“商(shāng)務電(diàn)郵詐騙”的實施手法與防禦之道

發布日期:2017-10-12首頁 > 安全資(zī)訊

電(diàn)子郵件因其方便、快捷、成本低廉的特點,成爲企業之間進行商(shāng)務溝通的重要手段,商(shāng)務交易訂單、收據及彙款賬号等都可通過電(diàn)子郵件進行傳遞,尤其是與長期合作公司的跨國交易,由于時差、語言等因素,以電(diàn)子郵件爲主要溝通途徑,更是習以爲常的一(yī)件事。電(diàn)郵在商(shāng)業領域的廣泛應用也衍生(shēng)出以電(diàn)子郵件爲攻擊途徑的網絡詐騙攻擊手法——“商(shāng)務電(diàn)郵詐騙”(Business Email Compromise,BEC)。美國聯邦調查局(FBI)近日發布公告顯示,2017 上半年商(shāng)務電(diàn)郵詐騙已造成全球高達53億美元的經濟損失。

“商(shāng)務電(diàn)郵詐騙”的實施手法與防禦之道-E安全

什麽是“商(shāng)務電(diàn)郵詐騙”?

“商(shāng)務電(diàn)郵詐騙”(BEC)又(yòu)被稱作“老闆詐騙”(CEO Fraud)或“中(zhōng)間人詐騙”(Man in the Middle)。美國聯邦調查局旗下(xià)網絡犯罪申訴中(zhōng)心在網絡犯罪報告中(zhōng)指出,“商(shāng)務電(diàn)郵詐騙” 是一(yī)場複雜(zá)的網絡詐騙行爲,目标是經常執行電(diàn)彙付款的外(wài)國供貨商(shāng)或企業合作夥伴。主要透過社交工(gōng)程手法與入侵商(shāng)業電(diàn)子郵件帳戶等方式,進行未經授權的轉賬。實施“商(shāng)務電(diàn)郵詐騙”的攻擊者通過各種手段,其中(zhōng)包括社交媒體(tǐ)、公司網站介紹或黑客攻擊手段,弄到企業老闆的電(diàn)郵賬号,之後冒充老闆通過電(diàn)郵指示公司财務部電(diàn)彙項目款給某公司,而這個公司往往是詐騙團夥的同謀,他們得到付款後,立刻将這筆錢轉移到國外(wài)另一(yī)銀行賬戶。“商(shāng)務電(diàn)郵詐騙”一(yī)般分(fēn)爲以下(xià)四個實施階段:

階段1:确認目标

黑客從網絡上或通過其他途徑,搜集到各企業大(dà)老闆或企業窗口的聯系信息,以及各式相關信息。

階段2:潛伏觀察

黑客透過入侵或“釣魚”手法成功取得企業郵件登入賬号密碼,或透過惡意軟件側錄使得雙方通信内容一(yī)覽無遺,掌握公司财務對象、大(dà)老闆行程與交易信息,等待時機攻擊。

階段3:正式發動攻擊

在國内企業與國外(wài)廠商(shāng)交易快完成前,中(zhōng)斷廠商(shāng)之間的通訊,向是Reply-to的發件人至竄改的假冒E-mail,并假冒出口商(shāng)要求變更彙款賬号,或是假冒大(dà)老闆名義向公司會計要求彙款。

階段4:取走彙款

待企業上當彙款之後,将款項提領一(yī)空,或是再彙至第三個國家地區銀行或第四個國家地區銀行。
事實上,這類跨國商(shāng)務電(diàn)郵詐騙案,并不是今年才有的網絡犯罪手法,早在五六年前,就傳出不少企業遇害。或許你會說這跟多數網絡釣魚詐騙有何不同?事實上,“商(shāng)務電(diàn)郵詐騙”并非大(dà)規模寄送電(diàn)子郵件,這類手法同樣以電(diàn)子郵件爲攻擊途徑,但聚焦在跨國交易的來往過程,在入侵、潛伏觀察後,伺機而動,且冒用對象是以郵件溝通的企業合作夥伴,或是企業高層主管如CIO、CEO與CFO爲主,并發送郵件給相關負責人與财務經辦人員(yuán)。企業一(yī)旦遇害,損失金額爲幾十萬至上千萬元不等。的确,它就是一(yī)種針對性攻擊,也可能運用現行各種網絡安全威脅滲透至受害者計算機的手法,但接下(xià)來的方式,就是以冒用身份爲主。

快速識别“商(shāng)務電(diàn)郵詐騙”

“商(shāng)務電(diàn)郵詐騙”的僞裝性和欺騙性極強,如何快速識别這種網絡詐騙手法是預防的關鍵,以下(xià)是五類常見的“商(shāng)務電(diàn)郵詐騙”方式:

1、黑客假冒海外(wài)供貨商(shāng)以要求企業付款

網絡犯罪分(fēn)子假冒國外(wài)客戶E-mail,要求變更彙款賬号,導緻公司彙款至詐騙用賬戶。或者是假冒&&公司名義發送E-mail給國外(wài)客戶,導緻國外(wài)客戶彙款至詐騙用賬戶。

2、黑入企業高階主管的電(diàn)子郵件賬号,并假冒其名義要求企業内部的财務經理人彙款

網絡犯罪分(fēn)子假冒老闆E-mail,像是CEO、CIO、CFO,向公司會計要求需緊急處理某筆電(diàn)彙。

3、與客戶聯系的企業窗口電(diàn)子郵件賬号被駭,并假冒其名義要求供貨商(shāng)付款

網絡犯罪分(fēn)子竊取公司企業窗口甚至負責人電(diàn)子郵件,直接寄送僞造内容的信件,緻使對方彙款至詐騙用賬戶。

4、黑客假冒律師或事務所的代表,宣稱要處理緊急事件而要求彙款,可能選在工(gōng)作日的最後一(yī)天發信給受害者

5、同樣是駭入高層主管郵件賬号,假冒其名義發信給内部的人事或審計主管,要求彙整提供所有員(yuán)工(gōng)數據

攻擊者成功實施“商(shāng)務電(diàn)郵詐騙”的關鍵一(yī)步是竄改Email賬号,以下(xià)是幾類黑客慣常使用的Email賬号僞裝手法:

1、字形混淆變化

圖片.png

2、字符加減變化   

圖片.png

3、位置調換與直接假冒

   圖片.png

 

通常情況下(xià),網絡犯罪分(fēn)子都使用名稱非常相似的假電(diàn)子郵件賬号,例如将賬号中(zhōng)的英文字母“l”改成數字“1”,英文字母“o”改成數字“0”,甚至是英文字母“m”改成“rn”的方式。還有的手法是在賬号不顯眼處增減1字,或是将域名移到@前方來魚目混珠。使用者不論是在發信、回信時,可以多确認一(yī)下(xià)發件人的電(diàn)子信箱是否正常。另外(wài)也要提醒,也有黑客是攻入企業使用的電(diàn)子郵件系統,或盜取用戶賬号,由于對方是使用真正的郵件賬号發信,會更難防範。

有效防範“商(shāng)務電(diàn)郵詐騙”

有效的多層式防護對預防“商(shāng)務電(diàn)郵詐騙”極爲關鍵。電(diàn)子郵件和網站網關、端點裝置、網絡以及服務器,全都需要專屬的防護,而且要環環相扣才能發會效用和效率。大(dà)約 97% 的勒索病毒和網絡釣魚都能在網站和電(diàn)子郵件網關端攔截。過了網關之後,則可透過行爲監控、應用程序控管及漏洞防護來保護端點。此外(wài),還可借由流量掃描、橫向移動防範技術以及惡意軟件沙盒仿真分(fēn)析來保護網絡。同時,在網絡防護之上還可以再多加一(yī)層網站服務器防護來保護服務器。

“商(shāng)務電(diàn)郵詐騙”的實施手法與防禦之道-E安全

服務器是網絡犯罪集團的終極目标,不法分(fēn)子常利用服務器的組态設定錯誤、軟件漏洞,或是失竊的用戶賬号密碼、中(zhōng)間人攻擊以及橫向移動技巧來入侵服務器。歹徒一(yī)旦進入服務器,就能讀取、篡改或導出各種企業數據,包括:業務、财務或客戶資(zī)料。

最爲關鍵的是要認識到——人是最大(dà)的網絡安全漏洞。人的一(yī)切不符合網絡空間安全的行爲,都可能成爲網絡黑客攻擊的突破口。因此,企業除了需要提高自身網絡安全外(wài),還應深化員(yuán)工(gōng)的網絡安全意識。員(yuán)工(gōng)在不敢質疑或違背上級命令的情況下(xià),很容易被騙點選惡意的連結、開(kāi)啓受感染的附件檔案、将大(dà)筆款項彙入不法分(fēn)子的賬戶裏。因此員(yuán)工(gōng)教育很重要,但企業往往忽視了這一(yī)環節。網絡安全教育應該列入新進員(yuán)工(gōng)訓練項目之一(yī)。此外(wài),也可借由滲透測試來對員(yuán)工(gōng)進行網絡釣魚測驗。企業内應該建立起相應的網絡安全防護文化,所有員(yuán)工(gōng)都應了解自己在不法分(fēn)子實施網絡詐騙過程當中(zhōng)自身所扮演的重要角色。

随着移動網絡的快速演進、智能終端的日益普及、服務模式的叠代創新,網絡在給我(wǒ)們帶來生(shēng)活便利的同時,也帶來了非法入侵、網上竊密、網上欺詐、網上走私等新的危害,信息安全風險日益凸顯,網絡安全形勢愈加嚴峻。