上周五（12月29日），一位名為Olusegun Samson Adejorin的尼日利亞黑客因詐騙馬里蘭州和紐約州的兩個(gè)慈善組織在加納被捕，并面臨與商業(yè)電子郵件泄密 (BEC) 攻擊有關(guān)的指控。

根據(jù)美國(guó)聯(lián)邦大陪審團(tuán)的八項(xiàng)指控，Adejorin 面臨的指控包括電信欺詐、嚴(yán)重身份盜竊和未經(jīng)授權(quán)訪問(wèn)受保護(hù)的計(jì)算機(jī)，這些行為與針對(duì)馬里蘭州兩家慈善組織的攻擊有關(guān)，該攻擊導(dǎo)致美國(guó)一家慈善組織損失超過(guò) 750 萬(wàn)美元。

Adejorin竊取數(shù)百萬(wàn)，將面臨最高20年刑期

美國(guó)司法部（DoJ）在本周發(fā)布的一份公告中提到，Adejorin 的詐騙計(jì)劃最早始于 2020 年 6 月至 8 月期間，他不僅冒充員工還非法訪問(wèn)了員工的電子郵件賬戶。

Adejorin 冒充某慈善機(jī)構(gòu)員工，要求為其提供投資服務(wù)的另一家慈善機(jī)構(gòu)中提取大筆資金，而為了順利完成超過(guò) 10000 美元的取款流程，Adejorin 使用從該員工賬戶中竊取的憑證，從需要批準(zhǔn)交易的員工賬戶中發(fā)送了電子郵件。

此外，美國(guó)司法部還補(bǔ)充稱：作為該計(jì)劃的一部分，Adejorin 還涉嫌購(gòu)買了一種用于竊取電子郵件登錄憑證的憑證收集工具。他注冊(cè)了欺詐性域名，然后將欺詐性電子郵件藏在了員工的郵箱中一個(gè)不顯眼的位置。

通過(guò)這種方式，Adejorin 成功誘騙慈善機(jī)構(gòu)人員將 750 萬(wàn)美元轉(zhuǎn)入其銀行賬戶中，轉(zhuǎn)賬的慈善組織在整個(gè)過(guò)程中并未察覺(jué)到異常，以為是將這些款項(xiàng)存入了該員工的合法銀行賬戶中。

根據(jù)法律規(guī)定，Adejorin 因電信詐騙罪將面臨最高 20 年的刑期，因未經(jīng)授權(quán)訪問(wèn)受保護(hù)計(jì)算機(jī)罪將面臨 5 年的刑期，因嚴(yán)重身份盜竊罪將面臨 2 年的強(qiáng)制刑期。

美國(guó)司法部的公告還指出，惡意注冊(cè)和使用域名的刑期可延長(zhǎng) 7 年。

近年來(lái)，商業(yè)郵件欺詐 (Business Email Compromise, BEC)攻擊在流行性和創(chuàng)新性方面都得到了發(fā)展。BEC 欺詐各不相同，但它們一般都有一個(gè)共同點(diǎn)，就是瞄準(zhǔn)那些擁有金融控制權(quán)的工作人員（無(wú)論其是在大型或小型組織中），然后對(duì)其實(shí)施有針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚攻擊。

BEC 攻擊也稱為 CEO 欺詐，嚴(yán)重的會(huì)造成重大經(jīng)濟(jì)損失。去年夏天，美國(guó)聯(lián)邦調(diào)查局的一份報(bào)告指出，商業(yè)電子郵件泄露已造成數(shù)十億美元的損失。

面對(duì)此類攻擊，可采取的合理防御措施包括：實(shí)施多因素身份驗(yàn)證，以減少未經(jīng)授權(quán)訪問(wèn)賬戶的可能性；使用電子郵件過(guò)濾來(lái)檢測(cè)和阻止網(wǎng)絡(luò)釣魚企圖；建立一個(gè)驗(yàn)證程序，以支持電匯請(qǐng)求，并使用第二通信渠道。比如，當(dāng)收到可疑的消息，通知你更改銀行賬戶信息時(shí)，可以與合作伙伴取得聯(lián)系進(jìn)行確認(rèn)，這樣能避免很多不必要的損失。