不久前，亞信安全發布了《2018年第一季度網絡安全威脅報告》，其中不僅指出了挖礦病毒的肆意妄為，更通過大量數據說明了商業電子郵件攻擊(BEC)的活躍表現。BEC在原理上并不新鮮，往往就是將郵件發件人偽造成你的領導、同事或合作商，并騙取商業信息或錢財，這個騙局至今已經流行了三十多年，為何今天還有人頻頻上當? 

發動BEC攻擊的電子郵件

這不是什么神奇的手法

這種上世紀八十年代的騙術在經歷了紙質信件、傳真、再到如今的電子郵件，仍然有不少人“樂此不疲”的被騙取錢財，最重要的原因之一就是它的“低成本”。首先，騙子們不用掌握什么高深的網絡攻擊技巧，通過海量的郵件群發功能，就可以實現“一封郵件，騙走一棟房子”的夢想，這無疑讓超值的BEC當選了黑客的寵兒。

其次，雖然各種即時通訊工具隨手可用，但是電子郵件并不過氣，這是日常工作中極為重要的通信工具，尤其是企業用戶，電子郵件往往意味著“正式”的溝通或者決策，特別是當郵件顯示收件人來自領導或是同事之后，警惕性往往會下降，攻擊者只需要通過簡單的欺騙手段便能夠成功誘惑受害者打開附件、點擊鏈接。

BEC詐騙依賴社會工程學制作電子郵件。對此，亞信安全技術支持中心總經理蔡昇欽表示：“BEC攻擊也常被稱為‘變臉’攻擊，對象主要是針對企業的高層管理人員。詐騙者只需偽裝成企業 CEO 、CFO或其他高管，并在并說服其他高管在短時間進行經濟交易，而犯罪者一旦成功實施詐騙，便可從中獲得巨大經濟回報，對相關企業造成重大的經濟損失。亞信安全發現了大量黑客發動的BEC攻擊，并且已經被證明他們成功入侵了石油、天然氣等重要行業的基礎設施，導致重要資料被竊取。”

“朋友圈”可能暴露你的行蹤

BEC詐騙的第一步往往是獲得目標公司員工特別是高管的賬號密碼。為了獲取這些信息，最傳統的攻擊方式是使用電子郵件來散播鍵盤記錄程序，以便從目標機器上竊取用戶的賬號信息(針對高管的攻擊也稱為“釣鯨”)。由于現在大多數用戶輕易不會點擊郵件中的附件，一些終端防護軟件和郵件防護系統也會檢測到這種包含惡意代碼的郵件。所以網絡不法分子往往尋求更先進的方式，例如傳播夾帶HTML附件文件的網絡釣魚郵件，在打開后要求用戶輸入電子郵件帳號和密碼以查看文件。

獲得賬號信息只是第一步，BEC詐騙成功與否，最重要的是讓受害者越相信欺詐電子郵件其實是真實的，這就要回歸到社會工程學。因此，很多 BEC黑客往往會摸清公司最近可能存在的市場交易，以及高管人員的行程安排。比如，與合作伙伴的定期財務往來?典型工作(或加班)時段是幾點到幾點?公司之間的聯合活動安排?商務旅行的時間和地點安排?誰在休假?在哪里休假?

蔡昇欽提醒用戶：“雖然國內沒有廣泛用到Twitter和Facebook，但我們有強大的微信。對一些人來說，微信已經成為了生活賬本，這里不僅有公司的重大活動、個人的偏好、家庭成員的點滴，也會有大量的圖片信息。某些拍照軟件調用了照片Exif參數中的GPS全球定位系統數據，這些來自于手機內部的傳感器以及陀螺儀的數據，把拍照時的位置、時間等丁點不差地記錄了下來。所有這些數據，無論是公開的還是秘密的，都會帶領攻擊者邁向成功。”

人+網關，兩道極重要的防線

由于結合了復雜的“社工”技巧，商業電子郵件攻擊(BEC)的防范并不簡單，這不僅需要通過培訓員工，提升識別假冒郵件的能力，以及網絡社交工具的良好使用習慣，還需要可以檢測出釣魚郵件和未知威脅的智能型網關系統。

對此，蔡昇欽表示：“企業應對BEC攻擊，需要采用量身定制的解決方案，并且需要與現有的郵件網關無縫協同工作，創建集成防御戰略，利用高級檢測方法來檢測和阻止定向工程郵件的攻擊。”

他還建議，企業用戶可以根據自身規模和網絡安全架構的實際情況來部署和調整安全架構。比如，大型企業可以綜合部署亞信安全深度威脅發現平臺(Deep Discovery，DD)，發揮深度威脅發現設備(TDA)、深度威脅安全網關(DE)、深度威脅郵件網關(DDEI)、深度威脅分析設備(DDAN)、深度威脅終端取證及行為分析系統(DDES )等產品的聯動效果;中小型企業則可以部署深度威脅郵件網關(DDEI)，應用其定制化沙箱分析功能，識別郵件中的未知威脅，提升BEC攻擊的防御能力。