关于商业电子邮件欺诈的7个真相

近年来，商业电子邮件欺诈 (BEC) 攻击在流行性和创新性方面都得到了发展。以下是它们的运行原理、最新统计数据以及最近的攻击案例介绍。

去年夏天，美国联邦调查局 (FBI) 对全球组织发布了关于商业电子邮件欺诈日益增长的危险警报。当时，联邦调查局表示，自 2013 年以来，商业电子邮件欺诈已经为全球经济造成了120亿美元的损失。

自那以后，这种威胁形势日益严峻，变得更加可怕。安全行业的研究人员已经证明，随着攻击者不断完善其攻击策略以瞄准全球越来越多的受害者，BEC 欺诈的影响范围和复杂性都在与日俱增。

下面将为大家介绍 BEC 欺诈的运行原理，最新、最权威的统计数据，以及一些最近发生的 BEC 攻击案例，这些有关 BEC 的真相可以帮助安全从业人员和用户对这种与日俱增的欺诈行为做好准备。

一、BEC的运行原理

BEC 欺诈各不相同，但它们一般都有一个共同点——主要瞄准那些拥有金融控制权的工作人员(无论其是在大型或小型组织中)，然后对其实施有针对性的鱼叉式网络钓鱼攻击。最常使用的手段就是电子邮件账户接管或欺骗，欺诈者会冒充目标的同事或老板——有时候还会冒充 CEO、供应商甚至是另一个部门中职位很高的人。然后，他们会试图说服目标将资金转移给欺诈者，或是更改现有金融交易中的细节来使自己受益。

二、欺诈活动

欺诈者会试图触发一些行动来完成攻击任务，包括让他们的目标将资产转移到据称是公司所持有的账户中进行保密交易;支付虚假的 “未付款” 发票，或者转移员工薪资等等。这些欺诈场景可谓十分丰富，只要攻击者能够充分发挥创造力提出令人信服的社会工程 “诱饵” 即可，需要注意的是，这些诱饵对于目标而言必须要极具吸引力。在许多情况下，这些交易规模都是相当大的，所以攻击者必须事先进行大量的研究，以提出合理的、量身定制的 “诱饵”。

三、欺诈者获益巨大

如今，欺诈者正在通过这些欺诈性的资产转移活动获取巨额财富，他们坚定地相信 “越大的谎言越有人信”，所以在大多数情况下，他们会试图说服受害者一次转移数百万美元的资产。去年，一家欧洲影院连锁店成为 BEC 攻击的牺牲品，该攻击在一个月时间内通过一系列转移活动共获取了 2150 万美元的收益。据悉，在此次攻击中，欺诈者通过冒充该公司的法国 CEO 来骗取该公司荷兰区域高管的信任，并通过 “需要转移资金进行收购” 的借口顺利套取了共计 2150 万美元。

根据一些安全专家的说法，BEC 攻击者的优势是巨大的，因为大多数情况下，实施攻击所需的技术敏锐度或基础设施很少，除此之外，BEC 攻击的投资回报率也明显高于其他任何更具技术性的网络攻击。因此，他们预计未来还会有更多的威胁行为者涌向这一领域。

四、过去一年中BEC呈显著增长趋势

在最近针对 BEC 攻击趋势的统计分析中，这种 “涌入” 现象已经初现端倪。根据 Proofpoint 今年早春发布的一份报告显示，在 2018 年第四季度中，每家目标组织遭遇的 BEC 攻击数量同比增长了 476%。与此同时，Mimecast 也在其发布的《2019年电子邮件安全年度报告》中指出，假冒和 BBEC 攻击增长了 67%，且其中 73% 的受害组织遭受了直接损失。

最后这一点尤为重要(73%遭受直接损失)，因为 BEC 攻击所造成的伤害并不是系统破坏、停机或是生产力损失。相反地，它带来的都是冷冰冰的现金损失。总而言之，联邦调查局表示，仅 2018 年，已知的 BEC 攻击所造成的总损失已经高达 27亿美元。

五、BEC欺诈喜欢瞄准首席财务官 (CFO) 和财务把关人

虽然在不同的案件中，受害者的类型有所不同，但有一件事是可以肯定的：欺诈者喜欢针对首席财务官和其他财政控制者。事实上，最近的一份报告显示，一个进行 BEC 活动的跨国犯罪团伙实际上会寻找向营销人员出售有关首席财务官联系方式的公司，以加强其社会工程的现实效果。这个团伙不仅会使用常见的 “未付款供应商” 的故事来诱骗受害者，还会使用其他诡计，例如伪装成试图进行并购活动的高管，然后催促受害者支付首付，以免危及进一步的交易活动。

六、从“419”诈骗到BEC欺诈