警惕!新冠疫情期间BEC电子邮件诈骗手法升级

2022-04-22 23:08:17 管理员 731

据《E安全》4月14日报道的《美国联邦调查局2021年互联网犯罪报告》显示:2021年,美国遭遇了前所未有的网络攻击和恶意网络活动。这些网络攻击损害了众多商业领域的企业和美国公众的利益。联邦调查局的互联网犯罪投诉中心(IC3)为美国公众提供了直接向联邦调查局报告网络犯罪的渠道。2021年,IC3共收到847376起投诉,同比增长7%,损失超过69亿美元。这其中,涉及最多的领域是勒索软件、商业电子邮件诈骗(BEC)计划和加密货币犯罪。其中商业电子邮件泄露(BEC)诈骗犯罪的投诉为19954起,总体损失约24亿美元。



IC3

美国联邦调查局是一个以情报为导向、以威胁为重点的国家安全机构,负有情报和执法的责任,致力于保护其国民免受恐怖主义、间谍活动、网络攻击和重大犯罪威胁,并以信息、服务、支持、培训和领导能力支持其合作伙伴。IC3作为一个收集网络和互联网犯罪情报的组织,就是为这些需求服务的,确保领先于各种威胁。


IC3成立于2000年5月,自成立以来已收到超过650万份与互联网有关的犯罪投诉。IC3为公众提供一个方便又可靠的报告机制,向联邦调查局提交网络犯罪活动相关的信息,并与执法部门和行业伙伴建立有效的联盟,以帮助那些举报者。对信息进行分析和传播是为了执法以及提高公众的相关意识。


IC3对数据进行汇总,并编制了年度报告,使公众了解相关的趋势并提高意识,通过分析数据来确定网络犯罪的趋势以及对公众的影响。


BEC/EAC诈骗手法升级

2021年,IC3收到了19954起商业电子邮件诈骗(BEC)/电子邮件帐户泄露(EAC)投诉,调整后损失近24亿美元。BEC/EAC是一个复杂的骗局,其目标是进行资金转移的企业和个人。这种骗局经常在当事人通过社会工程或计算机入侵技术破坏合法的商业电子邮件账户,以进行未经授权的资金转移时发生。


随着欺诈者变得更加狡猾以及预防措施更加到位,BEC/EAC计划也在不断地发生变化。该计划从简单的黑客攻击或欺骗企业和个人电子邮件账户,向欺诈性银行账户发送电汇付款演变而来。以往这些计划涉及泄露供应商电子邮件、要求提供W-2信息、针对房地产行业,以及欺诈性地索要大量礼券。现在,欺诈者利用虚拟会议平台入侵电子邮件,伪造商业领袖的证件,发起欺诈性的电汇。这些欺诈性电汇通常会立即转移到加密货币钱包,并迅速传播,使恢复工作变得更加困难。


新冠疫情和线下会议的局限性使得远程工作或虚拟交流实践有所增加。这些工作和通信实践一直持续到了2021年,IC3观察到有新的BEC/EAC计划出现,这些计划利用人们对虚拟会议的依赖来指示受害者发送欺诈性电汇。欺诈者泄露雇主或财务总监(如CEO或CFO)的电子邮件,并利用这些电子邮件请求员工加入虚拟会议平台。在会议中,欺诈者会插入一张首席执行官的静态图片或者一段“非常假”的音频,以企业主管的身份称员工的音频/视频无法正常显示。然后,欺诈者将利用虚拟会议平台直接指示员工发起电汇,或使用高管被泄露的电子邮件提供电汇指示。


IC3对BEC受害者的指导

一旦发现欺诈行为,立即联系金融机构,要求撤回或撤销,并出具无害保证书或赔偿保证书。


向www.ic3.gov提交详细投诉。投诉中应包含所有必需的数据,包括银行信息。


访问www.ic3.gov,获取有关BEC趋势以及其他针对特定人群的欺诈计划的最新PSAs,例如针对房地产、预付卡和W-2的趋势。


在未与预期收件人核实的情况下,不要更改任何付款;在手机或其他移动设备上检查电子邮件时,请确认电子邮件地址的准确性。


如何防范BEC商业电子邮件诈骗

BEC骗局已经流行30多年,是一种典型的利用社交工程的邮件诈骗行为。在国内诈骗者会同时借助微信、QQ等各种即时通讯工具,通过伪装的QQ、微信群等同步来仿冒老板向财务人员下达付款指示,增加邮件诈骗的可行性;在国外已经发展到上文所说的通过虚拟会议指示的高级手法,让受骗者难以识别真假


网际思安作为邮件安全领域专业厂商以及邮件统一威胁防御理念的发起者,建议企业级用户应从技术与管理两个方面建立BEC防范机制:

一、技术方面

1、诈骗邮件检测告警:在邮件安全网关上通过设置规则,检测到如“紧急”、“付款”、“个税”、“合同”、“发票”、“收据”、“账单”等邮件内容关键字或含有可疑URL的邮件,可以通过邮件主题标记【可疑】、【高危】等警示信息,提醒员工对邮件内容进行甄别不要轻信。


2、完善发件人身份验证机制:开启包括SPF、DKIM、DMARC等在内的DNS技术来验证发件人域名信誉度;开启防发件人伪造攻击功能。

图1. MailSec防御BEC仿冒诈骗邮件示意图


3、利用机器学习和AI技术识别BEC定向攻击行为,通过URL沙箱技术对恶意URL进行隔离或替换,通过RBI(远程浏览隔离)技术生成URL安全镜像页面,通过AI病毒查杀引擎有效识别已知病毒和未知高级恶意威胁程序,对包括勒索病毒和APT攻击行为特征的邮件进行有效防御。


二、管理方面

1、建立严格的汇款审批流程:

完善财务制度,在收到汇款请求的邮件时,验证发票、供应商信息、付款信息等的真实性,尽量通过电话等其他方式再次确认付款信息。

2、实施全面的安全意识培训计划:

(1)定期开展钓鱼邮件演练服务,对安全意识淡薄的员工和财务、采购等特别部门员工,要重点组织钓鱼、诈骗邮件安全培训,告知员工在任何情况下都不要回复有潜在风险的电子邮件。

(2)要求员工定期更改密码、提升密码强度,避免邮箱账号被盗后攻击者通过内部邮箱发送钓鱼诈骗邮件。

(3)坚持统、长期的安全培训,提升员工识别假冒邮件的能力,要求员工养成良好的网络社交工具使用习惯