“BEC攻擊無需高深的技術(shù)手段，用低風(fēng)險就能換取高回報。”這個說法乍一聽，似乎是個不賠本的買賣，但實則非也。

近年來，商業(yè)郵件欺詐（Business Email Compromise，以下簡稱：BEC）攻擊的身影頻頻出現(xiàn)在各個安全期刊的頭版頭條，已然成為了一種常見的網(wǎng)絡(luò)攻擊手法。

BEC是一種比較先進的社會工程學(xué)攻擊，主要針對企業(yè)極其員工，通常以財務(wù)欺詐和商業(yè)機密竊取為動機。從技術(shù)層面來講，商業(yè)郵件欺詐是一種相對技術(shù)含量較低的金融欺詐，

這類型攻擊非常容易實施，并且不依賴于惡意文件或鏈接，而是通過社會工程學(xué)進行欺騙誘導(dǎo)。BEC攻擊的一個經(jīng)典形式是通過偽造電子郵件與目標(biāo)員工建立聯(lián)系，將電子郵件偽裝成來自可信的人或組織。一旦建立信任，攻擊者可能會直接要求受害者匯款或要求回復(fù)敏感信息。

為避免郵件審查和增強欺騙性，BEC攻擊者還會將受害者引導(dǎo)至短信或即時通訊工具。比如，“誘導(dǎo)財務(wù)人員加群”，攻擊者將電子郵件偽造成銀行官方郵箱，向企業(yè)財務(wù)人員批量投遞“無害”的誘導(dǎo)加qq郵件，一旦受害者加上qq，就會被拉到一個有“領(lǐng)導(dǎo)”的詐騙群，然后由攻擊者扮演的“領(lǐng)導(dǎo)”會命令“受害者”進行后續(xù)的轉(zhuǎn)賬匯款。

諸如此類的BEC攻擊形式日趨復(fù)雜，防不勝防。

根據(jù)近日Fortra最新發(fā)布的《2023年BEC趨勢、目標(biāo)和技術(shù)變化報告》，商業(yè)電子郵件欺詐( BEC)攻擊正闖下歷史最高水平。2023年，冒充企業(yè)的惡意電子郵件數(shù)量增速驚人，僅在前兩個月就發(fā)生了 4 萬多起攻擊事件，其中BEC攻擊占已報告威脅的99%。

從“傀儡”郵箱到AI虛假郵件，BEC攻擊正飛速進化

據(jù)微軟的統(tǒng)計數(shù)據(jù)顯示，自2016年以來，BEC攻擊已經(jīng)導(dǎo)致超過260億美元的損失。這種類型的攻擊已經(jīng)波及了各種規(guī)模的企業(yè)，從大公司到小企業(yè)都成為了攻擊的受害者，且這些年BEC 攻擊日趨復(fù)雜，網(wǎng)絡(luò)犯罪分子不僅在增加攻擊數(shù)量，而且在偽造和仿冒郵件方面變得更加老練和自動化，BEC詐騙攻擊在流行性和創(chuàng)新性方面都得到了“飛躍式”的發(fā)展。BEC攻擊的發(fā)展路徑，可以大致劃分為四個階段，下面我們分別來看看：

首先是BEC 1.0 階段，興起于疫情期間，犯罪分子企圖利用新的分布式工作環(huán)境興風(fēng)作浪。相比傳統(tǒng)辦公環(huán)境，遠(yuǎn)程辦公員工更容易遭到網(wǎng)絡(luò)釣魚攻擊，而遠(yuǎn)程辦公模式也創(chuàng)造了更多冒充機會。在這個階段，電子郵件發(fā)件人往往會偽裝成同事、合作機構(gòu)或知名品牌，或者冒充企業(yè)管理者，指示員工為廠商購買禮品卡。這些電子郵件大多都是純文本，這就需要用戶具有敏銳的洞察力或借助先進的人工智能 (AI) 和機器學(xué)習(xí)才能識破。BEC 1.0 涉及的詐騙攻擊方式時至今日依然存在，但隨著最終用戶的安全意識不斷提高，以及更多電子郵件安全層經(jīng)過優(yōu)化已能夠檢測出和阻止這些攻擊，此類攻擊的效果日益減弱。

接著就是BEC 2.0 階段，受害者所接收到的電子郵件來自被入侵的合法帳戶。這些帳戶可能是同一公司內(nèi)的帳戶或是遭到入侵的合作伙伴帳戶，黑客會假扮成業(yè)務(wù)代表實施報銷詐騙，或竊取員工信息及其他敏感數(shù)據(jù)。通常情況下，攻擊者會從合作伙伴的現(xiàn)有郵件中尋找線索實施詐騙，或者先潛伏在合法對話中，等時機合適再劫持對話實施詐騙。

BEC 攻擊3.0 階段，黑客開始從QuickBooks、Zoom或SharePoint等合法 SaaS 服務(wù)和網(wǎng)站發(fā)送真實通知。從表面上看，這些信息并無非法或可疑之處，因為它們是直接從相關(guān)網(wǎng)站發(fā)送的，黑客甚至可以使用與受攻擊機構(gòu)相同或相似的名稱來讓偽裝看起來天衣無縫。為了實施攻擊，他們會在報銷材料或支付信息中添加一個電話號碼，但這個虛假的電話號碼連接的其實是一個虛假的支持團隊，極易上當(dāng)受騙。僅在去年2月前，Check Point Research 就已經(jīng)檢測到了近 4 萬起此類攻擊。

整體來看，過去的傳統(tǒng)BEC詐騙方式往往是攻擊者會冒充企業(yè)的首席執(zhí)行官或高級管理人員來欺騙受害者促成重大金融交易。但目前，攻擊者已經(jīng)開始改變策略并擴大了他們的攻擊目標(biāo)列表。他們將與目標(biāo)受害者相關(guān)的供應(yīng)商、以及第三方或業(yè)務(wù)合作伙伴等等均同等視為攻擊目標(biāo)。網(wǎng)絡(luò)犯罪分子通過包含關(guān)鍵內(nèi)幕信息的真實電子郵件來針對性攻擊大型企業(yè)，從而顯著提高攻擊的“合法性”和成功率。

隨著現(xiàn)在AI的應(yīng)用領(lǐng)域越來越廣泛，網(wǎng)絡(luò)犯罪分子已經(jīng)開始利用AI來制作精心編寫、無語法錯誤的電子郵件，這些電子郵件會進一步提高受害者受騙上當(dāng)?shù)母怕?，這也就是目前BEC攻擊最先進的4.0版本。

此前黑客就曾創(chuàng)建了備受關(guān)注的WormGPT，WormGPT 在地下論壇上被宣傳為執(zhí)行復(fù)雜的網(wǎng)絡(luò)釣魚活動和BEC攻擊的完美工具。惡意行為者正在創(chuàng)建自己的自定義模塊，并且還在向其他人宣傳。根據(jù)作者介紹，WormGPT 是基于 GPTJ 語言模型的 AI 模塊，接受了各種數(shù)據(jù)源的培訓(xùn)，它現(xiàn)在擁有一系列功能，包括無限字符支持、聊天記憶保留和代碼格式化功能。

利用WormGPT生成的BEC郵件

WormGPT的出現(xiàn)無疑標(biāo)志著BEC攻擊進入了4.0階段，它賦予了網(wǎng)絡(luò)犯罪分子在幾秒鐘內(nèi)通過輸入提示生成大規(guī)模詐騙電子郵件的能力，這給企業(yè)網(wǎng)絡(luò)安全帶來了前所未有的挑戰(zhàn)。由于詐騙電子郵件的規(guī)模和多樣性將達(dá)到前所未有的水平，因此企業(yè)必須應(yīng)對這一新的威脅。

BEC攻擊俗套的“手法”，為何頻頻讓企業(yè)中招

BEC攻擊戰(zhàn)術(shù)的不斷升級為企業(yè)帶來了巨大的安全風(fēng)險，而近年來因BEC攻擊造成巨大經(jīng)濟損失的企業(yè)也不在少數(shù)。

去年6月，微軟通報了一起復(fù)雜的BEC攻擊，針對銀行和金融服務(wù)組織。這次攻擊活動利用了網(wǎng)絡(luò)上的釣魚工具包，使用了高級的中間人代理技術(shù)，繞過了雙因素認(rèn)證（2FA）。根據(jù)我們對攻擊趨勢的年度跟蹤，早在2021年，網(wǎng)絡(luò)上已經(jīng)涌現(xiàn)了多個網(wǎng)絡(luò)釣魚即服務(wù)和網(wǎng)絡(luò)釣魚工具包，這顯然降低了犯罪成本，使網(wǎng)絡(luò)釣魚活動趨向高度自動化。

在這起攻擊活動中，攻擊者首先接管了一個受信任的供應(yīng)商的郵箱登錄會話，然后使用新的會話令牌登錄。攻擊者打算利用供應(yīng)商與其他合作伙伴組織之間的信任關(guān)系進行金融欺詐。一旦攻擊者獲得了郵箱權(quán)限，他們創(chuàng)建了一個收件箱規(guī)則，將所有傳入電子郵件移動到存檔文件夾，并將其標(biāo)記為已讀。然后，攻擊者發(fā)起了大規(guī)模的網(wǎng)絡(luò)釣魚活動，涉及了16,000多封電子郵件。攻擊者隨后監(jiān)視了受害者用戶郵箱中未送達(dá)和已發(fā)送的電子郵件，并將其從存檔文件夾中刪除，使受害者對郵箱賬戶遭受入侵毫不知情。

從AiTM網(wǎng)絡(luò)釣魚攻擊到BEC的攻擊鏈

無獨有偶，此前家居行業(yè)上市公司大亞圣象在其年報中披露，有攻擊者入侵了全資子公司美國HomeLegendLLC公司租用的微軟公司365郵箱系統(tǒng)，偽造假電子郵件冒充該公司管理層成員，偽造供應(yīng)商文件及郵件路徑，實施詐騙，涉案金額約356.9萬美元，折合人民幣2275.49萬元。

此外，還有多家擬上市公司披露的招股書顯示，他們也曾遭遇過類似的詐騙。一家已經(jīng)終止IPO的公司公告顯示，該公司也曾遭遇BEC詐騙。此次事件就是一次經(jīng)典的BEC攻擊案例，攻擊者通過“誘導(dǎo)財務(wù)人員加入QQ群”，將電子郵件偽造成銀行官方郵箱，向企業(yè)財務(wù)人員批量投遞“無害”的誘導(dǎo)信息，財務(wù)人員添加對方QQ后，被拉入了一個有“領(lǐng)導(dǎo)”的詐騙群，然后由攻擊者扮演的“領(lǐng)導(dǎo)”命令“受害者”進行后續(xù)的轉(zhuǎn)賬匯款。此次事件導(dǎo)致公司銀行賬戶內(nèi)的300萬元被盜取，隨后公司向所在地公安機關(guān)報案并獲受理。后續(xù)公安局針對300萬元詐騙款追回24萬元，款項返還至公司。

按理來說，BEC攻擊在原理上其實并不新鮮，并且這類社會工程郵件的騙局甚至已經(jīng)流行了30多年。但是，BEC攻擊為何能讓不法分子屢屢得手？

事實上還是因為這些攻擊是來自于受害者所信任的虛假對象，一旦攻擊者鎖定目標(biāo)組織，他們會采用身份竊取等技術(shù)手段，盜用受害者相關(guān)同事的電子郵件帳戶，使用真實可信的郵箱來發(fā)送欺詐郵件。且信件內(nèi)容甚至是口吻都經(jīng)過深度的偽造，這才導(dǎo)致安全防范意識不強的受害者難以識別真假。另外，攻擊者還會設(shè)置郵件轉(zhuǎn)發(fā)規(guī)則，對關(guān)鍵人員與合作伙伴與供應(yīng)商的往來郵件進行監(jiān)視，伺機對涉及金融交易的郵件進行篡改，通過修改銀行賬號信息來誘導(dǎo)目標(biāo)受害者完成轉(zhuǎn)賬。

總體來看，BEC攻擊之所以難以防范，正是因為這種攻擊側(cè)重于社交工程，不涉及明顯的惡意軟件或外部鏈接，因而能輕易避開大多數(shù)傳統(tǒng)的安全防護技術(shù)，讓傳統(tǒng)的郵件安全解決方案難以識別。這也給企業(yè)網(wǎng)絡(luò)安全帶來了前所未有的挑戰(zhàn)。

企業(yè)防范BEC攻擊的八種有效方法

BEC攻擊戰(zhàn)術(shù)的不斷升級為企業(yè)帶來了巨大的安全風(fēng)險，近年來因BEC攻擊造成巨大經(jīng)濟損失的企業(yè)也不在少數(shù)。因此，為了降低BEC攻擊風(fēng)險，企業(yè)需要實施多層威脅情報、人員導(dǎo)向的業(yè)務(wù)和技術(shù)政策，并制定全面的BEC政策文檔。同時，定期開展安全意識培訓(xùn)、禁止共享企業(yè)結(jié)構(gòu)圖等規(guī)則、帶外驗證流程、請求登記流程和開放式匯報機制、設(shè)定獎勵制度激勵員工積極參與防御等措施也十分重要。

企業(yè)可以重點關(guān)注以下八種BEC攻擊關(guān)鍵防范方法：

1.設(shè)定可接受的使用規(guī)則

企業(yè)在業(yè)務(wù)和技術(shù)層面設(shè)置的首要規(guī)則類別是員工訪問電子郵件和其他業(yè)務(wù)系統(tǒng)時的可接受使用標(biāo)準(zhǔn)，以阻止BEC攻擊?？山邮苁褂谜?(AUP) 是提供基于政策的BEC風(fēng)險保護的最低要求。AUP包括常規(guī)的安全最佳實踐，并應(yīng)特別關(guān)注網(wǎng)絡(luò)釣魚和BEC防范指南，后者的內(nèi)容包括：不得點擊可疑文件附件或鏈接、不向第三方泄露敏感信息、仔細(xì)檢查發(fā)票支付和工資單變更請求以及報告可疑攻擊等。

2.定期開展安全意識培訓(xùn)

與AUP一樣，安全意識培訓(xùn)對于企業(yè)防范BEC攻擊安全風(fēng)險至關(guān)重要，應(yīng)規(guī)定員工在企業(yè)工作期間定期參加安全培訓(xùn)。安全意識培訓(xùn)不僅提供了寶貴的安全威脅提醒和如何識別不同階段的BEC攻擊的強化教學(xué)內(nèi)容，還可以提供一個重要的學(xué)習(xí)場所，讓員工了解這些攻擊技術(shù)自上次培訓(xùn)以來發(fā)生了哪些變化。

3.強制性BEC特定事件響應(yīng)計劃

企業(yè)在事件響應(yīng)(IR)計劃中應(yīng)設(shè)定包含針對BEC的程序，同時制定政策要求安全團隊定期更新這些IR計劃并測試其效果。企業(yè)在事件響應(yīng)的所有階段計劃都有法律專家參與，法律部門尤其應(yīng)該參與內(nèi)部和外部利益相關(guān)方溝通事件，以確保企業(yè)在BEC攻擊發(fā)生時不會增加其法律責(zé)任。任何違規(guī)都可能帶來法律責(zé)任，因此最好在違規(guī)之前進行討論，并盡可能多地提前制定預(yù)案。此外，泄露或暴露的有關(guān)商業(yè)伙伴、客戶、人員等的信息，包括機密信息，可能產(chǎn)生法律后果，這也應(yīng)該在制定IRP和實際應(yīng)對實際違規(guī)行為時加以考慮。

4.調(diào)整企業(yè)結(jié)構(gòu)圖及運營細(xì)節(jié)披露程度

由于BEC詐騙者通常會利用對組織內(nèi)部運作的了解來針對特定員工進行帳戶接管攻擊，向受害者提出可信的請求，或者設(shè)計出非常令人信服的社會工程方法。所以企業(yè)可適當(dāng)調(diào)整企業(yè)官網(wǎng)組織結(jié)構(gòu)圖及其他詳細(xì)信息的披露程度以避免企業(yè)管理者的個人信息落入黑客手中。

5.發(fā)票和財務(wù)交易協(xié)議

對于企業(yè)來說，建立一個堅不可摧的業(yè)務(wù)標(biāo)準(zhǔn)和流程來處理發(fā)票和觸發(fā)財務(wù)交易也十分重要。這意味著將縱深防御應(yīng)用于整個企業(yè)的業(yè)務(wù)實踐，而不僅僅是網(wǎng)絡(luò)安全。任何臨時付款請求都必須在付款發(fā)出之前進行正式審查。要求所有付款指令更改在批準(zhǔn)之前使用合法途徑進行驗證。此類強力政策可以消除攻擊者對員工實施社工攻擊施加的緊迫感和恐懼感，尤其是攻擊者冒充高管或上司提出異常請求時，這樣強制執(zhí)行的政策能夠保護嚴(yán)格按規(guī)章辦事的員工。

6.高風(fēng)險變更和交易的帶外驗證

對于發(fā)票和財務(wù)交易政策，企業(yè)應(yīng)特別注意如何驗證和批準(zhǔn)高風(fēng)險交易和財務(wù)賬戶變更。實施嚴(yán)格的財務(wù)交易和數(shù)據(jù)請求驗證流程至關(guān)重要，這是抵御BEC攻擊的關(guān)鍵防御措施。企業(yè)為BEC設(shè)置后盾的一個重要方法是確保通過電子郵件觸發(fā)的任何高風(fēng)險事件都通過某種帶外驗證流程（可以是電話、通過安全系統(tǒng)或短信）進行跟進，切勿僅根據(jù)電子郵件請求更改付款/銀行詳細(xì)信息就進行交易。將這些流程嵌入到日常運營中可以形成強大的防御機制。

7.請求登記流程

由于來自外部欺騙電子郵件和內(nèi)部受損電子郵件來源的雙重威脅，企業(yè)想要預(yù)防BEC需要采取廣泛的策略。企業(yè)可對所有敏感信息交換和變更采用輔助方法進行積極驗證，包括收款人、銀行信息、應(yīng)收賬款和員工數(shù)據(jù)。該機制包括一個內(nèi)部安全的“請求寄存器”，可確保在任何信息交換或修改之前進行積極驗證。通過這一政策和方法，每個敏感請求都會在集中式系統(tǒng)中注冊，然后通過第二個因素獲得批準(zhǔn)，無論是電話、一次性密碼 (OTP) 還是硬件安全密鑰（例如FIDO2）。用戶經(jīng)過培訓(xùn)，可以在泄露信息或進行更改之前通過此寄存器驗證敏感請求。

8.開放式匯報機制

企業(yè)制定政策、文化和流程時需側(cè)重開放式匯報機制，讓員工能夠輕松報告異常請求事件，即使判斷錯誤也無需擔(dān)心懲罰。重要的是要確保員工不怕報告可疑事件。報告得越早，就越容易解決，但害怕的員工可能不愿意承認(rèn)錯誤。企業(yè)需要建立報告可疑事件的文檔步驟和機制，并嘗試獎勵阻止錯誤而不是懲罰錯誤。這將有助于培養(yǎng)員工的防御思維和零信任心態(tài)。