别成爲那頭鲸魚:怎樣檢測BEC欺詐

發布日期:2017-11-08首頁 > 安全資(zī)訊

美國聯邦調查局2016年12月的數據顯示,網絡竊賊通過商(shāng)務電(diàn)郵入侵(BEC,也稱爲釣鲸郵件)欺詐手段,從2.4萬家公司盜取20億美元以上。


705-1G10Q60240143.jpg
 

罪犯可在無意幫兇(被誘騙提交電(diàn)彙請求的員(yuán)工(gōng))的協助下(xià)盜取錢财。從公司财務部門的角度看,該筆交易完全合法。甚至确認電(diàn)話(huà)或其他身份認證措施,也能聯系到确實提交了該電(diàn)彙請求的員(yuán)工(gōng)。

  騙局描述——欺詐犯也有做調查功課

BEC騙局至少有3種類型,但都從深度偵察開(kāi)始,了解既定受害者的關鍵信息,摸清他們的組織形式,知(zhī)曉該對誰下(xià)手才可以讓攻擊看起來盡可能可信。罪犯會嘗試入侵某員(yuán)工(gōng)的電(diàn)郵賬戶,看看能從中(zhōng)獲悉什麽,并核查公開(kāi)可用的信息。他們會找尋:

◆ 有關該公司的一(yī)般性信息,他們的業務領域和生(shēng)意往來對象;

◆ 公司管理人員(yuán)的姓名和職務;

◆ 管理組織架構:誰向誰彙報;

◆ 新融資(zī)輪的信息;

◆ 新産品、服務或專利的信息;

◆ 産品或地理擴張計劃;

◆ 旅行計劃。

一(yī)旦知(zhī)道了該冒充誰,該針對誰,哪些消息是最可信的,罪犯就建立了發送欺詐請求的方式方法。如果他們能入侵高管的電(diàn)郵賬戶,他們會控制郵件流以規避檢測。他們可能會設置收件箱規則,比如重定向或删除攻擊中(zhōng)的特定郵件,防止該賬戶合法用戶看到這些郵件。或者,他們可以編輯“回複”地址,将對欺詐相關郵件的回複,重定向到罪犯設置的電(diàn)郵地址。

如果沒能黑掉高管的電(diàn)郵賬戶,他們會創建一(yī)個看起來很像的域名,比如:

◆ 字母順序調換:

…@companyABDC.com和…@companyABCD.com

◆ 用下(xià)劃線替代連字符:

…@company_name.com 和 …@company-name.com

◆ 用“m” 換掉“r”和“n”

既然欺詐犯知(zhī)道該向誰以何種方式說些什麽,我(wǒ)們可以來看看以下(xià)幾種特定攻擊案例:

  例 1:來自公司高管的郵件

1. 罪犯入侵或假冒公司某高管的電(diàn)子郵件賬戶,比如說首席财務官(CFO)的。

2. 罪犯從被黑高管賬戶,向負責處理彙款事宜的下(xià)級雇員(yuán),比如主管會計,發送電(diàn)彙要求。

3. 主管會計根據其“老闆”的指示,提交電(diàn)彙支付請求。

此類案例的另一(yī)個版本,從僞造CEO發往CFO的虛假郵件開(kāi)始。罪犯使用CFO的被黑郵箱,轉發虛假CEO郵件給主管會計,請他/她按照CEO的“要求”進行彙款,給彙款請求加上緊迫性和合法性。

  例 2:通過欺騙性電(diàn)郵地址發來的供應商(shāng)/商(shāng)業合作夥伴發票(piào)

1. 詐騙犯黑掉目标公司所雇業務用戶的電(diàn)郵賬戶,比如說,應付賬款部的某人。

2. 罪犯監視該業務用戶的郵件,尋找供應商(shāng)發票(piào)。

3. 罪犯找到合法發票(piào)并修改收款人明細,比如修改款項應發到的銀行識别代碼和賬号。

4. 罪犯假冒該供應商(shāng)電(diàn)郵提交被修改過的發票(piào)。這一(yī)步不需要入侵該供應商(shāng)的郵件系統,從一(yī)個長得很像該供應商(shāng)電(diàn)郵域名的郵箱發送即可。(參見前文示例)

5. 郵件中(zhōng)解釋稱他們(該供應商(shāng))更新了自己的支付過程,也就解釋了爲什麽會有新賬戶信息。

6. 應付賬款部确認供應商(shāng)名稱和所提供服務,處理發票(piào),提交電(diàn)彙支付請求。

  例 3:關于公司并購的律師來郵

1. 财務部收到冒充CEO讨論機密公司并購案的罪犯來郵。郵件強調該交易的敏感屬性,讓雇員(yuán)感到能被CEO拉進該機密行動圈子是很特别的事。

2. 郵件解釋稱,負責該并購案的律師将跟進下(xià)達電(diàn)彙指示。

3. 罪犯以那名所謂律師的身份,通過郵件或電(diàn)話(huà)的形式,如那封來自CEO的郵件所言,跟進指示電(diàn)彙支付事宜。

4. 财務部提交電(diàn)彙支付請求。

這些騙局依賴似乎完全合法的電(diàn)郵要求運轉,這些要求要麽來自真實電(diàn)子郵件賬戶,要麽來自非最嚴苛的審查不能發現差異的類似賬戶。

FBI警告稱,此類電(diàn)彙轉賬要求措辭得當,特定于具體(tǐ)業務,不會引起對彙款要求合法性的懷疑。以往那種充斥語法和拼寫錯誤,或者場景描述極端不真實的拙劣詐騙,已經絕迹于江湖了。

  怎樣檢測BEC欺詐中(zhōng)的可疑電(diàn)彙要求

BEC欺詐中(zhōng)提交的虛假支付請求還是有幾種檢測技巧的:

1. 新建郵件,并在收件人欄填入高管的已知(zhī)郵件地址,向高管确認彙款要求;不要回複可疑郵件,因爲很可能會回到罪犯郵箱。如果覺得這麽做有點傻,不妨問問自己:“是願意詢問一(yī)下(xià)CEO或CFO,确認電(diàn)彙要求真實性;還是願意不得不告訴他們你剛剛給詐騙犯彙了筆款?”

2. 欺詐郵件通常措辭相似,要求保密和便利。可以設置電(diàn)子郵件網關标紅關鍵詞,比如“支付”、“緊急”、“敏感”或“秘密”。

3. 盡管BEC中(zhōng)所用後期郵件可能不含有惡意軟件、前期入侵雇員(yuán)郵箱的部分(fēn)卻往往用到惡意代碼,因此,請确保你有個有效的惡意軟件檢測解決方案。

4. 注冊與真實公司域名略有差異的所有域名。

5. 仔細審查所有涉及資(zī)金轉賬請求的電(diàn)子郵件,确定這些請求是否超出正常範圍。了解你客戶的習慣,包括支付細節、支付原因和支付數額。