如何防范商业电子邮件入侵（BEC）（一）

移动互联时代，Email仍然是重要的商务交流和沟通工具。不幸的是，由于电子邮件的易用性和便捷性，电子邮件诈骗广泛存在，有些攻击者会不惜一切代价来利用它。组织的安全负责人一直致力于阻止某些类型的诈骗或攻击，魔高一尺道高一丈，网络犯罪分子却始终提前一步。幸运的是，还是有一些步骤和方法可以让这些网络攻击者远离我们。

本文将分两次介绍什么是商业电子邮件入侵、它是如何发生的、为什么需要阻止它，以及如何检测和阻止这些类型的攻击。

什么是商业电子邮件入侵（BEC）？
商业电子邮件入侵 (BEC-Business Email Compromise) 是网络犯罪分子中常见的一种骗局，它以个人和企业为目标，试图获得他们的信任并将钱财从受害者的银行账户转移到欺诈性账户中。就经济损失而言，BEC攻击在所有具有财务损失的网络犯罪清单中名列前茅。平均而言，这些犯罪使公司损失达数十万美元。

多年来，这些攻击变得越来越复杂。现在攻击不再直接针对公司，而是针对：客户、供应商、人力资源部门、相关会计师、律师事务所、税务部门、ISP。

商业电子邮件入侵是如何发生的？
通常，BEC攻击将作为一种模拟技术发生，攻击者将依靠社会工程技术来欺骗人们。不幸的是，分析链接、电子邮件标头和元数据等传统威胁检测方法通常会忽略这些攻击策略。这使得BEC攻击难以预防，犯罪分子甚至不需要受害者领域的工具或专业知识来进行攻击。这一切都取决于攻击者的能力和动机。

BEC的类型
该类型的攻击BEC可能发生通常是以下情况：
1.CEO欺诈——攻击者冒充公司的高管或CEO，并与财务部门的员工取得联系。他们要求将资金转移到一个欺诈账户。
2.冒充律师——攻击者通过电话或电子邮件伪装成律师或法律代表。在这种情况下，攻击者的常见目标通常是较低级别的员工，他们可能不具备分辨欺诈性法律请求所需的知识或经验。
3.数据窃取——在这种情况下，HR人员是攻击者的目标。攻击者获取CEO或其他管理人员的个人信息，并将这些数据用于未来的攻击。
4.电子邮件帐户泄露——一名员工的电子邮件帐户被攻击者入侵，并被用于要求不同供应商付款，然后将钱转入攻击者的欺诈账户。
5.供应商电子邮件泄露——在这些情况下，与外国供应商合作的公司是常见的目标。攻击者冒充供应商提供虚假发票，然后这笔钱被转移到一个欺诈账户。
6.网络钓鱼/或电子邮件欺骗——攻击者通常通过使用合法电子邮件地址的细微变化（添加或省略一个字母）作为From、Sender和/或Reply-To标头来伪造发件人地址，以使受害者无法检测到。他们目的是让受害者相信假账户是真实的，并且可以收集有关该组织的数据或要求付款。

BEC的阶段
网络犯罪分子在尝试BEC攻击时会经历不同的阶段：

前期阶段：研究以确定目标
攻击者花费数周甚至数月时间从社交媒体、网站和暗网收集有关受害者的信息（姓名、职位、旅行计划、组织管理结构）。然后创建受害者（个人或组织）的个人资料。

ISP尤其容易受到这些类型的攻击，因为他们的客户众多，并且必须格外小心地对待他们的业务和客户。

第二阶段：设置攻击
BEC攻击之所以被认为是可信且合法的，是因为攻击者执行的活动包括冒充受信任的供应商、创建相似域、欺骗电子邮件地址或接管受害者领导或同事的合法帐户。

第三阶段：执行攻击
攻击可能发生在一封电子邮件里，具体取决于攻击者的彻底性。这种沟通策略通常包括紧迫性、说服力和权威性，以赢得受害者的信任。然后攻击者可以自由地向受害者提供电汇指令，以将款项支付到欺诈性账户中。

第四阶段：分散支付
一旦资金到达攻击者的账户，它就会被迅速收集并分散到多个账户中，以减少被检索和追溯的机会。此时，需要组织快速识别BEC攻击，否则可能无法收回资金。

为什么需要预防BEC
如前所述，如果不及时发现BEC攻击，受害者损失的钱款将无法再追回。与其在攻击发生后才采取行动，有用和具成本效益的事情之一是教育员工部署内部预防技术。关注前线员工，因为他们处于受到此类攻击的不利位置。