BEC詐騙犯已瞄準(zhǔn)華爾街,如何防御電匯詐騙需重視
商業(yè)電子郵件攻擊(BEC)詐騙犯正在利用一種針對(duì)投資者的新型攻擊,該攻擊可以獲取比平均水平高7倍的利潤(rùn)。
在了解BEC具體手段之前,有必要先了解一下華爾街的投資策略。
當(dāng)投資者買(mǎi)入一家公司的投資基金,如私募股權(quán)基金或房地產(chǎn)基金時(shí),在公司提出資金需求之前,投資者可以將資金先保留在自己身邊。這個(gè)協(xié)議可以讓投資者把錢(qián)留在更有利可圖的投資中賺取利息,而不是閑置在投資基金中。
當(dāng)公司準(zhǔn)備使用投資者的錢(qián)時(shí),他們會(huì)發(fā)出正式的 "催款 "通知,要求投資者把約定的錢(qián)寄給他們。
BEC騙子瞄準(zhǔn)華爾街
在電子郵件網(wǎng)絡(luò)安全公司Agari的一份新報(bào)告中顯示,BEC詐騙者現(xiàn)在已經(jīng)開(kāi)始以虛假的資金催收通知為誘餌進(jìn)行詐騙,這些通知所詐騙得來(lái)的利潤(rùn)比BEC平均利潤(rùn)要大得多。
在新發(fā)的《2021年電子郵件欺詐和身份欺騙趨勢(shì)》報(bào)告中,Agari指出,電匯BEC詐騙的平均利潤(rùn)額為72000美元。這些騙局是指攻擊者冒充供應(yīng)商,要求受害者向他們所持有的銀行賬戶匯款。
而偽造的催款通知所獲得的平均利潤(rùn)額為809,000美元,是普通BEC騙局的7倍!
BEC攻擊者偽裝成被投資的公司來(lái)向投資者發(fā)送郵件,要求其根據(jù)投資承諾轉(zhuǎn)移資金。由于此類交易的性質(zhì),所要求的款項(xiàng)遠(yuǎn)遠(yuǎn)高于大多數(shù)電匯詐騙所要求的金額。
根據(jù)Agari的說(shuō)法,這些攻擊是由攻擊者向已知的投資者的財(cái)務(wù)人員發(fā)送電子郵件引起的,要求他們?yōu)樘摷俚耐顿Y付款。
此外,Agari還表示,這些攻擊者在攻擊過(guò)程中并沒(méi)有使用任何內(nèi)部知識(shí)。他們的手法與常見(jiàn)的BEC攻擊者別無(wú)二致。
BEC 的虛假催款通知書(shū)
專家表示,Agari所監(jiān)測(cè)到的攻擊是由電子郵件服務(wù)功能發(fā)出的,并且大部分來(lái)自于總部位于捷克的centrum.cz網(wǎng)絡(luò)郵件提供商。而這些郵件的附件就是冒充催款通知書(shū)要求支付投資款項(xiàng)的文件。
虛假的催款通知書(shū)
一旦他們成功誘騙受害者轉(zhuǎn)賬,攻擊者會(huì)迅速將錢(qián)轉(zhuǎn)移到他們所控制的賬戶下,并且使用錢(qián)騾(指通過(guò)網(wǎng)絡(luò)將通過(guò)不正當(dāng)手段從一國(guó)得來(lái)的錢(qián)款和高價(jià)值貨物轉(zhuǎn)移到另一國(guó))來(lái)取款,從而讓銀行沒(méi)有辦法把被騙資金還給受害者。
雖然電匯詐騙一直存在,但是針對(duì)不同的人群詐騙者會(huì)使用不同的攻擊方式,并且獲得更多的利潤(rùn)。
為了抵御BEC,公司和個(gè)人都必須增強(qiáng)電子郵件安全意識(shí)。
BEC防御建議
Agari針對(duì)此次事件提出相關(guān)BEC防御建議:
- 布置強(qiáng)大的反釣魚(yú)郵件和電子郵件認(rèn)證保護(hù)技術(shù),來(lái)專門(mén)防御高級(jí)身份欺騙和品牌欺騙攻擊。
- 建立處理外發(fā)支付請(qǐng)求的正式流程。尤其應(yīng)注意支付信息與原始協(xié)議不一致的情況。切勿使用電子郵件中的聯(lián)系方式,而是使用原始協(xié)議中的聯(lián)系信息。
- 匯款時(shí)始終通過(guò)電話直接向投資公司確認(rèn)請(qǐng)求和銀行信息。
除了Agari提供的以上建議,還有一些可采取的建議:(可參考FreeBuf文章《DMARC:企業(yè)郵件信息泄漏應(yīng)對(duì)之道》)
(1) 始終保持小于10 個(gè)的DNS查找記錄
超過(guò)10個(gè)DNS查找記錄則會(huì)讓用戶的SPF完全失效,甚至導(dǎo)致正常的郵件也無(wú)法認(rèn)證成功。在這種情況下,如果將DMARC設(shè)置為“reject”,那么常規(guī)的電子郵件將無(wú)法發(fā)送。
(2) 確保傳輸中的電子郵件的TLS加密
盡管DMARC可以保護(hù)用戶免受社會(huì)工程攻擊和BEC的侵害,但仍然需要做好準(zhǔn)備應(yīng)對(duì)諸如中間人(MITM)之類的普遍存在的監(jiān)視攻擊。可以通過(guò)確保每次將電子郵件發(fā)送到用戶的域時(shí),在SMTP服務(wù)器之間協(xié)調(diào)通過(guò)TLS安全連接來(lái)完成。
(3) 使用BIMI提升郵件安全
借助BIMI(郵件識(shí)別的品牌指標(biāo))進(jìn)行劃分,幫助收件人更直觀地在收件箱中識(shí)別對(duì)方身份,讓企業(yè)郵件的安全性提升到一個(gè)新的水平。
來(lái)源:bleepingcomputer
