商業(yè)電子郵件攻擊(BEC)詐騙犯正在利用一種針對(duì)投資者的新型攻擊，該攻擊可以獲取比平均水平高7倍的利潤(rùn)。

在了解BEC具體手段之前，有必要先了解一下華爾街的投資策略。

[[385462]]

當(dāng)投資者買入一家公司的投資基金，如私募股權(quán)基金或房地產(chǎn)基金時(shí)，在公司提出資金需求之前，投資者可以將資金先保留在自己身邊。這個(gè)協(xié)議可以讓投資者把錢留在更有利可圖的投資中賺取利息，而不是閑置在投資基金中。

當(dāng)公司準(zhǔn)備使用投資者的錢時(shí)，他們會(huì)發(fā)出正式的 "催款 "通知，要求投資者把約定的錢寄給他們。

BEC騙子瞄準(zhǔn)華爾街

在電子郵件網(wǎng)絡(luò)安全公司Agari的一份新報(bào)告中顯示，BEC詐騙者現(xiàn)在已經(jīng)開始以虛假的資金催收通知為誘餌進(jìn)行詐騙，這些通知所詐騙得來(lái)的利潤(rùn)比BEC平均利潤(rùn)要大得多。

在新發(fā)的《2021年電子郵件欺詐和身份欺騙趨勢(shì)》報(bào)告中，Agari指出，電匯BEC詐騙的平均利潤(rùn)額為72000美元。這些騙局是指攻擊者冒充供應(yīng)商，要求受害者向他們所持有的銀行賬戶匯款。

而偽造的催款通知所獲得的平均利潤(rùn)額為809,000美元，是普通BEC騙局的7倍!

BEC攻擊者偽裝成被投資的公司來(lái)向投資者發(fā)送郵件，要求其根據(jù)投資承諾轉(zhuǎn)移資金。由于此類交易的性質(zhì)，所要求的款項(xiàng)遠(yuǎn)遠(yuǎn)高于大多數(shù)電匯詐騙所要求的金額。

根據(jù)Agari的說(shuō)法，這些攻擊是由攻擊者向已知的投資者的財(cái)務(wù)人員發(fā)送電子郵件引起的，要求他們?yōu)樘摷俚耐顿Y付款。

此外，Agari還表示，這些攻擊者在攻擊過(guò)程中并沒(méi)有使用任何內(nèi)部知識(shí)。他們的手法與常見的BEC攻擊者別無(wú)二致。

BEC 的虛假催款通知書

專家表示，Agari所監(jiān)測(cè)到的攻擊是由電子郵件服務(wù)功能發(fā)出的，并且大部分來(lái)自于總部位于捷克的centrum.cz網(wǎng)絡(luò)郵件提供商。而這些郵件的附件就是冒充催款通知書要求支付投資款項(xiàng)的文件。

虛假的催款通知書

一旦他們成功誘騙受害者轉(zhuǎn)賬，攻擊者會(huì)迅速將錢轉(zhuǎn)移到他們所控制的賬戶下，并且使用錢騾(指通過(guò)網(wǎng)絡(luò)將通過(guò)不正當(dāng)手段從一國(guó)得來(lái)的錢款和高價(jià)值貨物轉(zhuǎn)移到另一國(guó))來(lái)取款，從而讓銀行沒(méi)有辦法把被騙資金還給受害者。

雖然電匯詐騙一直存在，但是針對(duì)不同的人群詐騙者會(huì)使用不同的攻擊方式，并且獲得更多的利潤(rùn)。

為了抵御BEC，公司和個(gè)人都必須增強(qiáng)電子郵件安全意識(shí)。

BEC防御建議

Agari針對(duì)此次事件提出相關(guān)BEC防御建議：

• 布置強(qiáng)大的反釣魚郵件和電子郵件認(rèn)證保護(hù)技術(shù)，來(lái)專門防御高級(jí)身份欺騙和品牌欺騙攻擊。
• 建立處理外發(fā)支付請(qǐng)求的正式流程。尤其應(yīng)注意支付信息與原始協(xié)議不一致的情況。切勿使用電子郵件中的聯(lián)系方式，而是使用原始協(xié)議中的聯(lián)系信息。
• 匯款時(shí)始終通過(guò)電話直接向投資公司確認(rèn)請(qǐng)求和銀行信息。

除了Agari提供的以上建議，還有一些可采取的建議：(可參考FreeBuf文章《DMARC：企業(yè)郵件信息泄漏應(yīng)對(duì)之道》)

(1) 始終保持小于10 個(gè)的DNS查找記錄

超過(guò)10個(gè)DNS查找記錄則會(huì)讓用戶的SPF完全失效，甚至導(dǎo)致正常的郵件也無(wú)法認(rèn)證成功。在這種情況下，如果將DMARC設(shè)置為“reject”，那么常規(guī)的電子郵件將無(wú)法發(fā)送。

(2) 確保傳輸中的電子郵件的TLS加密

盡管DMARC可以保護(hù)用戶免受社會(huì)工程攻擊和BEC的侵害，但仍然需要做好準(zhǔn)備應(yīng)對(duì)諸如中間人(MITM)之類的普遍存在的監(jiān)視攻擊?？梢酝ㄟ^(guò)確保每次將電子郵件發(fā)送到用戶的域時(shí)，在SMTP服務(wù)器之間協(xié)調(diào)通過(guò)TLS安全連接來(lái)完成。

(3) 使用BIMI提升郵件安全

借助BIMI(郵件識(shí)別的品牌指標(biāo))進(jìn)行劃分，幫助收件人更直觀地在收件箱中識(shí)別對(duì)方身份，讓企業(yè)郵件的安全性提升到一個(gè)新的水平。

來(lái)源：bleepingcomputer