美國(guó)聯(lián)邦調(diào)查局2016年12月的數(shù)據(jù)顯示，網(wǎng)絡(luò)竊賊通過(guò)商務(wù)電郵入侵(BEC，也稱為釣鯨郵件)欺詐手段，從2.4萬(wàn)家公司盜取20億美元以上。

[[209166]]

罪犯可在無(wú)意幫兇(被誘騙提交電匯請(qǐng)求的員工)的協(xié)助下盜取錢財(cái)。從公司財(cái)務(wù)部門的角度看，該筆交易完全合法。甚至確認(rèn)電話或其他身份認(rèn)證措施，也能聯(lián)系到確實(shí)提交了該電匯請(qǐng)求的員工。

騙局描述——欺詐犯也有做調(diào)查功課

BEC騙局至少有3種類型，但都從深度偵察開始，了解既定受害者的關(guān)鍵信息，摸清他們的組織形式，知曉該對(duì)誰(shuí)下手才可以讓攻擊看起來(lái)盡可能可信。罪犯會(huì)嘗試入侵某員工的電郵賬戶，看看能從中獲悉什么，并核查公開可用的信息。他們會(huì)找尋：

• 有關(guān)該公司的一般性信息，他們的業(yè)務(wù)領(lǐng)域和生意往來(lái)對(duì)象;
• 公司管理人員的姓名和職務(wù);
• 管理組織架構(gòu)：誰(shuí)向誰(shuí)匯報(bào);
• 新融資輪的信息;
• 新產(chǎn)品、服務(wù)或?qū)＠男畔?
• 產(chǎn)品或地理擴(kuò)張計(jì)劃;
• 旅行計(jì)劃。

一旦知道了該冒充誰(shuí)，該針對(duì)誰(shuí)，哪些消息是最可信的，罪犯就建立了發(fā)送欺詐請(qǐng)求的方式方法。如果他們能入侵高管的電郵賬戶，他們會(huì)控制郵件流以規(guī)避檢測(cè)。他們可能會(huì)設(shè)置收件箱規(guī)則，比如重定向或刪除攻擊中的特定郵件，防止該賬戶合法用戶看到這些郵件。或者，他們可以編輯“回復(fù)”地址，將對(duì)欺詐相關(guān)郵件的回復(fù)，重定向到罪犯設(shè)置的電郵地址。

如果沒能黑掉高管的電郵賬戶，他們會(huì)創(chuàng)建一個(gè)看起來(lái)很像的域名，比如：

• 字母順序調(diào)換：…@companyABDC.com和…@companyABCD.com
• 用下劃線替代連字符：…@company_name.com 和 …@company-name.com
• 用“m” 換掉“r”和“n”

既然欺詐犯知道該向誰(shuí)以何種方式說(shuō)些什么，我們可以來(lái)看看以下幾種特定攻擊案例：

例 1：來(lái)自公司高管的郵件

1. 罪犯入侵或假冒公司某高管的電子郵件賬戶，比如說(shuō)首席財(cái)務(wù)官(CFO)的。
2. 罪犯從被黑高管賬戶，向負(fù)責(zé)處理匯款事宜的下級(jí)雇員，比如主管會(huì)計(jì)，發(fā)送電匯要求。
3. 主管會(huì)計(jì)根據(jù)其“老板”的指示，提交電匯支付請(qǐng)求。

此類案例的另一個(gè)版本，從偽造CEO發(fā)往CFO的虛假郵件開始。罪犯使用CFO的被黑郵箱，轉(zhuǎn)發(fā)虛假CEO郵件給主管會(huì)計(jì)，請(qǐng)他/她按照CEO的“要求”進(jìn)行匯款，給匯款請(qǐng)求加上緊迫性和合法性。

例 2：通過(guò)欺騙性電郵地址發(fā)來(lái)的供應(yīng)商/商業(yè)合作伙伴發(fā)票

1. 詐騙犯黑掉目標(biāo)公司所雇業(yè)務(wù)用戶的電郵賬戶，比如說(shuō)，應(yīng)付賬款部的某人。
2. 罪犯監(jiān)視該業(yè)務(wù)用戶的郵件，尋找供應(yīng)商發(fā)票。
3. 罪犯找到合法發(fā)票并修改收款人明細(xì)，比如修改款項(xiàng)應(yīng)發(fā)到的銀行識(shí)別代碼和賬號(hào)。
4. 罪犯假冒該供應(yīng)商電郵提交被修改過(guò)的發(fā)票。這一步不需要入侵該供應(yīng)商的郵件系統(tǒng)，從一個(gè)長(zhǎng)得很像該供應(yīng)商電郵域名的郵箱發(fā)送即可。(參見前文示例)
5. 郵件中解釋稱他們(該供應(yīng)商)更新了自己的支付過(guò)程，也就解釋了為什么會(huì)有新賬戶信息。
6. 應(yīng)付賬款部確認(rèn)供應(yīng)商名稱和所提供服務(wù)，處理發(fā)票，提交電匯支付請(qǐng)求。

例 3：關(guān)于公司并購(gòu)的律師來(lái)郵

1. 財(cái)務(wù)部收到冒充CEO討論機(jī)密公司并購(gòu)案的罪犯來(lái)郵。郵件強(qiáng)調(diào)該交易的敏感屬性，讓雇員感到能被CEO拉進(jìn)該機(jī)密行動(dòng)圈子是很特別的事。
2. 郵件解釋稱，負(fù)責(zé)該并購(gòu)案的律師將跟進(jìn)下達(dá)電匯指示。
3. 罪犯以那名所謂律師的身份，通過(guò)郵件或電話的形式，如那封來(lái)自CEO的郵件所言，跟進(jìn)指示電匯支付事宜。
4. 財(cái)務(wù)部提交電匯支付請(qǐng)求。

這些騙局依賴似乎完全合法的電郵要求運(yùn)轉(zhuǎn)，這些要求要么來(lái)自真實(shí)電子郵件賬戶，要么來(lái)自非最嚴(yán)苛的審查不能發(fā)現(xiàn)差異的類似賬戶。

FBI警告稱，此類電匯轉(zhuǎn)賬要求措辭得當(dāng)，特定于具體業(yè)務(wù)，不會(huì)引起對(duì)匯款要求合法性的懷疑。以往那種充斥語(yǔ)法和拼寫錯(cuò)誤，或者場(chǎng)景描述極端不真實(shí)的拙劣詐騙，已經(jīng)絕跡于江湖了。

怎樣檢測(cè)BEC欺詐中的可疑電匯要求

BEC欺詐中提交的虛假支付請(qǐng)求還是有幾種檢測(cè)技巧的：

1. 新建郵件，并在收件人欄填入高管的已知郵件地址，向高管確認(rèn)匯款要求;不要回復(fù)可疑郵件，因?yàn)楹芸赡軙?huì)回到罪犯郵箱。如果覺得這么做有點(diǎn)傻，不妨問問自己：“是愿意詢問一下CEO或CFO，確認(rèn)電匯要求真實(shí)性;還是愿意不得不告訴他們你剛剛給詐騙犯匯了筆款?”
2. 欺詐郵件通常措辭相似，要求保密和便利。可以設(shè)置電子郵件網(wǎng)關(guān)標(biāo)紅關(guān)鍵詞，比如“支付”、“緊急”、“敏感”或“秘密”。
3. 盡管BEC中所用后期郵件可能不含有惡意軟件、前期入侵雇員郵箱的部分卻往往用到惡意代碼，因此，請(qǐng)確保你有個(gè)有效的惡意軟件檢測(cè)解決方案。
4. 注冊(cè)與真實(shí)公司域名略有差異的所有域名。
5. 仔細(xì)審查所有涉及資金轉(zhuǎn)賬請(qǐng)求的電子郵件，確定這些請(qǐng)求是否超出正常范圍。了解你客戶的習(xí)慣，包括支付細(xì)節(jié)、支付原因和支付數(shù)額。