電子郵件因其方便、快捷、成本低廉的特點，成為企業(yè)之間進行商務溝通的重要手段，商務交易訂單、收據(jù)及匯款賬號等都可通過電子郵件進行傳遞，尤其是與長期合作公司的跨國交易，由于時差、語言等因素，以電子郵件為主要溝通途徑，更是習以為常的一件事。電郵在商業(yè)領域的廣泛應用也衍生出以電子郵件為攻擊途徑的網(wǎng)絡詐騙攻擊手法——“商務電郵詐騙”(Business Email Compromise，BEC)。美國聯(lián)邦調(diào)查局(FBI)近日發(fā)布公告顯示，2017 上半年商務電郵詐騙已造成全球高達53億美元的經(jīng)濟損失。

什么是“商務電郵詐騙”?

“商務電郵詐騙”(BEC)又被稱作“老板詐騙”(CEO Fraud)或“中間人詐騙”(Man in the Middle)。美國聯(lián)邦調(diào)查局旗下網(wǎng)絡犯罪申訴中心在網(wǎng)絡犯罪報告中指出，“商務電郵詐騙” 是一場復雜的網(wǎng)絡詐騙行為，目標是經(jīng)常執(zhí)行電匯付款的外國供貨商或企業(yè)合作伙伴。主要透過社交工程手法與入侵商業(yè)電子郵件帳戶等方式，進行未經(jīng)授權的轉(zhuǎn)賬。實施“商務電郵詐騙”的攻擊者通過各種手段，其中包括社交媒體、公司網(wǎng)站介紹或黑客攻擊手段，弄到企業(yè)老板的電郵賬號，之后冒充老板通過電郵指示公司財務部電匯項目款給某公司，而這個公司往往是詐騙團伙的同謀，他們得到付款后，立刻將這筆錢轉(zhuǎn)移到國外另一銀行賬戶。“商務電郵詐騙”一般分為以下四個實施階段：

階段1：確認目標

• 黑客從網(wǎng)絡上或通過其他途徑，搜集到各企業(yè)大老板或企業(yè)窗口的聯(lián)系信息，以及各式相關信息。

階段2：潛伏觀察

• 黑客透過入侵或“釣魚”手法成功取得企業(yè)郵件登入賬號密碼，或透過惡意軟件側(cè)錄使得雙方通信內(nèi)容一覽無遺，掌握公司財務對象、大老板行程與交易信息，等待時機攻擊。

階段3：正式發(fā)動攻擊

• 在國內(nèi)企業(yè)與國外廠商交易快完成前，中斷廠商之間的通訊，向是Reply-to的發(fā)件人至竄改的假冒E-mail，并假冒出口商要求變更匯款賬號，或是假冒大老板名義向公司會計要求匯款。

階段4：取走匯款

• 待企業(yè)上當匯款之后，將款項提領一空，或是再匯至第三個國家地區(qū)銀行或第四個國家地區(qū)銀行。

事實上，這類跨國商務電郵詐騙案，并不是今年才有的網(wǎng)絡犯罪手法，早在五六年前，就傳出不少企業(yè)遇害?；蛟S你會說這跟多數(shù)網(wǎng)絡釣魚詐騙有何不同?事實上，“商務電郵詐騙”并非大規(guī)模寄送電子郵件，這類手法同樣以電子郵件為攻擊途徑，但聚焦在跨國交易的來往過程，在入侵、潛伏觀察后，伺機而動，且冒用對象是以郵件溝通的企業(yè)合作伙伴，或是企業(yè)高層主管如CIO、CEO與CFO為主，并發(fā)送郵件給相關負責人與財務經(jīng)辦人員。企業(yè)一旦遇害，損失金額為幾十萬至上千萬元不等。的確，它就是一種針對性攻擊，也可能運用現(xiàn)行各種網(wǎng)絡安全威脅滲透至受害者計算機的手法，但接下來的方式，就是以冒用身份為主。

快速識別“商務電郵詐騙”

“商務電郵詐騙”的偽裝性和欺騙性極強，如何快速識別這種網(wǎng)絡詐騙手法是預防的關鍵，以下是五類常見的“商務電郵詐騙”方式：

1. 黑客假冒海外供貨商以要求企業(yè)付款

網(wǎng)絡犯罪分子假冒國外客戶E-mail，要求變更匯款賬號，導致公司匯款至詐騙用賬戶?；蛘呤羌倜?amp;&公司名義發(fā)送E-mail給國外客戶，導致國外客戶匯款至詐騙用賬戶。

2. 黑入企業(yè)高階主管的電子郵件賬號，并假冒其名義要求企業(yè)內(nèi)部的財務經(jīng)理人匯款

網(wǎng)絡犯罪分子假冒老板E-mail，像是CEO、CIO、CFO，向公司會計要求需緊急處理某筆電匯。

3. 與客戶聯(lián)系的企業(yè)窗口電子郵件賬號被駭，并假冒其名義要求供貨商付款

網(wǎng)絡犯罪分子竊取公司企業(yè)窗口甚至負責人電子郵件，直接寄送偽造內(nèi)容的信件，致使對方匯款至詐騙用賬戶。

4. 黑客假冒律師或事務所的代表，宣稱要處理緊急事件而要求匯款，可能選在工作日的最后一天發(fā)信給受害者

5. 同樣是駭入高層主管郵件賬號，假冒其名義發(fā)信給內(nèi)部的人事或?qū)徲嬛鞴?，要求匯整提供所有員工數(shù)據(jù)

攻擊者成功實施“商務電郵詐騙”的關鍵一步是竄改Email賬號，以下是幾類黑客慣常使用的Email賬號偽裝手法：

1. 字形混淆變化

2. 字符加減變化

3. 位置調(diào)換與直接假冒

通常情況下，網(wǎng)絡犯罪分子都使用名稱非常相似的假電子郵件賬號，例如將賬號中的英文字母“l”改成數(shù)字“1”，英文字母“o”改成數(shù)字“0”，甚至是英文字母“m”改成“rn”的方式。還有的手法是在賬號不顯眼處增減1字，或是將域名移到@前方來魚目混珠。使用者不論是在發(fā)信、回信時，可以多確認一下發(fā)件人的電子信箱是否正常。另外也要提醒，也有黑客是攻入企業(yè)使用的電子郵件系統(tǒng)，或盜取用戶賬號，由于對方是使用真正的郵件賬號發(fā)信，會更難防范。

有效防范“商務電郵詐騙”

有效的多層式防護對預防“商務電郵詐騙”極為關鍵。電子郵件和網(wǎng)站網(wǎng)關、端點裝置、網(wǎng)絡以及服務器，全都需要專屬的防護，而且要環(huán)環(huán)相扣才能發(fā)會效用和效率。大約 97% 的勒索病毒和網(wǎng)絡釣魚都能在網(wǎng)站和電子郵件網(wǎng)關端攔截。過了網(wǎng)關之后，則可透過行為監(jiān)控、應用程序控管及漏洞防護來保護端點。此外，還可借由流量掃描、橫向移動防范技術以及惡意軟件沙盒仿真分析來保護網(wǎng)絡。同時，在網(wǎng)絡防護之上還可以再多加一層網(wǎng)站服務器防護來保護服務器。

[[206354]]

服務器是網(wǎng)絡犯罪集團的終極目標，不法分子常利用服務器的組態(tài)設定錯誤、軟件漏洞，或是失竊的用戶賬號密碼、中間人攻擊以及橫向移動技巧來入侵服務器。歹徒一旦進入服務器，就能讀取、篡改或?qū)С龈鞣N企業(yè)數(shù)據(jù)，包括：業(yè)務、財務或客戶資料。

最為關鍵的是要認識到——人是最大的網(wǎng)絡安全漏洞。人的一切不符合網(wǎng)絡空間安全的行為，都可能成為網(wǎng)絡黑客攻擊的突破口。因此，企業(yè)除了需要提高自身網(wǎng)絡安全外，還應深化員工的網(wǎng)絡安全意識。員工在不敢質(zhì)疑或違背上級命令的情況下，很容易被騙點選惡意的連結(jié)、開啟受感染的附件檔案、將大筆款項匯入不法分子的賬戶里。因此員工教育很重要，但企業(yè)往往忽視了這一環(huán)節(jié)。網(wǎng)絡安全教育應該列入新進員工訓練項目之一。此外，也可借由滲透測試來對員工進行網(wǎng)絡釣魚測驗。企業(yè)內(nèi)應該建立起相應的網(wǎng)絡安全防護文化，所有員工都應了解自己在不法分子實施網(wǎng)絡詐騙過程當中自身所扮演的重要角色。

隨著移動網(wǎng)絡的快速演進、智能終端的日益普及、服務模式的迭代創(chuàng)新，網(wǎng)絡在給我們帶來生活便利的同時，也帶來了非法入侵、網(wǎng)上竊密、網(wǎng)上欺詐、網(wǎng)上走私等新的危害，信息安全風險日益凸顯，網(wǎng)絡安全形勢愈加嚴峻。