户向其联系人列表中的供应商发送发票付款。（在其他情况下，他们会创建外观相似的电子邮件地址，以诱使他们的目标认为他们是真实的。）然后付款被发送到黑客控制的银行账户。

BEC 攻击在 2020 年成为头条新闻，当时Shark Tank电视明星和风险投资家 Barbara Corcoran 几乎因此类骗局损失了 400,000 美元。她的簿记员被冒充科科伦助手的骗子盯上了。值得庆幸的是，在她通知银行并冻结资金后，Corcoran 能够收回她的钱。

攻击的目标通常是说服目标员工向攻击者汇款或提供敏感信息，例如员工的敏感个人数据。

商业电子邮件妥协诈骗中发生的情况概述

当威胁行为者计划攻击时，很多幕后准备都用于设置攻击基础设施和 BEC 攻击策略。就像红队依赖于开源情报 (OSINT) 阶段一样，类似的开源信息情报阶段也用于寻找目标人员、在线可用信息以及目标使用的技术 / 解决方案。

BEC 诈骗通常很难被发现，因为攻击者通常对公司的运营和层次结构有详细的了解。他们可能知道： 

• 哪些员工有权转账， 
• 这些员工的电子邮件地址是什么，以及
• 他们在指挥链中向哪些经理或高管汇报。

攻击者通常冒充高级管理人员以使请求看起来合法并增加消息的紧迫性。他们还使用网络钓鱼攻击让员工点击危险链接或打开包含恶意软件的附件。

看看 BEC 攻击造成的成本和损失

商业电子邮件泄露攻击涉及网络犯罪分子获得对商业电子邮件帐户的访问权，然后使用它发送欺诈性的金钱或敏感信息请求。这些攻击可能代价高昂且对企业造成损害，因为 Ponemon Institute 的 2021 年数据泄露成本研究发现，数据泄露的平均成本为 424 万美元。

当员工成为 BEC 骗局的受害者并电汇或汇款时，该组织可能要对损失负责。如果骗局的消息公之于众，该公司的品牌和声誉也可能受到损害。

如果客户得知他们的业务系统受到攻击或破坏，并且他们的个人身份信息 (PII) 被盗，他们可能不再信任公司的数据。这可能导致业务损失和收入减少。

Okta 的《数字信任状况》报告引用了上述相同的论点，其中：

• 服务可靠性和良好的安全策略是消费者在考虑数字品牌时最重要的两个因素。
• 在基于信任进行购物时，75% 的美国消费者可能会拒绝数字品牌。

如果一个组织的电子邮件系统遭到破坏，可能会导致灾难性的影响，例如专有数据、商业机密的泄露和 PII 的泄露。但还有很多其他成本需要关注——支付事件响应任务和团队、法律诉讼和无法弥补的声誉损失。

在讨论 BEC 攻击的影响时，失去合规性是另一个复杂性，这可能是失去对健康保险可移植性和责任法案 (HIPAA) 或支付卡行业数据安全标准 (PCI DSS) 等法规的遵守。这可能会导致罚款和其他处罚。

3 个商业电子邮件泄露 (BEC) 示例

现代最著名的 BEC 骗局之一对 Facebook 和 Google 造成了 1.21 亿美元的损失。Evaldas Rimasauskas 和他的同事成立了一家假公司，使用假发票作为剥削员工信任的途径。两年多来，这两家大型科技巨头在涉及第三方供应商的 BEC 攻击中损失了数百万美元。这名男子被判处五年徒刑。

2019 年，一家丰田子公司在 BEC 攻击中损失了 3700 万美元，攻击者说服一名员工在他们被发现之前将巨额资金转移到一家欧洲子公司。

保护您的企业免受 BEC 诈骗的最佳方法是了解攻击者使用的常见策略。以下是攻击者可能在其电子邮件中使用的一些示例消息：

1. 请求紧急电汇

亲爱的员工，

我希望你能收到这封电子邮件。我写信要求紧急电汇。从附件中可以看出，我们有一个客户准备为所提供的服务付款。由于保密原因和公司政策，我无法通过电子邮件解释交易的性质

请仔细查看附件，如果您有任何问题或疑虑，请告诉我。如果您能尽快执行电汇，我将不胜感激

感谢您的时间和合作

真挚地，

CEO 或公司内的其他高管

2. 请求敏感信息的网络钓鱼攻击

你好，

我希望你能收到这封电子邮件。我写信是为了索取一些敏感信息。从附件中可以看出，我们有一个客户准备为所提供的服务付款

由于保密原因和公司政策，我无法通过电子邮件解释交易的性质

请仔细查看附件，如果您有任何问题或疑虑，请告诉我。如果您能尽快将要求的信息发送给我，我将不胜感激

感谢您的时间和合作

真挚地，

CEO 或公司内的其他高管

3. 要求发票付款

你好，

我希望你能收到这封电子邮件。我写信通知您有关即将到来的采购订单。从附件中可以看出，我们有一位客户准备一次性购买。由于保密原因和公司政策，我无法通过电子邮件解释交易的性质

请仔细查看附件，如果您有任何问题或疑虑，请告诉我。如果您能尽快处理交易，我将不胜感激

感谢您的时间和合作

真挚地，

CEO 或公司内的其他高管

需要注意的商业电子邮件泄露警告指标

简而言之，常识并不那么普遍，而且这种可悲的现实经常被骗子利用。在这些攻击中发挥作用的基本心理通过展示和利用以下三个因素之一起作用：

1. 明确需要某些事情（您的行动）的情况好得令人难以置信
2. 利用人类的欲望导致一个人信任对方
3. 引起好奇心的内容和导致更多操作的操作，例如点击和 / 或下载

为保护您的组织免受未来的商业电子邮件泄露攻击，请注意以下警告标志：

• 要求员工代表公司汇款或购买昂贵物品的电子邮件。
• 要求提供敏感信息的电子邮件，例如工资单信息或 W-2 表格、员工社会安全号码或公司银行账户信息。
• 单词拼写错误或语法错误的电子邮件，以及意外的电子邮件或发件人姓名丢失或不清楚的电子邮件。
• 通过电子邮件发送的意外附件。
• 下班后或周末、节假日或其他非标准工作日发送的电子邮件。
• 欺骗性电子邮件地址，因为这些通常用于 BEC 诈骗。攻击者通常会使用与公司高管非常相似的电子邮件地址。

BEC 攻击的工作原理

在 BEC 攻击中，诈骗者通常会冒充公司内的权威人士。很多时候，这个人似乎是 CEO 或其他高管。

攻击者可能会提及通过 SMS 文本消息发送的一次性密码 (OTP)，以使员工相信这是一个合法请求。此外，电子邮件通常具有紧迫感，以迫使员工快速回复。有时，攻击者会伪装成第三方供应商，要求向欺诈性账户付款。

攻击者还可能使用伪造的电子邮件地址，使其看起来像是来自公司内部的某个人。当电子邮件发件人的域看起来合法时，此技术是域欺骗的一种形式。

攻击者通常对公司的运营有详细的了解，这使得员工很难区分合法请求和欺诈请求。该电子邮件可能包含诸如首席执行官姓名和该人签名的伪造副本等信息。

在某些情况下，攻击者甚至可能知道公司内特定员工的姓名。这种详细程度会使企业很难分辨谁是合法的，谁不是。

6 种保护自己免受 BEC 攻击的方法

企业可以做几件事来保护自己免受 BEC 攻击：

1. 教育你的员工

防止 BEC 攻击的最佳方法之一是让您的员工了解该骗局。他们需要了解诈骗电子邮件的迹象，例如以下信息： 

• 使用糟糕的语法和拼写错误， 
• 包含未经请求的链接和附件， 
• 包括与电子邮件地址不匹配的发件人信息，以及 
• 传达一种紧迫感。

2.为电子邮件和银行账户启用双重身份验证

当涉及到他们的企业电子邮件账户和银行账户时，员工需要启用双重身份验证。最常见的是，这涉及使用智能手机应用程序，例如 Google Authenticator 或 Duo Mobile。此外，员工应该只打开来自已知发件人的附件。

3. 在采取行动之前验证沟通

在可能的情况下，员工应在采取任何要求的行动之前核实电话和电子邮件。无论是他们的老板还是公司首席执行官，最好的做法是直接通过他们的私人电话或使用电子邮件中包含的唯一链接给他们打电话。

任何转移资金或敏感信息（如用户名和密码）的请求都应经过验证。最好的方法是挂断电话，然后用他们的直线回拨对方。

切勿回复或点击可疑电子邮件中发送的链接。

4.检查电子邮件标题

电子邮件的标题可能包含可以帮助您确定它是否合法的信息。例如，电子邮件的 Internet 协议 (IP) 地址可能与贵公司通常使用的地址不同。

5. 实施电子邮件安全措施来保护您的品牌

您可以采取的另一种安全方法是设置电子邮件安全措施，例如发件人策略框架 (SPF)、域密钥识别邮件 (DKIM) 以及域消息身份验证、报告和一致性 (DMARC)。 

• SPF 允许您设置域名系统 (DNS) 记录，以指定哪些 IP 地址有权代表您的域发送电子邮件。 
• DKIM 为您的出站电子邮件添加一个“签名”，让您的收件人的电子邮件服务器知道它是真实的并且合法地来自您的域。
• DMARC 同时使用 SPF 和 DKIM 来创建更高的电子邮件安全性。您可以设置强制规则，要求所有入站电子邮件都经过特定的验证检查。如果电子邮件不符合某些标准，它将被拒绝。

6. 在所有设备上安装恶意软件保护

您的企业应该在您的设备上安装恶意软件防护，以防止恶意软件和其他网络威胁。这可以包括防病毒、反间谍软件或其他类型的保护。

如果您已回复 BEC 电子邮件该怎么办？ 

如果您认为您可能已经回复了 BEC 电子邮件，您可以执行以下操作：

1. 向您组织的 IT/ 网络安全团队报告。

2. 联系您的银行并要求暂停所有交易。

3.更改您的电子邮件和财务帐户密码。

4. 查看您的账户报表是否有任何可疑活动。

5. 联系警方并报案。

6. 联系您的银行、信用卡提供商和金融机构报告诈骗。

担心身份盗用？

如果您怀疑自己可能因此次攻击而成为身份盗用的受害者，您可以执行以下操作：

• 联系三个国家信用报告公司之一（Equifax、Experian 和 TransUnion），在您的信用报告中设置欺诈警报，这将使债权人知道您可能是身份盗窃的受害者。
• 联系社会保障局监察长办公室，报告与您的社会保障号相关的任何可疑活动。
• 关闭受损的金融或信用卡账户。
• 向联邦贸易委员会 (FTC) 提交身份盗窃宣誓书。
• 请联系您所在州的总检察长办公室。

关于商业电子邮件妥协诈骗的最终想法

通过了解 BEC 攻击的工作原理并采取必要措施保护自己免受攻击，您可以帮助降低成为受害者的风险。在这篇博文中，我们概述了保护您的公司免受企业电子邮件泄露诈骗攻击的各种方法——无论是通过帮助员工发现虚假电子邮件还是通过实施可以抵御攻击者的策略。 

如果今天这些提示对您有所帮助，请也与其他可能需要保护的人分享！