關于商業電子郵件欺詐的7個真相
近年來,商業電子郵件欺詐 (BEC) 攻擊在流行性和創新性方面都得到了發展。以下是它們的運行原理、最新統計數據以及最近的攻擊案例介紹。
去年夏天,美國聯邦調查局 (FBI) 對全球組織發布了關于商業電子郵件欺詐日益增長的危險警報。當時,聯邦調查局表示,自 2013 年以來,商業電子郵件欺詐已經為全球經濟造成了120億美元的損失。
自那以后,這種威脅形勢日益嚴峻,變得更加可怕。安全行業的研究人員已經證明,隨著攻擊者不斷完善其攻擊策略以瞄準全球越來越多的受害者,BEC 欺詐的影響范圍和復雜性都在與日俱增。
下面將為大家介紹 BEC 欺詐的運行原理,最新、最權威的統計數據,以及一些最近發生的 BEC 攻擊案例,這些有關 BEC 的真相可以幫助安全從業人員和用戶對這種與日俱增的欺詐行為做好準備。
一、BEC的運行原理
BEC 欺詐各不相同,但它們一般都有一個共同點——主要瞄準那些擁有金融控制權的工作人員(無論其是在大型或小型組織中),然后對其實施有針對性的魚叉式網絡釣魚攻擊。最常使用的手段就是電子郵件賬戶接管或欺騙,欺詐者會冒充目標的同事或老板——有時候還會冒充 CEO、供應商甚至是另一個部門中職位很高的人。然后,他們會試圖說服目標將資金轉移給欺詐者,或是更改現有金融交易中的細節來使自己受益。
二、欺詐活動
欺詐者會試圖觸發一些行動來完成攻擊任務,包括讓他們的目標將資產轉移到據稱是公司所持有的賬戶中進行保密交易;支付虛假的 “未付款” 發票,或者轉移員工薪資等等。這些欺詐場景可謂十分豐富,只要攻擊者能夠充分發揮創造力提出令人信服的社會工程 “誘餌” 即可,需要注意的是,這些誘餌對于目標而言必須要極具吸引力。在許多情況下,這些交易規模都是相當大的,所以攻擊者必須事先進行大量的研究,以提出合理的、量身定制的 “誘餌”。
三、欺詐者獲益巨大
如今,欺詐者正在通過這些欺詐性的資產轉移活動獲取巨額財富,他們堅定地相信 “越大的謊言越有人信”,所以在大多數情況下,他們會試圖說服受害者一次轉移數百萬美元的資產。去年,一家歐洲影院連鎖店成為 BEC 攻擊的犧牲品,該攻擊在一個月時間內通過一系列轉移活動共獲取了 2150 萬美元的收益。據悉,在此次攻擊中,欺詐者通過冒充該公司的法國 CEO 來騙取該公司荷蘭區域高管的信任,并通過 “需要轉移資金進行收購” 的借口順利套取了共計 2150 萬美元。
根據一些安全專家的說法,BEC 攻擊者的優勢是巨大的,因為大多數情況下,實施攻擊所需的技術敏銳度或基礎設施很少,除此之外,BEC 攻擊的投資回報率也明顯高于其他任何更具技術性的網絡攻擊。因此,他們預計未來還會有更多的威脅行為者涌向這一領域。
四、過去一年中BEC呈顯著增長趨勢
在最近針對 BEC 攻擊趨勢的統計分析中,這種 “涌入” 現象已經初現端倪。根據 Proofpoint 今年早春發布的一份報告顯示,在 2018 年第四季度中,每家目標組織遭遇的 BEC 攻擊數量同比增長了 476%。與此同時,Mimecast 也在其發布的《2019年電子郵件安全年度報告》中指出,假冒和 BBEC 攻擊增長了 67%,且其中 73% 的受害組織遭受了直接損失。
最后這一點尤為重要(73%遭受直接損失),因為 BEC 攻擊所造成的傷害并不是系統破壞、停機或是生產力損失。相反地,它帶來的都是冷冰冰的現金損失。總而言之,聯邦調查局表示,僅 2018 年,已知的 BEC 攻擊所造成的總損失已經高達 27億美元。
五、BEC欺詐喜歡瞄準首席財務官 (CFO) 和財務把關人
雖然在不同的案件中,受害者的類型有所不同,但有一件事是可以肯定的:欺詐者喜歡針對首席財務官和其他財政控制者。事實上,最近的一份報告顯示,一個進行 BEC 活動的跨國犯罪團伙實際上會尋找向營銷人員出售有關首席財務官聯系方式的公司,以加強其社會工程的現實效果。這個團伙不僅會使用常見的 “未付款供應商” 的故事來誘騙受害者,還會使用其他詭計,例如偽裝成試圖進行并購活動的高管,然后催促受害者支付首付,以免危及進一步的交易活動。
六、從“419”詐騙到BEC欺詐
Agari 的一份全新研究報告顯示,對于一些網絡犯罪游戲而言,BEC 攻擊只是欺詐者實施欺詐計劃的一部分。該研究重點突出了一個名為 “Scattered Canary” 的犯罪團伙,該團伙最初是由一名 “尼日利亞419騙子” 于10年前創建的,至今已經發展壯大到了至少 35 人,這些人不僅會使用 BEC 騙局賺大錢,同時也會通過 “浪漫欺詐”、憑證獵取、信用卡和支票欺詐以及稅務減免等手段獲益。
那么到底什么叫做 “419詐騙” 呢?其實大家應該對這種欺詐手段一點也不陌生,其最常見的詐騙方式是預先付費詐騙,詐騙份子會先向受害者發送手機短信或是電子郵件,聲稱他們贏得了大筆金錢,然后引誘這些受害者主動與詐騙團伙聯系,接著詐騙份子會謊稱受害者必須要先支付一筆訂金,才能夠得到巨額的獎金,但是等到受害者支付了這筆所謂的 “訂金”,詐騙份子又會要求受害者支付一些雜七雜八的 “手續費”,等到受害者把錢都付給這些騙徒,對方便消聲匿跡,并且把受害者的錢轉到一些空頭賬戶當中。
七、沒有目標是神圣不可侵犯的
對于 BEC 攻擊者來說,每個人都可能淪為這場 “游戲” 的受害者。這些犯罪分子會在房地產交易的過程中將目標連窩端掉。就在今年春天,詐騙份子設法從一個俄亥俄州天主教教區偷走了 175 萬美元,據悉,這筆錢正是這個教區為教堂翻新所籌集的資金。在此次案件中,犯罪分子通過網絡釣魚攻擊入侵了該教區的電子郵件系統,并偽裝成正在為教堂翻新工作的建筑公司,來欺騙他們將資金匯入到攻擊者的銀行賬戶中。
《2019年電子郵件安全年度報告》原文:
https://www.proofpoint.com/us/threat-insight/post/proofpoint-releases-q4-2018-threat-report-and-year-review
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
