商业电子邮件攻击(BEC)诈骗犯正在利用一种针对投资者的新型攻击,该攻击可以获取比平均水平高7倍的利润。
在了解BEC具体手段之前,有必要先了解一下华尔街的投资策略。
当投资者买入一家公司的投资基金,如私募股权基金或房地产基金时,在公司提出资金需求之前,投资者可以将资金先保留在自己身边。这个协议可以让投资者把钱留在更有利可图的投资中赚取利息,而不是闲置在投资基金中。
当公司准备使用投资者的钱时,他们会发出正式的 "催款 "通知,要求投资者把约定的钱寄给他们。
BEC骗子瞄准华尔街
在电子邮件网络安全公司Agari的一份新报告中显示,BEC诈骗者现在已经开始以虚假的资金催收通知为诱饵进行诈骗,这些通知所诈骗得来的利润比BEC平均利润要大得多。
在新发的《2021年电子邮件欺诈和身份欺骗趋势》报告中,Agari指出,电汇BEC诈骗的平均利润额为72000美元。这些骗局是指攻击者冒充供应商,要求受害者向他们所持有的银行账户汇款。
而伪造的催款通知所获得的平均利润额为809,000美元,是普通BEC骗局的7倍!
BEC攻击者伪装成被投资的公司来向投资者发送邮件,要求其根据投资承诺转移资金。由于此类交易的性质,所要求的款项远远高于大多数电汇诈骗所要求的金额。
根据Agari的说法,这些攻击是由攻击者向已知的投资者的财务人员发送电子邮件引起的,要求他们为虚假的投资付款。
此外,Agari还表示,这些攻击者在攻击过程中并没有使用任何内部知识。他们的手法与常见的BEC攻击者别无二致。
BEC 的虚假催款通知书
专家表示,Agari所监测到的攻击是由电子邮件服务功能发出的,并且大部分来自于总部位于捷克的centrum.cz网络邮件提供商。而这些邮件的附件就是冒充催款通知书要求支付投资款项的文件。
虚假的催款通知书
一旦他们成功诱骗受害者转账,攻击者会迅速将钱转移到他们所控制的账户下,并且使用钱骡(指通过网络将通过不正当手段从一国得来的钱款和高价值货物转移到另一国)来取款,从而让银行没有办法把被骗资金还给受害者。
虽然电汇诈骗一直存在,但是针对不同的人群诈骗者会使用不同的攻击方式,并且获得更多的利润。
为了抵御BEC,公司和个人都必须增强电子邮件安全意识。
BEC防御建议
Agari针对此次事件提出相关BEC防御建议:
- 布置强大的反钓鱼邮件和电子邮件认证保护技术,来专门防御高级身份欺骗和品牌欺骗攻击。
- 建立处理外发支付请求的正式流程。尤其应注意支付信息与原始协议不一致的情况。切勿使用电子邮件中的联系方式,而是使用原始协议中的联系信息。
- 汇款时始终通过电话直接向投资公司确认请求和银行信息。
除了Agari提供的以上建议,还有一些可采取的建议:(可参考FreeBuf文章《DMARC:企业邮件信息泄漏应对之道》)
(1) 始终保持小于10 个的DNS查找记录
超过10个DNS查找记录则会让用户的SPF完全失效,甚至导致正常的邮件也无法认证成功。在这种情况下,如果将DMARC设置为“reject”,那么常规的电子邮件将无法发送。
(2) 确保传输中的电子邮件的TLS加密
尽管DMARC可以保护用户免受社会工程攻击和BEC的侵害,但仍然需要做好准备应对诸如中间人(MITM)之类的普遍存在的监视攻击。可以通过确保每次将电子邮件发送到用户的域时,在SMTP服务器之间协调通过TLS安全连接来完成。
(3) 使用BIMI提升邮件安全
借助BIMI(邮件识别的品牌指标)进行划分,帮助收件人更直观地在收件箱中识别对方身份,让企业邮件的安全性提升到一个新的水平。