“BEC攻擊無需高深的技術(shù)手段，用低風(fēng)險(xiǎn)就能換取高回報(bào)。”這個(gè)說法乍一聽，似乎是個(gè)不賠本的買賣，但實(shí)則非也。

近年來，商業(yè)郵件欺詐（Business Email Compromise，以下簡稱：BEC）攻擊的身影頻頻出現(xiàn)在各個(gè)安全期刊的頭版頭條，已然成為了一種常見的網(wǎng)絡(luò)攻擊手法。

BEC是一種比較先進(jìn)的社會(huì)工程學(xué)攻擊，主要針對(duì)企業(yè)極其員工，通常以財(cái)務(wù)欺詐和商業(yè)機(jī)密竊取為動(dòng)機(jī)。從技術(shù)層面來講，商業(yè)郵件欺詐是一種相對(duì)技術(shù)含量較低的金融欺詐，

這類型攻擊非常容易實(shí)施，并且不依賴于惡意文件或鏈接，而是通過社會(huì)工程學(xué)進(jìn)行欺騙誘導(dǎo)。BEC攻擊的一個(gè)經(jīng)典形式是通過偽造電子郵件與目標(biāo)員工建立聯(lián)系，將電子郵件偽裝成來自可信的人或組織。一旦建立信任，攻擊者可能會(huì)直接要求受害者匯款或要求回復(fù)敏感信息。

為避免郵件審查和增強(qiáng)欺騙性，BEC攻擊者還會(huì)將受害者引導(dǎo)至短信或即時(shí)通訊工具。比如，“誘導(dǎo)財(cái)務(wù)人員加群”，攻擊者將電子郵件偽造成銀行官方郵箱，向企業(yè)財(cái)務(wù)人員批量投遞“無害”的誘導(dǎo)加qq郵件，一旦受害者加上qq，就會(huì)被拉到一個(gè)有“領(lǐng)導(dǎo)”的詐騙群，然后由攻擊者扮演的“領(lǐng)導(dǎo)”會(huì)命令“受害者”進(jìn)行后續(xù)的轉(zhuǎn)賬匯款。

諸如此類的BEC攻擊形式日趨復(fù)雜，防不勝防。

根據(jù)近日Fortra最新發(fā)布的《2023年BEC趨勢、目標(biāo)和技術(shù)變化報(bào)告》，商業(yè)電子郵件欺詐( BEC)攻擊正闖下歷史最高水平。2023年，冒充企業(yè)的惡意電子郵件數(shù)量增速驚人，僅在前兩個(gè)月就發(fā)生了 4 萬多起攻擊事件，其中BEC攻擊占已報(bào)告威脅的99%。

從“傀儡”郵箱到AI虛假郵件，BEC攻擊正飛速進(jìn)化

據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)顯示，自2016年以來，BEC攻擊已經(jīng)導(dǎo)致超過260億美元的損失。這種類型的攻擊已經(jīng)波及了各種規(guī)模的企業(yè)，從大公司到小企業(yè)都成為了攻擊的受害者，且這些年BEC 攻擊日趨復(fù)雜，網(wǎng)絡(luò)犯罪分子不僅在增加攻擊數(shù)量，而且在偽造和仿冒郵件方面變得更加老練和自動(dòng)化，BEC詐騙攻擊在流行性和創(chuàng)新性方面都得到了“飛躍式”的發(fā)展。BEC攻擊的發(fā)展路徑，可以大致劃分為四個(gè)階段，下面我們分別來看看：

首先是BEC 1.0 階段，興起于疫情期間，犯罪分子企圖利用新的分布式工作環(huán)境興風(fēng)作浪。相比傳統(tǒng)辦公環(huán)境，遠(yuǎn)程辦公員工更容易遭到網(wǎng)絡(luò)釣魚攻擊，而遠(yuǎn)程辦公模式也創(chuàng)造了更多冒充機(jī)會(huì)。在這個(gè)階段，電子郵件發(fā)件人往往會(huì)偽裝成同事、合作機(jī)構(gòu)或知名品牌，或者冒充企業(yè)管理者，指示員工為廠商購買禮品卡。這些電子郵件大多都是純文本，這就需要用戶具有敏銳的洞察力或借助先進(jìn)的人工智能 (AI) 和機(jī)器學(xué)習(xí)才能識(shí)破。BEC 1.0 涉及的詐騙攻擊方式時(shí)至今日依然存在，但隨著最終用戶的安全意識(shí)不斷提高，以及更多電子郵件安全層經(jīng)過優(yōu)化已能夠檢測出和阻止這些攻擊，此類攻擊的效果日益減弱。

接著就是BEC 2.0 階段，受害者所接收到的電子郵件來自被入侵的合法帳戶。這些帳戶可能是同一公司內(nèi)的帳戶或是遭到入侵的合作伙伴帳戶，黑客會(huì)假扮成業(yè)務(wù)代表實(shí)施報(bào)銷詐騙，或竊取員工信息及其他敏感數(shù)據(jù)。通常情況下，攻擊者會(huì)從合作伙伴的現(xiàn)有郵件中尋找線索實(shí)施詐騙，或者先潛伏在合法對(duì)話中，等時(shí)機(jī)合適再劫持對(duì)話實(shí)施詐騙。

BEC 攻擊3.0 階段，黑客開始從QuickBooks、Zoom或SharePoint等合法 SaaS 服務(wù)和網(wǎng)站發(fā)送真實(shí)通知。從表面上看，這些信息并無非法或可疑之處，因?yàn)樗鼈兪侵苯訌南嚓P(guān)網(wǎng)站發(fā)送的，黑客甚至可以使用與受攻擊機(jī)構(gòu)相同或相似的名稱來讓偽裝看起來天衣無縫。為了實(shí)施攻擊，他們會(huì)在報(bào)銷材料或支付信息中添加一個(gè)電話號(hào)碼，但這個(gè)虛假的電話號(hào)碼連接的其實(shí)是一個(gè)虛假的支持團(tuán)隊(duì)，極易上當(dāng)受騙。僅在去年2月前，Check Point Research 就已經(jīng)檢測到了近 4 萬起此類攻擊。

整體來看，過去的傳統(tǒng)BEC詐騙方式往往是攻擊者會(huì)冒充企業(yè)的首席執(zhí)行官或高級(jí)管理人員來欺騙受害者促成重大金融交易。但目前，攻擊者已經(jīng)開始改變策略并擴(kuò)大了他們的攻擊目標(biāo)列表。他們將與目標(biāo)受害者相關(guān)的供應(yīng)商、以及第三方或業(yè)務(wù)合作伙伴等等均同等視為攻擊目標(biāo)。網(wǎng)絡(luò)犯罪分子通過包含關(guān)鍵內(nèi)幕信息的真實(shí)電子郵件來針對(duì)性攻擊大型企業(yè)，從而顯著提高攻擊的“合法性”和成功率。

隨著現(xiàn)在AI的應(yīng)用領(lǐng)域越來越廣泛，網(wǎng)絡(luò)犯罪分子已經(jīng)開始利用AI來制作精心編寫、無語法錯(cuò)誤的電子郵件，這些電子郵件會(huì)進(jìn)一步提高受害者受騙上當(dāng)?shù)母怕?，這也就是目前BEC攻擊最先進(jìn)的4.0版本。

此前黑客就曾創(chuàng)建了備受關(guān)注的WormGPT，WormGPT 在地下論壇上被宣傳為執(zhí)行復(fù)雜的網(wǎng)絡(luò)釣魚活動(dòng)和BEC攻擊的完美工具。惡意行為者正在創(chuàng)建自己的自定義模塊，并且還在向其他人宣傳。根據(jù)作者介紹，WormGPT 是基于 GPTJ 語言模型的 AI 模塊，接受了各種數(shù)據(jù)源的培訓(xùn)，它現(xiàn)在擁有一系列功能，包括無限字符支持、聊天記憶保留和代碼格式化功能。

利用WormGPT生成的BEC郵件

WormGPT的出現(xiàn)無疑標(biāo)志著BEC攻擊進(jìn)入了4.0階段，它賦予了網(wǎng)絡(luò)犯罪分子在幾秒鐘內(nèi)通過輸入提示生成大規(guī)模詐騙電子郵件的能力，這給企業(yè)網(wǎng)絡(luò)安全帶來了前所未有的挑戰(zhàn)。由于詐騙電子郵件的規(guī)模和多樣性將達(dá)到前所未有的水平，因此企業(yè)必須應(yīng)對(duì)這一新的威脅。

BEC攻擊俗套的“手法”，為何頻頻讓企業(yè)中招

BEC攻擊戰(zhàn)術(shù)的不斷升級(jí)為企業(yè)帶來了巨大的安全風(fēng)險(xiǎn)，而近年來因BEC攻擊造成巨大經(jīng)濟(jì)損失的企業(yè)也不在少數(shù)。

去年6月，微軟通報(bào)了一起復(fù)雜的BEC攻擊，針對(duì)銀行和金融服務(wù)組織。這次攻擊活動(dòng)利用了網(wǎng)絡(luò)上的釣魚工具包，使用了高級(jí)的中間人代理技術(shù)，繞過了雙因素認(rèn)證（2FA）。根據(jù)我們對(duì)攻擊趨勢的年度跟蹤，早在2021年，網(wǎng)絡(luò)上已經(jīng)涌現(xiàn)了多個(gè)網(wǎng)絡(luò)釣魚即服務(wù)和網(wǎng)絡(luò)釣魚工具包，這顯然降低了犯罪成本，使網(wǎng)絡(luò)釣魚活動(dòng)趨向高度自動(dòng)化。

在這起攻擊活動(dòng)中，攻擊者首先接管了一個(gè)受信任的供應(yīng)商的郵箱登錄會(huì)話，然后使用新的會(huì)話令牌登錄。攻擊者打算利用供應(yīng)商與其他合作伙伴組織之間的信任關(guān)系進(jìn)行金融欺詐。一旦攻擊者獲得了郵箱權(quán)限，他們創(chuàng)建了一個(gè)收件箱規(guī)則，將所有傳入電子郵件移動(dòng)到存檔文件夾，并將其標(biāo)記為已讀。然后，攻擊者發(fā)起了大規(guī)模的網(wǎng)絡(luò)釣魚活動(dòng)，涉及了16,000多封電子郵件。攻擊者隨后監(jiān)視了受害者用戶郵箱中未送達(dá)和已發(fā)送的電子郵件，并將其從存檔文件夾中刪除，使受害者對(duì)郵箱賬戶遭受入侵毫不知情。

從AiTM網(wǎng)絡(luò)釣魚攻擊到BEC的攻擊鏈

無獨(dú)有偶，此前家居行業(yè)上市公司大亞圣象在其年報(bào)中披露，有攻擊者入侵了全資子公司美國HomeLegendLLC公司租用的微軟公司365郵箱系統(tǒng)，偽造假電子郵件冒充該公司管理層成員，偽造供應(yīng)商文件及郵件路徑，實(shí)施詐騙，涉案金額約356.9萬美元，折合人民幣2275.49萬元。

此外，還有多家擬上市公司披露的招股書顯示，他們也曾遭遇過類似的詐騙。一家已經(jīng)終止IPO的公司公告顯示，該公司也曾遭遇BEC詐騙。此次事件就是一次經(jīng)典的BEC攻擊案例，攻擊者通過“誘導(dǎo)財(cái)務(wù)人員加入QQ群”，將電子郵件偽造成銀行官方郵箱，向企業(yè)財(cái)務(wù)人員批量投遞“無害”的誘導(dǎo)信息，財(cái)務(wù)人員添加對(duì)方QQ后，被拉入了一個(gè)有“領(lǐng)導(dǎo)”的詐騙群，然后由攻擊者扮演的“領(lǐng)導(dǎo)”命令“受害者”進(jìn)行后續(xù)的轉(zhuǎn)賬匯款。此次事件導(dǎo)致公司銀行賬戶內(nèi)的300萬元被盜取，隨后公司向所在地公安機(jī)關(guān)報(bào)案并獲受理。后續(xù)公安局針對(duì)300萬元詐騙款追回24萬元，款項(xiàng)返還至公司。

按理來說，BEC攻擊在原理上其實(shí)并不新鮮，并且這類社會(huì)工程郵件的騙局甚至已經(jīng)流行了30多年。但是，BEC攻擊為何能讓不法分子屢屢得手？

事實(shí)上還是因?yàn)檫@些攻擊是來自于受害者所信任的虛假對(duì)象，一旦攻擊者鎖定目標(biāo)組織，他們會(huì)采用身份竊取等技術(shù)手段，盜用受害者相關(guān)同事的電子郵件帳戶，使用真實(shí)可信的郵箱來發(fā)送欺詐郵件。且信件內(nèi)容甚至是口吻都經(jīng)過深度的偽造，這才導(dǎo)致安全防范意識(shí)不強(qiáng)的受害者難以識(shí)別真假。另外，攻擊者還會(huì)設(shè)置郵件轉(zhuǎn)發(fā)規(guī)則，對(duì)關(guān)鍵人員與合作伙伴與供應(yīng)商的往來郵件進(jìn)行監(jiān)視，伺機(jī)對(duì)涉及金融交易的郵件進(jìn)行篡改，通過修改銀行賬號(hào)信息來誘導(dǎo)目標(biāo)受害者完成轉(zhuǎn)賬。

總體來看，BEC攻擊之所以難以防范，正是因?yàn)檫@種攻擊側(cè)重于社交工程，不涉及明顯的惡意軟件或外部鏈接，因而能輕易避開大多數(shù)傳統(tǒng)的安全防護(hù)技術(shù)，讓傳統(tǒng)的郵件安全解決方案難以識(shí)別。這也給企業(yè)網(wǎng)絡(luò)安全帶來了前所未有的挑戰(zhàn)。

企業(yè)防范BEC攻擊的八種有效方法

BEC攻擊戰(zhàn)術(shù)的不斷升級(jí)為企業(yè)帶來了巨大的安全風(fēng)險(xiǎn)，近年來因BEC攻擊造成巨大經(jīng)濟(jì)損失的企業(yè)也不在少數(shù)。因此，為了降低BEC攻擊風(fēng)險(xiǎn)，企業(yè)需要實(shí)施多層威脅情報(bào)、人員導(dǎo)向的業(yè)務(wù)和技術(shù)政策，并制定全面的BEC政策文檔。同時(shí)，定期開展安全意識(shí)培訓(xùn)、禁止共享企業(yè)結(jié)構(gòu)圖等規(guī)則、帶外驗(yàn)證流程、請(qǐng)求登記流程和開放式匯報(bào)機(jī)制、設(shè)定獎(jiǎng)勵(lì)制度激勵(lì)員工積極參與防御等措施也十分重要。

企業(yè)可以重點(diǎn)關(guān)注以下八種BEC攻擊關(guān)鍵防范方法：

1.設(shè)定可接受的使用規(guī)則

企業(yè)在業(yè)務(wù)和技術(shù)層面設(shè)置的首要規(guī)則類別是員工訪問電子郵件和其他業(yè)務(wù)系統(tǒng)時(shí)的可接受使用標(biāo)準(zhǔn)，以阻止BEC攻擊。可接受使用政策 (AUP) 是提供基于政策的BEC風(fēng)險(xiǎn)保護(hù)的最低要求。AUP包括常規(guī)的安全最佳實(shí)踐，并應(yīng)特別關(guān)注網(wǎng)絡(luò)釣魚和BEC防范指南，后者的內(nèi)容包括：不得點(diǎn)擊可疑文件附件或鏈接、不向第三方泄露敏感信息、仔細(xì)檢查發(fā)票支付和工資單變更請(qǐng)求以及報(bào)告可疑攻擊等。

2.定期開展安全意識(shí)培訓(xùn)

與AUP一樣，安全意識(shí)培訓(xùn)對(duì)于企業(yè)防范BEC攻擊安全風(fēng)險(xiǎn)至關(guān)重要，應(yīng)規(guī)定員工在企業(yè)工作期間定期參加安全培訓(xùn)。安全意識(shí)培訓(xùn)不僅提供了寶貴的安全威脅提醒和如何識(shí)別不同階段的BEC攻擊的強(qiáng)化教學(xué)內(nèi)容，還可以提供一個(gè)重要的學(xué)習(xí)場所，讓員工了解這些攻擊技術(shù)自上次培訓(xùn)以來發(fā)生了哪些變化。

3.強(qiáng)制性BEC特定事件響應(yīng)計(jì)劃

企業(yè)在事件響應(yīng)(IR)計(jì)劃中應(yīng)設(shè)定包含針對(duì)BEC的程序，同時(shí)制定政策要求安全團(tuán)隊(duì)定期更新這些IR計(jì)劃并測試其效果。企業(yè)在事件響應(yīng)的所有階段計(jì)劃都有法律專家參與，法律部門尤其應(yīng)該參與內(nèi)部和外部利益相關(guān)方溝通事件，以確保企業(yè)在BEC攻擊發(fā)生時(shí)不會(huì)增加其法律責(zé)任。任何違規(guī)都可能帶來法律責(zé)任，因此最好在違規(guī)之前進(jìn)行討論，并盡可能多地提前制定預(yù)案。此外，泄露或暴露的有關(guān)商業(yè)伙伴、客戶、人員等的信息，包括機(jī)密信息，可能產(chǎn)生法律后果，這也應(yīng)該在制定IRP和實(shí)際應(yīng)對(duì)實(shí)際違規(guī)行為時(shí)加以考慮。

4.調(diào)整企業(yè)結(jié)構(gòu)圖及運(yùn)營細(xì)節(jié)披露程度

由于BEC詐騙者通常會(huì)利用對(duì)組織內(nèi)部運(yùn)作的了解來針對(duì)特定員工進(jìn)行帳戶接管攻擊，向受害者提出可信的請(qǐng)求，或者設(shè)計(jì)出非常令人信服的社會(huì)工程方法。所以企業(yè)可適當(dāng)調(diào)整企業(yè)官網(wǎng)組織結(jié)構(gòu)圖及其他詳細(xì)信息的披露程度以避免企業(yè)管理者的個(gè)人信息落入黑客手中。

5.發(fā)票和財(cái)務(wù)交易協(xié)議

對(duì)于企業(yè)來說，建立一個(gè)堅(jiān)不可摧的業(yè)務(wù)標(biāo)準(zhǔn)和流程來處理發(fā)票和觸發(fā)財(cái)務(wù)交易也十分重要。這意味著將縱深防御應(yīng)用于整個(gè)企業(yè)的業(yè)務(wù)實(shí)踐，而不僅僅是網(wǎng)絡(luò)安全。任何臨時(shí)付款請(qǐng)求都必須在付款發(fā)出之前進(jìn)行正式審查。要求所有付款指令更改在批準(zhǔn)之前使用合法途徑進(jìn)行驗(yàn)證。此類強(qiáng)力政策可以消除攻擊者對(duì)員工實(shí)施社工攻擊施加的緊迫感和恐懼感，尤其是攻擊者冒充高管或上司提出異常請(qǐng)求時(shí)，這樣強(qiáng)制執(zhí)行的政策能夠保護(hù)嚴(yán)格按規(guī)章辦事的員工。

6.高風(fēng)險(xiǎn)變更和交易的帶外驗(yàn)證

對(duì)于發(fā)票和財(cái)務(wù)交易政策，企業(yè)應(yīng)特別注意如何驗(yàn)證和批準(zhǔn)高風(fēng)險(xiǎn)交易和財(cái)務(wù)賬戶變更。實(shí)施嚴(yán)格的財(cái)務(wù)交易和數(shù)據(jù)請(qǐng)求驗(yàn)證流程至關(guān)重要，這是抵御BEC攻擊的關(guān)鍵防御措施。企業(yè)為BEC設(shè)置后盾的一個(gè)重要方法是確保通過電子郵件觸發(fā)的任何高風(fēng)險(xiǎn)事件都通過某種帶外驗(yàn)證流程（可以是電話、通過安全系統(tǒng)或短信）進(jìn)行跟進(jìn)，切勿僅根據(jù)電子郵件請(qǐng)求更改付款/銀行詳細(xì)信息就進(jìn)行交易。將這些流程嵌入到日常運(yùn)營中可以形成強(qiáng)大的防御機(jī)制。

7.請(qǐng)求登記流程

由于來自外部欺騙電子郵件和內(nèi)部受損電子郵件來源的雙重威脅，企業(yè)想要預(yù)防BEC需要采取廣泛的策略。企業(yè)可對(duì)所有敏感信息交換和變更采用輔助方法進(jìn)行積極驗(yàn)證，包括收款人、銀行信息、應(yīng)收賬款和員工數(shù)據(jù)。該機(jī)制包括一個(gè)內(nèi)部安全的“請(qǐng)求寄存器”，可確保在任何信息交換或修改之前進(jìn)行積極驗(yàn)證。通過這一政策和方法，每個(gè)敏感請(qǐng)求都會(huì)在集中式系統(tǒng)中注冊(cè)，然后通過第二個(gè)因素獲得批準(zhǔn)，無論是電話、一次性密碼 (OTP) 還是硬件安全密鑰（例如FIDO2）。用戶經(jīng)過培訓(xùn)，可以在泄露信息或進(jìn)行更改之前通過此寄存器驗(yàn)證敏感請(qǐng)求。

8.開放式匯報(bào)機(jī)制

企業(yè)制定政策、文化和流程時(shí)需側(cè)重開放式匯報(bào)機(jī)制，讓員工能夠輕松報(bào)告異常請(qǐng)求事件，即使判斷錯(cuò)誤也無需擔(dān)心懲罰。重要的是要確保員工不怕報(bào)告可疑事件。報(bào)告得越早，就越容易解決，但害怕的員工可能不愿意承認(rèn)錯(cuò)誤。企業(yè)需要建立報(bào)告可疑事件的文檔步驟和機(jī)制，并嘗試獎(jiǎng)勵(lì)阻止錯(cuò)誤而不是懲罰錯(cuò)誤。這將有助于培養(yǎng)員工的防御思維和零信任心態(tài)。