電子郵件因其方便、快捷、成本低廉的特點，成為企業(yè)之間進(jìn)行商務(wù)溝通的重要手段，商務(wù)交易訂單、收據(jù)及匯款賬號等都可通過電子郵件進(jìn)行傳遞，尤其是與長期合作公司的跨國交易，由于時差、語言等因素，以電子郵件為主要溝通途徑，更是習(xí)以為常的一件事。電郵在商業(yè)領(lǐng)域的廣泛應(yīng)用也衍生出以電子郵件為攻擊途徑的網(wǎng)絡(luò)詐騙攻擊手法——“商務(wù)電郵詐騙”(Business Email Compromise，BEC)。美國聯(lián)邦調(diào)查局(FBI)近日發(fā)布公告顯示，2017 上半年商務(wù)電郵詐騙已造成全球高達(dá)53億美元的經(jīng)濟(jì)損失。

什么是“商務(wù)電郵詐騙”?

“商務(wù)電郵詐騙”(BEC)又被稱作“老板詐騙”(CEO Fraud)或“中間人詐騙”(Man in the Middle)。美國聯(lián)邦調(diào)查局旗下網(wǎng)絡(luò)犯罪申訴中心在網(wǎng)絡(luò)犯罪報告中指出，“商務(wù)電郵詐騙” 是一場復(fù)雜的網(wǎng)絡(luò)詐騙行為，目標(biāo)是經(jīng)常執(zhí)行電匯付款的外國供貨商或企業(yè)合作伙伴。主要透過社交工程手法與入侵商業(yè)電子郵件帳戶等方式，進(jìn)行未經(jīng)授權(quán)的轉(zhuǎn)賬。實施“商務(wù)電郵詐騙”的攻擊者通過各種手段，其中包括社交媒體、公司網(wǎng)站介紹或黑客攻擊手段，弄到企業(yè)老板的電郵賬號，之后冒充老板通過電郵指示公司財務(wù)部電匯項目款給某公司，而這個公司往往是詐騙團(tuán)伙的同謀，他們得到付款后，立刻將這筆錢轉(zhuǎn)移到國外另一銀行賬戶。“商務(wù)電郵詐騙”一般分為以下四個實施階段：

階段1：確認(rèn)目標(biāo)

• 黑客從網(wǎng)絡(luò)上或通過其他途徑，搜集到各企業(yè)大老板或企業(yè)窗口的聯(lián)系信息，以及各式相關(guān)信息。

階段2：潛伏觀察

• 黑客透過入侵或“釣魚”手法成功取得企業(yè)郵件登入賬號密碼，或透過惡意軟件側(cè)錄使得雙方通信內(nèi)容一覽無遺，掌握公司財務(wù)對象、大老板行程與交易信息，等待時機(jī)攻擊。

階段3：正式發(fā)動攻擊

• 在國內(nèi)企業(yè)與國外廠商交易快完成前，中斷廠商之間的通訊，向是Reply-to的發(fā)件人至竄改的假冒E-mail，并假冒出口商要求變更匯款賬號，或是假冒大老板名義向公司會計要求匯款。

階段4：取走匯款

• 待企業(yè)上當(dāng)匯款之后，將款項提領(lǐng)一空，或是再匯至第三個國家地區(qū)銀行或第四個國家地區(qū)銀行。

事實上，這類跨國商務(wù)電郵詐騙案，并不是今年才有的網(wǎng)絡(luò)犯罪手法，早在五六年前，就傳出不少企業(yè)遇害。或許你會說這跟多數(shù)網(wǎng)絡(luò)釣魚詐騙有何不同?事實上，“商務(wù)電郵詐騙”并非大規(guī)模寄送電子郵件，這類手法同樣以電子郵件為攻擊途徑，但聚焦在跨國交易的來往過程，在入侵、潛伏觀察后，伺機(jī)而動，且冒用對象是以郵件溝通的企業(yè)合作伙伴，或是企業(yè)高層主管如CIO、CEO與CFO為主，并發(fā)送郵件給相關(guān)負(fù)責(zé)人與財務(wù)經(jīng)辦人員。企業(yè)一旦遇害，損失金額為幾十萬至上千萬元不等。的確，它就是一種針對性攻擊，也可能運(yùn)用現(xiàn)行各種網(wǎng)絡(luò)安全威脅滲透至受害者計算機(jī)的手法，但接下來的方式，就是以冒用身份為主。

快速識別“商務(wù)電郵詐騙”

“商務(wù)電郵詐騙”的偽裝性和欺騙性極強(qiáng)，如何快速識別這種網(wǎng)絡(luò)詐騙手法是預(yù)防的關(guān)鍵，以下是五類常見的“商務(wù)電郵詐騙”方式：

1. 黑客假冒海外供貨商以要求企業(yè)付款

網(wǎng)絡(luò)犯罪分子假冒國外客戶E-mail，要求變更匯款賬號，導(dǎo)致公司匯款至詐騙用賬戶?；蛘呤羌倜?amp;&公司名義發(fā)送E-mail給國外客戶，導(dǎo)致國外客戶匯款至詐騙用賬戶。

2. 黑入企業(yè)高階主管的電子郵件賬號，并假冒其名義要求企業(yè)內(nèi)部的財務(wù)經(jīng)理人匯款

網(wǎng)絡(luò)犯罪分子假冒老板E-mail，像是CEO、CIO、CFO，向公司會計要求需緊急處理某筆電匯。

3. 與客戶聯(lián)系的企業(yè)窗口電子郵件賬號被駭，并假冒其名義要求供貨商付款

網(wǎng)絡(luò)犯罪分子竊取公司企業(yè)窗口甚至負(fù)責(zé)人電子郵件，直接寄送偽造內(nèi)容的信件，致使對方匯款至詐騙用賬戶。

4. 黑客假冒律師或事務(wù)所的代表，宣稱要處理緊急事件而要求匯款，可能選在工作日的最后一天發(fā)信給受害者

5. 同樣是駭入高層主管郵件賬號，假冒其名義發(fā)信給內(nèi)部的人事或?qū)徲嬛鞴埽髤R整提供所有員工數(shù)據(jù)

攻擊者成功實施“商務(wù)電郵詐騙”的關(guān)鍵一步是竄改Email賬號，以下是幾類黑客慣常使用的Email賬號偽裝手法：

1. 字形混淆變化

2. 字符加減變化

3. 位置調(diào)換與直接假冒

通常情況下，網(wǎng)絡(luò)犯罪分子都使用名稱非常相似的假電子郵件賬號，例如將賬號中的英文字母“l”改成數(shù)字“1”，英文字母“o”改成數(shù)字“0”，甚至是英文字母“m”改成“rn”的方式。還有的手法是在賬號不顯眼處增減1字，或是將域名移到@前方來魚目混珠。使用者不論是在發(fā)信、回信時，可以多確認(rèn)一下發(fā)件人的電子信箱是否正常。另外也要提醒，也有黑客是攻入企業(yè)使用的電子郵件系統(tǒng)，或盜取用戶賬號，由于對方是使用真正的郵件賬號發(fā)信，會更難防范。

有效防范“商務(wù)電郵詐騙”

有效的多層式防護(hù)對預(yù)防“商務(wù)電郵詐騙”極為關(guān)鍵。電子郵件和網(wǎng)站網(wǎng)關(guān)、端點裝置、網(wǎng)絡(luò)以及服務(wù)器，全都需要專屬的防護(hù)，而且要環(huán)環(huán)相扣才能發(fā)會效用和效率。大約 97% 的勒索病毒和網(wǎng)絡(luò)釣魚都能在網(wǎng)站和電子郵件網(wǎng)關(guān)端攔截。過了網(wǎng)關(guān)之后，則可透過行為監(jiān)控、應(yīng)用程序控管及漏洞防護(hù)來保護(hù)端點。此外，還可借由流量掃描、橫向移動防范技術(shù)以及惡意軟件沙盒仿真分析來保護(hù)網(wǎng)絡(luò)。同時，在網(wǎng)絡(luò)防護(hù)之上還可以再多加一層網(wǎng)站服務(wù)器防護(hù)來保護(hù)服務(wù)器。

[[206354]]

服務(wù)器是網(wǎng)絡(luò)犯罪集團(tuán)的終極目標(biāo)，不法分子常利用服務(wù)器的組態(tài)設(shè)定錯誤、軟件漏洞，或是失竊的用戶賬號密碼、中間人攻擊以及橫向移動技巧來入侵服務(wù)器。歹徒一旦進(jìn)入服務(wù)器，就能讀取、篡改或?qū)С龈鞣N企業(yè)數(shù)據(jù)，包括：業(yè)務(wù)、財務(wù)或客戶資料。

最為關(guān)鍵的是要認(rèn)識到——人是最大的網(wǎng)絡(luò)安全漏洞。人的一切不符合網(wǎng)絡(luò)空間安全的行為，都可能成為網(wǎng)絡(luò)黑客攻擊的突破口。因此，企業(yè)除了需要提高自身網(wǎng)絡(luò)安全外，還應(yīng)深化員工的網(wǎng)絡(luò)安全意識。員工在不敢質(zhì)疑或違背上級命令的情況下，很容易被騙點選惡意的連結(jié)、開啟受感染的附件檔案、將大筆款項匯入不法分子的賬戶里。因此員工教育很重要，但企業(yè)往往忽視了這一環(huán)節(jié)。網(wǎng)絡(luò)安全教育應(yīng)該列入新進(jìn)員工訓(xùn)練項目之一。此外，也可借由滲透測試來對員工進(jìn)行網(wǎng)絡(luò)釣魚測驗。企業(yè)內(nèi)應(yīng)該建立起相應(yīng)的網(wǎng)絡(luò)安全防護(hù)文化，所有員工都應(yīng)了解自己在不法分子實施網(wǎng)絡(luò)詐騙過程當(dāng)中自身所扮演的重要角色。

隨著移動網(wǎng)絡(luò)的快速演進(jìn)、智能終端的日益普及、服務(wù)模式的迭代創(chuàng)新，網(wǎng)絡(luò)在給我們帶來生活便利的同時，也帶來了非法入侵、網(wǎng)上竊密、網(wǎng)上欺詐、網(wǎng)上走私等新的危害，信息安全風(fēng)險日益凸顯，網(wǎng)絡(luò)安全形勢愈加嚴(yán)峻。