近年來，商業郵件欺詐 (Business Email Compromise, BEC)攻擊在流行性和創新性方面都得到了發展。BEC 欺詐各不相同，但它們一般都有一個共同點，就是瞄準那些擁有金融控制權的工作人員(無論其是在大型或小型組織中)，然后對其實施有針對性的魚叉式網絡釣魚攻擊。最常使用的手段就是電子郵件賬戶接管或欺騙，欺詐者會冒充目標的同事或老板，有時候還會冒充 CEO、供應商甚至是另一個部門中職位很高的人。

BEC攻擊非常容易成功，因為欺詐者通常會謹慎選擇攻擊目標，例如可靠的業務合作伙伴或公司的CEO。2018年FBI報告稱，公司商業因BEC攻擊而損失的資金，高達30億美元以上。另外， BEC攻擊也越來越復雜，其目的就是利用關鍵主管人員對公司資源的更廣泛訪問以及更大的支付權限。

然后，攻擊者會試圖說服受害者將資金轉移給他們，或是更改現有金融交易中的細節來使自己受益。根據 Proofpoint在2019年的一份研究報告，在 2018 年第四季度中，每家目標組織遭遇的 BEC 攻擊數量同比增長了 476%。與此同時，Mimecast 也在其發布的《2019年電子郵件安全年度報告》中指出，假冒和 BBEC 攻擊增長了67%，且其中 73% 的受害組織遭受了直接損失。

與勒索軟件相比，商業郵件欺詐在每次攻擊中的凈收益至少高出17倍。因為 BEC 攻擊所造成的傷害并不是系統攻擊、停機或是生產力損失。相反地，它帶來的都是直接的損失。

從技術層面來講，商業郵件欺詐是一種相對技術含量較低的金融欺詐，可為詐騙者帶來高回報，而風險卻最小。在這篇文章中，我們將研究商業電子郵件攻擊騙局的工作原理，以及預防措施。

商業電子郵件攻擊的危害有多嚴重?

商業電子郵件攻擊是2019年互聯網犯罪領域內，造成財務損失最大的攻擊，并且這個趨勢還在增加。FBI的統計數據顯示，平均來看，勒索軟件造成的損失在每次事件中約為4400美元，在整個2019年總計約為900萬美元。相比之下，BEC造成的損失約為勒索軟件造成損失的17倍，每次事件約為75000美元，總財務損失超過17億美元。

FBI在2019年記錄的因互聯網犯罪造成的所有財務損失(總計約35億美元)中，BEC約占總損失的50%。

什么是商業電子郵件攻擊?

商業電子郵件攻擊準確地說是一種欺詐行為，總的來說，在這種欺詐中，攻擊者會誘騙第三方向自己轉賬。

郵件攻擊首先是攻擊或欺騙能夠授權其他員工(例如財務或應付賬款員工)進行轉賬的高管或高級經理的電子郵件帳戶。

騙局的第一部分通常涉及有針對性的網絡釣魚(又稱魚叉式網絡釣魚)攻擊或通過鍵盤記錄程序進行的憑證盜竊。例如，C-Suite高管可能會受到網絡釣魚攻擊的攻擊，該攻擊會安裝遠程訪問木馬(RAT)來收集憑據和其他有用的業務信息。

之后，該帳戶將用于指示其他員工完成來自假冒供應商的轉賬請求。例如，C-Suite高管的欺騙或劫持帳戶可用于發送內部電子郵件，內容類似于以下內容：

由于攻擊者需要說服受害者通過轉賬請求，因此其中必然要用到社會工程。另外，另外，還可以使用社交工程來竊取密碼并攻擊或欺騙最初的帳戶。

如何緩解BEC?

如上所述，商業電子郵件攻擊的完成必須具備三個相互關聯的因素：電子郵件、人員和轉賬。

1. 確認轉賬

綜上所述，你的公司應該始終通過電子郵件以外的其他方式來確認轉賬請求，比如通過電話或通過已知的合法公司號碼(電子郵件中未提供)或工作中常用的聊天軟件(例如Slack)，不過最好的還是面對面驗證轉賬請求。

理想情況下，你的公司應該制定一個政策，對轉賬進行二次確認，這樣就更安全了。另外，要求不要通過電子郵件以外的其他任何方式發起的轉賬請求(電子郵件本身幾乎不是一種保密的交流方式)應引起你的懷疑。

2. 啟用多重身份驗證

保護你的用戶的電子郵件帳戶不受攻擊也應該是你的優先事項，雖然不完美，雙因素認證(2FA)和多因子身份驗證(MFA)將防止到目前為止的大多數帳戶接管企圖。在某些用例中，Yubikey(一個小型的USB設備)等硬件安全密鑰值得考慮一下。

3. 如何檢測惡意電子郵件

免遭惡意電子郵件攻擊的策略是防御策略的第三個也是絕對至關重要的一部分，長期以來，電子郵件一直是攻擊者最愛用的攻擊媒介。據估計，80%到95%的商業郵件攻擊都是通過電子郵件傳播的，所以這絕對是你需要集中精力的地方。

攻擊者除了使用電子郵件的實際文本內容來進行詐騙之外，與電子郵件相關的還有兩個主要的技術風險：惡意附件和鏈接。

(1) 緩解惡意附件的策略

在商業電子郵件攻擊中，攻擊者可能會使用附件來運行可執行代碼，這些代碼可能會安裝一個RAT病毒，以便安裝鍵盤記錄程序、后門和其他利用后工具來幫助竊取憑證和有用的數據，如聯系人和以前的電子郵件通信。BEC的攻擊者通常會花一些時間來分析他們的受害者，以便盡可能地寫出令人信服的內容，從而讓社會工程成功發揮作用。因此，查看防止附件執行代碼的一系列選項非常重要。

附件過濾可以用多種方式來幫助緩解代碼執行，例如，電子郵件掃描軟件可以用來改變附件的文件格式，使它們不能執行隱藏的代碼。

盡管這可能在一定程度上是有效的，但是它也具有以下缺點：它可能會阻止用戶使用需要以其原始格式進行編輯或返回的文檔來執行普通業務任務。鑒于這種影響，用戶可能會非常排斥這種預防方式。

更好的解決方案將涉及內容撤防和重建(content disarm and reconstruction ，CDR)，以解構附件并刪除有害內容。這樣做的好處是既高效預防又能滿足用戶的普通業務處理需要，因為該過程在用戶級是透明的。

(2) 處理宏、壓縮文件和白名單

禁用或限制宏也是一個明智的主意，因為許多攻擊都利用Microsoft Office的VBA腳本語言調用C2服務器并下載惡意載荷。

另外，請確保你的電子郵件掃描軟件可以正確處理壓縮文件。如果壓縮文件沒有完全解壓縮文件，則可以繞過某些不復雜的掃描引擎。眾所周知，攻擊者會將壓縮文件附加到其他文件(例如映像)上，而一些安全軟件可能會忽略這一點。

另外，小心或避免使用擴展白名單文件，因為攻擊者會通過使用不可執行的文件擴展名重命名可執行文件來繞過此類白名單規則。如果必須將附件列入白名單，至少要使用一種策略，即通過文件輸入(掃描文件以檢查其格式)白名單，以避免最簡單的繞過。

(3) 處理鏈接并驗證發件人

對于包含惡意鏈接的電子郵件，一些組織使用的一種緩解策略是取消電子郵件中的超鏈接，使其無法點擊。這迫使用戶將鏈接復制并粘貼到瀏覽器中，這是一個有意識處理鏈接的過程，為用戶提供了暫停和考慮他們在做什么的機會。

但是，問題再次在于，每當安全性影響生產效率和便利性時，你都會遇到用戶的抵制。這種安全措施有兩個缺點，既不方便，也容易出錯，因為引入延遲仍然不能保證用戶不會訪問鏈接，所以請謹慎執行此策略。

處理電子郵件時要考慮的另一個因素是驗證發件人，比如通過DMARC和SPF/DKIM驗證。這些技術可以幫助標記出偽造的發送者身份。但當該帳戶屬于某個組織的合法成員，但已被攻擊者攻擊時，該措施可能沒有幫助。

SPF：校驗發件端IP地址，防止郵件詐騙。DKIM：校驗郵件簽名信息，防止郵件詐騙和郵件反向散射。MDARC：基于SPF/DKIM，按照真實發件端的聲明進行真實性驗證及異常報告。

DMARC(Domain-based Message Authentication, Reporting & Conformance)是txt記錄中的一種，是一種基于現有的SPF和DKIM協議的可擴展電子郵件認證協議，其核心思想是郵件的發送方通過特定方式(DNS)公開表明自己會用到的發件服務器(SPF)、并對發出的郵件內容進行簽名(DKIM)，而郵件的接收方則檢查收到的郵件是否來自發送方授權過的服務器并核對簽名是否有效。對于未通過前述檢查的郵件，接收方則按照發送方指定的策略進行處理，如直接投入垃圾箱或拒收。從而有效識別并攔截欺詐郵件和釣魚郵件，保障用戶個人信息安全。

最后，通過使用一個AI驅動的安全解決方案來武裝你的使用終端，確保你使用的設備終端不受惡意附件和惡意鏈接的影響，該安全解決方案可以在惡意代碼試圖執行時檢測并阻止它，而不管它的來源是什么：文件或無文件、鏈接或宏。

總結

驗證轉賬并啟用多因素身份驗證是一種簡單有效的方法，可以防止詐騙者進行商業電子郵件攻擊的意圖。最重要的是，分層的縱深防御方法也是一直一種實用性的防御技術。

不過防御商業電子郵件攻擊的最薄弱環節，還是那些追求工作效率的員工，有時為了工作效率，員工會犧牲安全性。