電子郵件因其方便、快捷、成本低廉的特點(diǎn)，成為企業(yè)之間進(jìn)行商務(wù)溝通的重要手段，商務(wù)交易訂單、收據(jù)及匯款賬號(hào)等都可通過(guò)電子郵件進(jìn)行傳遞，尤其是與長(zhǎng)期合作公司的跨國(guó)交易，由于時(shí)差、語(yǔ)言等因素，以電子郵件為主要溝通途徑，更是習(xí)以為常的一件事。電郵在商業(yè)領(lǐng)域的廣泛應(yīng)用也衍生出以電子郵件為攻擊途徑的網(wǎng)絡(luò)詐騙攻擊手法——“商務(wù)電郵詐騙”(Business Email Compromise，BEC)。美國(guó)聯(lián)邦調(diào)查局(FBI)近日發(fā)布公告顯示，2017 上半年商務(wù)電郵詐騙已造成全球高達(dá)53億美元的經(jīng)濟(jì)損失。

什么是“商務(wù)電郵詐騙”?

“商務(wù)電郵詐騙”(BEC)又被稱(chēng)作“老板詐騙”(CEO Fraud)或“中間人詐騙”(Man in the Middle)。美國(guó)聯(lián)邦調(diào)查局旗下網(wǎng)絡(luò)犯罪申訴中心在網(wǎng)絡(luò)犯罪報(bào)告中指出，“商務(wù)電郵詐騙” 是一場(chǎng)復(fù)雜的網(wǎng)絡(luò)詐騙行為，目標(biāo)是經(jīng)常執(zhí)行電匯付款的外國(guó)供貨商或企業(yè)合作伙伴。主要透過(guò)社交工程手法與入侵商業(yè)電子郵件帳戶(hù)等方式，進(jìn)行未經(jīng)授權(quán)的轉(zhuǎn)賬。實(shí)施“商務(wù)電郵詐騙”的攻擊者通過(guò)各種手段，其中包括社交媒體、公司網(wǎng)站介紹或黑客攻擊手段，弄到企業(yè)老板的電郵賬號(hào)，之后冒充老板通過(guò)電郵指示公司財(cái)務(wù)部電匯項(xiàng)目款給某公司，而這個(gè)公司往往是詐騙團(tuán)伙的同謀，他們得到付款后，立刻將這筆錢(qián)轉(zhuǎn)移到國(guó)外另一銀行賬戶(hù)。“商務(wù)電郵詐騙”一般分為以下四個(gè)實(shí)施階段：

階段1：確認(rèn)目標(biāo)

• 黑客從網(wǎng)絡(luò)上或通過(guò)其他途徑，搜集到各企業(yè)大老板或企業(yè)窗口的聯(lián)系信息，以及各式相關(guān)信息。

階段2：潛伏觀察

• 黑客透過(guò)入侵或“釣魚(yú)”手法成功取得企業(yè)郵件登入賬號(hào)密碼，或透過(guò)惡意軟件側(cè)錄使得雙方通信內(nèi)容一覽無(wú)遺，掌握公司財(cái)務(wù)對(duì)象、大老板行程與交易信息，等待時(shí)機(jī)攻擊。

階段3：正式發(fā)動(dòng)攻擊

• 在國(guó)內(nèi)企業(yè)與國(guó)外廠(chǎng)商交易快完成前，中斷廠(chǎng)商之間的通訊，向是Reply-to的發(fā)件人至竄改的假冒E-mail，并假冒出口商要求變更匯款賬號(hào)，或是假冒大老板名義向公司會(huì)計(jì)要求匯款。

階段4：取走匯款

• 待企業(yè)上當(dāng)匯款之后，將款項(xiàng)提領(lǐng)一空，或是再匯至第三個(gè)國(guó)家地區(qū)銀行或第四個(gè)國(guó)家地區(qū)銀行。

事實(shí)上，這類(lèi)跨國(guó)商務(wù)電郵詐騙案，并不是今年才有的網(wǎng)絡(luò)犯罪手法，早在五六年前，就傳出不少企業(yè)遇害。或許你會(huì)說(shuō)這跟多數(shù)網(wǎng)絡(luò)釣魚(yú)詐騙有何不同?事實(shí)上，“商務(wù)電郵詐騙”并非大規(guī)模寄送電子郵件，這類(lèi)手法同樣以電子郵件為攻擊途徑，但聚焦在跨國(guó)交易的來(lái)往過(guò)程，在入侵、潛伏觀察后，伺機(jī)而動(dòng)，且冒用對(duì)象是以郵件溝通的企業(yè)合作伙伴，或是企業(yè)高層主管如CIO、CEO與CFO為主，并發(fā)送郵件給相關(guān)負(fù)責(zé)人與財(cái)務(wù)經(jīng)辦人員。企業(yè)一旦遇害，損失金額為幾十萬(wàn)至上千萬(wàn)元不等。的確，它就是一種針對(duì)性攻擊，也可能運(yùn)用現(xiàn)行各種網(wǎng)絡(luò)安全威脅滲透至受害者計(jì)算機(jī)的手法，但接下來(lái)的方式，就是以冒用身份為主。

快速識(shí)別“商務(wù)電郵詐騙”

“商務(wù)電郵詐騙”的偽裝性和欺騙性極強(qiáng)，如何快速識(shí)別這種網(wǎng)絡(luò)詐騙手法是預(yù)防的關(guān)鍵，以下是五類(lèi)常見(jiàn)的“商務(wù)電郵詐騙”方式：

1. 黑客假冒海外供貨商以要求企業(yè)付款

網(wǎng)絡(luò)犯罪分子假冒國(guó)外客戶(hù)E-mail，要求變更匯款賬號(hào)，導(dǎo)致公司匯款至詐騙用賬戶(hù)。或者是假冒&&公司名義發(fā)送E-mail給國(guó)外客戶(hù)，導(dǎo)致國(guó)外客戶(hù)匯款至詐騙用賬戶(hù)。

2. 黑入企業(yè)高階主管的電子郵件賬號(hào)，并假冒其名義要求企業(yè)內(nèi)部的財(cái)務(wù)經(jīng)理人匯款

網(wǎng)絡(luò)犯罪分子假冒老板E-mail，像是CEO、CIO、CFO，向公司會(huì)計(jì)要求需緊急處理某筆電匯。

3. 與客戶(hù)聯(lián)系的企業(yè)窗口電子郵件賬號(hào)被駭，并假冒其名義要求供貨商付款

網(wǎng)絡(luò)犯罪分子竊取公司企業(yè)窗口甚至負(fù)責(zé)人電子郵件，直接寄送偽造內(nèi)容的信件，致使對(duì)方匯款至詐騙用賬戶(hù)。

4. 黑客假冒律師或事務(wù)所的代表，宣稱(chēng)要處理緊急事件而要求匯款，可能選在工作日的最后一天發(fā)信給受害者

5. 同樣是駭入高層主管郵件賬號(hào)，假冒其名義發(fā)信給內(nèi)部的人事或?qū)徲?jì)主管，要求匯整提供所有員工數(shù)據(jù)

攻擊者成功實(shí)施“商務(wù)電郵詐騙”的關(guān)鍵一步是竄改Email賬號(hào)，以下是幾類(lèi)黑客慣常使用的Email賬號(hào)偽裝手法：

1. 字形混淆變化

2. 字符加減變化

3. 位置調(diào)換與直接假冒

通常情況下，網(wǎng)絡(luò)犯罪分子都使用名稱(chēng)非常相似的假電子郵件賬號(hào)，例如將賬號(hào)中的英文字母“l”改成數(shù)字“1”，英文字母“o”改成數(shù)字“0”，甚至是英文字母“m”改成“rn”的方式。還有的手法是在賬號(hào)不顯眼處增減1字，或是將域名移到@前方來(lái)魚(yú)目混珠。使用者不論是在發(fā)信、回信時(shí)，可以多確認(rèn)一下發(fā)件人的電子信箱是否正常。另外也要提醒，也有黑客是攻入企業(yè)使用的電子郵件系統(tǒng)，或盜取用戶(hù)賬號(hào)，由于對(duì)方是使用真正的郵件賬號(hào)發(fā)信，會(huì)更難防范。

有效防范“商務(wù)電郵詐騙”

有效的多層式防護(hù)對(duì)預(yù)防“商務(wù)電郵詐騙”極為關(guān)鍵。電子郵件和網(wǎng)站網(wǎng)關(guān)、端點(diǎn)裝置、網(wǎng)絡(luò)以及服務(wù)器，全都需要專(zhuān)屬的防護(hù)，而且要環(huán)環(huán)相扣才能發(fā)會(huì)效用和效率。大約 97% 的勒索病毒和網(wǎng)絡(luò)釣魚(yú)都能在網(wǎng)站和電子郵件網(wǎng)關(guān)端攔截。過(guò)了網(wǎng)關(guān)之后，則可透過(guò)行為監(jiān)控、應(yīng)用程序控管及漏洞防護(hù)來(lái)保護(hù)端點(diǎn)。此外，還可借由流量掃描、橫向移動(dòng)防范技術(shù)以及惡意軟件沙盒仿真分析來(lái)保護(hù)網(wǎng)絡(luò)。同時(shí)，在網(wǎng)絡(luò)防護(hù)之上還可以再多加一層網(wǎng)站服務(wù)器防護(hù)來(lái)保護(hù)服務(wù)器。

[[206354]]

服務(wù)器是網(wǎng)絡(luò)犯罪集團(tuán)的終極目標(biāo)，不法分子常利用服務(wù)器的組態(tài)設(shè)定錯(cuò)誤、軟件漏洞，或是失竊的用戶(hù)賬號(hào)密碼、中間人攻擊以及橫向移動(dòng)技巧來(lái)入侵服務(wù)器。歹徒一旦進(jìn)入服務(wù)器，就能讀取、篡改或?qū)С龈鞣N企業(yè)數(shù)據(jù)，包括：業(yè)務(wù)、財(cái)務(wù)或客戶(hù)資料。

最為關(guān)鍵的是要認(rèn)識(shí)到——人是最大的網(wǎng)絡(luò)安全漏洞。人的一切不符合網(wǎng)絡(luò)空間安全的行為，都可能成為網(wǎng)絡(luò)黑客攻擊的突破口。因此，企業(yè)除了需要提高自身網(wǎng)絡(luò)安全外，還應(yīng)深化員工的網(wǎng)絡(luò)安全意識(shí)。員工在不敢質(zhì)疑或違背上級(jí)命令的情況下，很容易被騙點(diǎn)選惡意的連結(jié)、開(kāi)啟受感染的附件檔案、將大筆款項(xiàng)匯入不法分子的賬戶(hù)里。因此員工教育很重要，但企業(yè)往往忽視了這一環(huán)節(jié)。網(wǎng)絡(luò)安全教育應(yīng)該列入新進(jìn)員工訓(xùn)練項(xiàng)目之一。此外，也可借由滲透測(cè)試來(lái)對(duì)員工進(jìn)行網(wǎng)絡(luò)釣魚(yú)測(cè)驗(yàn)。企業(yè)內(nèi)應(yīng)該建立起相應(yīng)的網(wǎng)絡(luò)安全防護(hù)文化，所有員工都應(yīng)了解自己在不法分子實(shí)施網(wǎng)絡(luò)詐騙過(guò)程當(dāng)中自身所扮演的重要角色。

隨著移動(dòng)網(wǎng)絡(luò)的快速演進(jìn)、智能終端的日益普及、服務(wù)模式的迭代創(chuàng)新，網(wǎng)絡(luò)在給我們帶來(lái)生活便利的同時(shí)，也帶來(lái)了非法入侵、網(wǎng)上竊密、網(wǎng)上欺詐、網(wǎng)上走私等新的危害，信息安全風(fēng)險(xiǎn)日益凸顯，網(wǎng)絡(luò)安全形勢(shì)愈加嚴(yán)峻。