商业邮件欺诈
本文约需 2 分钟阅读
商业邮件诈骗 (BEC: Business Email Compromise) 是指攻击者冒充企业经营者、交易方或律师等可信人物,通过邮件指示进行非法汇款或提供机密信息的网络犯罪。由于它利用的是人与人之间的信任关系而非技术漏洞,可以说是社会工程学最精巧的形态之一。根据 FBI 的 IC3 (Internet Crime Complaint Center) 数据, BEC 在 2013 年至 2023 年间的累计损失已超过 500 亿美元,是造成金钱损失最大的网络犯罪。
五种攻击模式
冒充经营者,向财务人员指示紧急汇款。以「事关绝密项目,不得外传」进行封口是典型手法。
伪造交易方的发票,将汇款账户替换为攻击者的账户。由于混入正规交易中,往往发现得较晚。
冒充法律顾问或法务负责人,以并购或诉讼应对为借口要求紧急汇款。
实际劫持员工的邮件账户,并从该账户向交易方发送伪造的发票。
冒充人事部门,索要员工的 W-2 (扣缴凭单) 或个人信息。目标是信息而非金钱。
这些模式的共同点在于,攻击者会事先对目标组织进行彻底调查。他们从社交媒体和企业网站收集组织架构图、交易方信息、经营者的出差行程等,并在最有效的时机发动攻击。其手法与鱼叉式钓鱼和捕鲸攻击有诸多重叠之处,全面理解这些攻击手法是防御的第一步。
BEC 攻击的流程
与 AI 深度伪造的融合
近年来, BEC 通过与 AI 技术的融合进入了新的阶段。 2024 年,香港一家跨国企业发生了利用深度伪造视频会议的 BEC 攻击,约 2560 万美元被骗取。攻击者用 AI 生成了包括 CFO 在内多名高管的影像和声音,并在实时视频会议中指示财务人员汇款。在不仅邮件、连声音和影像都能被伪造的时代,「听到声音就是本人」「看到脸就不会错」这类传统的确认方法已不再可靠。深度伪造技术的进化使 BEC 的威胁急剧上升。
通过 DMARC 防止冒充
BEC 对策的技术支柱是DMARC (Domain-based Message Authentication, Reporting and Conformance)。 DMARC 可以基于 SPF 和 DKIM 的认证结果,指示接收方如何处理冒用本公司域名的邮件 (拒收、隔离、允许)。但是, DMARC 防范的是对本公司域名的冒用,无法应对来自相似域名 (例如 examp1e.com) 的攻击。此外,如果交易方未引入 DMARC,冒充交易方的攻击邮件就会畅通无阻。仅靠技术对策并不充分,必须与人为对策双管齐下。邮件安全实务书 (Amazon)推荐用来学习 DMARC 的引入步骤。
最有效的对策 - 汇款前的电话确认
针对 BEC 最有效且低成本的对策,是在组织内确立一套流程:收到汇款指示时,通过「事先登记的电话号码」直接向委托人本人确认。这里的关键在于,要拨打公司内部联系人列表中已登记的号码,而非邮件中记载的电话号码,因为攻击者有时会在邮件中写上自己的电话号码。此外,对超过一定金额的汇款,引入需要多人审批的双重控制 (dual control) 也很有效。也请一并参考钓鱼防范指南和社会工程学防御。
BEC 是钓鱼的一种形态,但与广撒网式针对不特定多数的类型不同,它精准狙击特定个人,因而损失金额会大得多。也请确认利用 AI 的钓鱼最新动向,为不断演变的威胁做好准备。
这篇文章对您有帮助吗?