商業(yè)電子郵件攻擊(BEC)詐騙犯正在利用一種針對投資者的新型攻擊，該攻擊可以獲取比平均水平高7倍的利潤。

在了解BEC具體手段之前，有必要先了解一下華爾街的投資策略。

[[385462]]

當(dāng)投資者買入一家公司的投資基金，如私募股權(quán)基金或房地產(chǎn)基金時，在公司提出資金需求之前，投資者可以將資金先保留在自己身邊。這個協(xié)議可以讓投資者把錢留在更有利可圖的投資中賺取利息，而不是閑置在投資基金中。

當(dāng)公司準(zhǔn)備使用投資者的錢時，他們會發(fā)出正式的 "催款 "通知，要求投資者把約定的錢寄給他們。

BEC騙子瞄準(zhǔn)華爾街

在電子郵件網(wǎng)絡(luò)安全公司Agari的一份新報(bào)告中顯示，BEC詐騙者現(xiàn)在已經(jīng)開始以虛假的資金催收通知為誘餌進(jìn)行詐騙，這些通知所詐騙得來的利潤比BEC平均利潤要大得多。

在新發(fā)的《2021年電子郵件欺詐和身份欺騙趨勢》報(bào)告中，Agari指出，電匯BEC詐騙的平均利潤額為72000美元。這些騙局是指攻擊者冒充供應(yīng)商，要求受害者向他們所持有的銀行賬戶匯款。

而偽造的催款通知所獲得的平均利潤額為809,000美元，是普通BEC騙局的7倍!

BEC攻擊者偽裝成被投資的公司來向投資者發(fā)送郵件，要求其根據(jù)投資承諾轉(zhuǎn)移資金。由于此類交易的性質(zhì)，所要求的款項(xiàng)遠(yuǎn)遠(yuǎn)高于大多數(shù)電匯詐騙所要求的金額。

根據(jù)Agari的說法，這些攻擊是由攻擊者向已知的投資者的財(cái)務(wù)人員發(fā)送電子郵件引起的，要求他們?yōu)樘摷俚耐顿Y付款。

此外，Agari還表示，這些攻擊者在攻擊過程中并沒有使用任何內(nèi)部知識。他們的手法與常見的BEC攻擊者別無二致。

BEC 的虛假催款通知書

專家表示，Agari所監(jiān)測到的攻擊是由電子郵件服務(wù)功能發(fā)出的，并且大部分來自于總部位于捷克的centrum.cz網(wǎng)絡(luò)郵件提供商。而這些郵件的附件就是冒充催款通知書要求支付投資款項(xiàng)的文件。

虛假的催款通知書

一旦他們成功誘騙受害者轉(zhuǎn)賬，攻擊者會迅速將錢轉(zhuǎn)移到他們所控制的賬戶下，并且使用錢騾(指通過網(wǎng)絡(luò)將通過不正當(dāng)手段從一國得來的錢款和高價值貨物轉(zhuǎn)移到另一國)來取款，從而讓銀行沒有辦法把被騙資金還給受害者。

雖然電匯詐騙一直存在，但是針對不同的人群詐騙者會使用不同的攻擊方式，并且獲得更多的利潤。

為了抵御BEC，公司和個人都必須增強(qiáng)電子郵件安全意識。

BEC防御建議

Agari針對此次事件提出相關(guān)BEC防御建議：

• 布置強(qiáng)大的反釣魚郵件和電子郵件認(rèn)證保護(hù)技術(shù)，來專門防御高級身份欺騙和品牌欺騙攻擊。
• 建立處理外發(fā)支付請求的正式流程。尤其應(yīng)注意支付信息與原始協(xié)議不一致的情況。切勿使用電子郵件中的聯(lián)系方式，而是使用原始協(xié)議中的聯(lián)系信息。
• 匯款時始終通過電話直接向投資公司確認(rèn)請求和銀行信息。

除了Agari提供的以上建議，還有一些可采取的建議：(可參考FreeBuf文章《DMARC：企業(yè)郵件信息泄漏應(yīng)對之道》)

(1) 始終保持小于10 個的DNS查找記錄

超過10個DNS查找記錄則會讓用戶的SPF完全失效，甚至導(dǎo)致正常的郵件也無法認(rèn)證成功。在這種情況下，如果將DMARC設(shè)置為“reject”，那么常規(guī)的電子郵件將無法發(fā)送。

(2) 確保傳輸中的電子郵件的TLS加密

盡管DMARC可以保護(hù)用戶免受社會工程攻擊和BEC的侵害，但仍然需要做好準(zhǔn)備應(yīng)對諸如中間人(MITM)之類的普遍存在的監(jiān)視攻擊?？梢酝ㄟ^確保每次將電子郵件發(fā)送到用戶的域時，在SMTP服務(wù)器之間協(xié)調(diào)通過TLS安全連接來完成。

(3) 使用BIMI提升郵件安全

借助BIMI(郵件識別的品牌指標(biāo))進(jìn)行劃分，幫助收件人更直觀地在收件箱中識別對方身份，讓企業(yè)郵件的安全性提升到一個新的水平。

來源：bleepingcomputer