商業電子郵件攻擊(BEC)詐騙犯正在利用一種針對投資者的新型攻擊，該攻擊可以獲取比平均水平高7倍的利潤。

在了解BEC具體手段之前，有必要先了解一下華爾街的投資策略。

[[385462]]

當投資者買入一家公司的投資基金，如私募股權基金或房地產基金時，在公司提出資金需求之前，投資者可以將資金先保留在自己身邊。這個協議可以讓投資者把錢留在更有利可圖的投資中賺取利息，而不是閑置在投資基金中。

當公司準備使用投資者的錢時，他們會發出正式的 "催款 "通知，要求投資者把約定的錢寄給他們。

BEC騙子瞄準華爾街

在電子郵件網絡安全公司Agari的一份新報告中顯示，BEC詐騙者現在已經開始以虛假的資金催收通知為誘餌進行詐騙，這些通知所詐騙得來的利潤比BEC平均利潤要大得多。

在新發的《2021年電子郵件欺詐和身份欺騙趨勢》報告中，Agari指出，電匯BEC詐騙的平均利潤額為72000美元。這些騙局是指攻擊者冒充供應商，要求受害者向他們所持有的銀行賬戶匯款。

而偽造的催款通知所獲得的平均利潤額為809,000美元，是普通BEC騙局的7倍!

BEC攻擊者偽裝成被投資的公司來向投資者發送郵件，要求其根據投資承諾轉移資金。由于此類交易的性質，所要求的款項遠遠高于大多數電匯詐騙所要求的金額。

根據Agari的說法，這些攻擊是由攻擊者向已知的投資者的財務人員發送電子郵件引起的，要求他們為虛假的投資付款。

此外，Agari還表示，這些攻擊者在攻擊過程中并沒有使用任何內部知識。他們的手法與常見的BEC攻擊者別無二致。

BEC 的虛假催款通知書

專家表示，Agari所監測到的攻擊是由電子郵件服務功能發出的，并且大部分來自于總部位于捷克的centrum.cz網絡郵件提供商。而這些郵件的附件就是冒充催款通知書要求支付投資款項的文件。

虛假的催款通知書

一旦他們成功誘騙受害者轉賬，攻擊者會迅速將錢轉移到他們所控制的賬戶下，并且使用錢騾(指通過網絡將通過不正當手段從一國得來的錢款和高價值貨物轉移到另一國)來取款，從而讓銀行沒有辦法把被騙資金還給受害者。

雖然電匯詐騙一直存在，但是針對不同的人群詐騙者會使用不同的攻擊方式，并且獲得更多的利潤。

為了抵御BEC，公司和個人都必須增強電子郵件安全意識。

BEC防御建議

Agari針對此次事件提出相關BEC防御建議：

• 布置強大的反釣魚郵件和電子郵件認證保護技術，來專門防御高級身份欺騙和品牌欺騙攻擊。
• 建立處理外發支付請求的正式流程。尤其應注意支付信息與原始協議不一致的情況。切勿使用電子郵件中的聯系方式，而是使用原始協議中的聯系信息。
• 匯款時始終通過電話直接向投資公司確認請求和銀行信息。

除了Agari提供的以上建議，還有一些可采取的建議：(可參考FreeBuf文章《DMARC：企業郵件信息泄漏應對之道》)

(1) 始終保持小于10 個的DNS查找記錄

超過10個DNS查找記錄則會讓用戶的SPF完全失效，甚至導致正常的郵件也無法認證成功。在這種情況下，如果將DMARC設置為“reject”，那么常規的電子郵件將無法發送。

(2) 確保傳輸中的電子郵件的TLS加密

盡管DMARC可以保護用戶免受社會工程攻擊和BEC的侵害，但仍然需要做好準備應對諸如中間人(MITM)之類的普遍存在的監視攻擊?？梢酝ㄟ^確保每次將電子郵件發送到用戶的域時，在SMTP服務器之間協調通過TLS安全連接來完成。

(3) 使用BIMI提升郵件安全

借助BIMI(郵件識別的品牌指標)進行劃分，幫助收件人更直觀地在收件箱中識別對方身份，讓企業郵件的安全性提升到一個新的水平。

來源：bleepingcomputer