企业电子邮件攻击 (BEC) 定义
企业电子邮件攻击 (BEC) 是一种网络犯罪,欺诈者使用电子邮件诱骗某人汇款或泄露机密公司信息。犯罪分子冒充受信任的人物,然后要求支付伪造票据或要求提供敏感数据以在其他骗局中使用。由于远程工作的增加,BEC 诈骗案件也在增加 - FBI 去年收到近 20,000 起 BEC 投诉。1
数据盗窃
有时,欺诈者会首先瞄准 HR 部门并盗取公司信息,如某人的计划或个人电话号码。然后就可以更容易地进行其他 BEC 欺诈,使其看起来更可信。
伪造账单
欺诈者冒充公司合作的合法供应商,然后通过电子邮件发送伪造票据,这些票据常常以假乱真。帐户编号可能只差错一位。或者他们可能会声称你的银行正在接受审查,要求你向另一家银行支付。
CEO 欺诈
欺诈者冒用或侵入 CEO 的电子邮件帐户,然后通过电子邮件向员工发送指令以通过电汇进行采购或汇款。欺诈者甚至可能要求员工购买礼品卡,然后索取序列号照片。
冒充律师
在这种欺诈中,攻击者在未授权的情况下可以访问律师事务所的电子邮件帐户。然后,他们通过电子邮件向客户发送账单或在线付款链接。虽然电子邮件地址是合法的,但银行账户不合法。
帐户盗取
欺诈者使用网络钓鱼或恶意软件手段获取财务员工电子邮件帐户(例如应收帐款经理)的访问权限。然后欺诈者通过电子邮件向公司的供应商发送伪造账单,要求支付到假的银行账户上。
BEC 欺诈如何运作?
下面介绍了 BEC 欺诈中发生的情况:
1. 欺诈者研究其目标并策划如何伪造目标身份。他们有时会伪造一个网站,或者甚至在其他国家/地区注册一个公司,公司名称与你的相同。
2. 欺诈者在获得访问权限后,就会监视电子邮件,搞清楚谁可能会转账或收款。他们还会观察对话模式和账单。
3. 在电子邮件对话期间,欺诈者通过冒用电子邮件域来冒充其中一方。(电子邮件地址可能会差错一两个字母或可能是“经由”其他域的错误电子邮件地址,例如经由 fabrikam.com 的 chris@contoso.com。)
4. 欺诈者尝试获取目标的信任,然后要钱、要礼品卡或信息。
企业电子邮件攻击的目标
任何人都可以成为 BEC 欺诈的目标。企业、政府、非营利组织和学校都是目标,尤其是以下角色:
1. 主管和领导,因为公司网站上经常会公示他们的详细信息,所以攻击者可以假装知道他们。
2. 财务员工,如财务总管和掌握银行账户明细、付款方式和帐户编号的应付帐款员工。
3. HR 经理,他们掌握了员工的各种记录,例如社会安全号码、税单、联系人信息和计划。
4. 新员工或初级员工,他们没有能力验证电子邮件发件人的合法性。
企业电子邮件攻击示例
示例 #1:支付紧急账单
假设你在公司的财务部们工作。你收到 CFO 发来的一封电子邮件,要求你紧急支付逾期未付账单,但实际上该邮件不是 CFO 发送的。或者欺诈者冒充你的维修公司或 Internet 提供商,然后通过电子邮件发送一个看似很真的账单。
示例 #2:你的电话号码是多少?
公司主管发邮件给你,例如“我需要你帮助处理一个紧急任务。把你的电话号码发给我,我给你发短信。” 发短信感觉比电子邮件更安全,更私密,因此欺诈者希望你向他们发送付款信息或其他敏感信息。这就称为“短信钓鱼”或通过短信钓鱼。
示例 #3:你的租用时间到期了
欺诈者获取房地产公司电子邮件的访问权限,然后找到正在进行的交易。他们会向客户发送电子邮件,例如“请查收下一年续订办公室的账单”或“请查看支付租用押金的链接。” 欺诈者近期使用这种方式从某人手里骗取了 50 多万美元。4
示例 #4:绝密收购
你的老板要求拿一笔预付金收购一家竞争公司。电子邮件注明“此事仅在你我之间知晓”,阻止你验证该要求的真实性。由于 M&A 细节在一切敲定之前常常处于保密状态,因此这种欺诈在开始时并不显得可疑。
预防 BEC 的技巧
遵循以下五种最佳做法,阻止企业电子邮件攻击:
使用安全的电子邮件解决方案
Office 365 等电子邮件应用可自动标记和删除可疑电子邮件并提示你发件人未经过验证。它们可以阻止某些发件人并将电子邮件报告为垃圾邮件。Defender for Office 365 增添了更多的 BEC 预防功能,例如高级钓鱼防护和可疑转发检测。
设置多重身份验证 (MFA)
启用要求使用验证码、PIN 或指纹以及密码登录的多重身份验证,确保电子邮件更难被盗。
教授员工如何识别警示
确保每个人都知道如何识别网络钓鱼链接、域和电子邮件地址不匹配以及其他危险标志。模拟 BEC 欺诈,让员工在欺诈发生时可以认出来。
设置安全默认值
管理员可以要求每个人使用 MFA、通过身份验证拒绝接受新的或有风险的访问以及在信息泄露时强制执行密码重置,通过这些方式来严格安全要求。
使用电子邮件身份验证工具
通过使用发件人策略框架 (SPF)、域密钥识别邮件 (DKIM) 和基于域的消息身份验证、报告和一致性 (DMARC) 验证发件人身份,增加电子邮件被假冒的难度。
采用安全支付平台
请考虑将电子邮件发送的账单改为专门设计用于验证付款的系统。
企业电子邮件攻击防护
使用 Microsoft Defender for Office 365 等可检测可疑电子邮件的解决方案帮助保护组织,这些解决方案可以:
1. 自动检查电子邮件身份验证标准、检测欺骗行为和发送电子邮件到隔离或垃圾邮件文件夹。
2. 使用 AI 为每个人的常规电子邮件模式建模,标记异常活动。
3. 按用户、域和邮箱配置电子邮件保护。
4. 使用威胁资源管理器调查威胁,查清受害目标,检测误报和找出欺诈者。
5. 使用欺骗智能中的高级算法检查域范围内的电子邮件模式并突出显示异常活动。
详细了解 Microsoft 安全
常见问题解答
-
向 FBI 的 Internet 犯罪投诉中心 (IC3) 提交投诉。将电子邮件标记为垃圾邮件或商业垃圾邮件,然后通过电子邮件提供程序报告该电子邮件。如果电子邮件没有该选项,请告知主管。
-
网络钓鱼仅仅是企业电子邮件攻击的一部分。BEC 是一种统称,这种攻击通常包含网络钓鱼、欺骗、模拟和伪造账单。
-
通过遵循以下电子邮件安全最佳做法可以保护企业电子邮件,例如使用安全的电子邮件提供程序、启用多重身份验证 (MFA)、选择使用强电子邮件密码并经常更改以及不在线分享个人详细信息。如果你是管理员,请考虑使用 Defender for Office 365 等电子邮件安全解决方案,配置安全设置和监视活动是否存在异常。
-
通过留意任何异常情况可以检测到 BEC 欺诈和诈骗,例如电子邮件在上班时间外发送、名称拼写错误、发件人电子邮件地址和回复地址不符、紧迫感、陌生链接和附件或者付款或账单信息改变。通过检查电子邮件帐户已删除的电子邮件和转发规则来了解帐户是否已泄露,也可以检测到 BEC 欺诈。如果电子邮件应用将某些电子邮件标记为可疑或未经过验证,则也可以作为检测 BEC 欺诈的另一种方式。
-
电子邮件欺骗是指伪造一个电子邮件地址,让它看起来像别人发送的电子邮件。欺骗电子邮件看起来很真实,但来自不起眼的其他域(经由 fabrikam.com 的 chris@contoso.com),或者具有细微的拼写错误 (chris@cont0so.com),或者完全来自其他域 (chris@fabrikam.com)。
1. FBI. “Internet Crime Report 2021.” Internet Crime Complaint Center. 2021.
2. Ganacharya, Tanmay. “Protecting against coronavirus themed phishing attacks.” Microsoft 安全博客。March 20, 2020.
3. Microsoft. “Digital Defense Report.” October 2021.
4. US Department of Justice. “Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer.” July 15, 2020.
关注 Microsoft 365