别成为那头鲸鱼：怎样检测BEC欺诈

美国联邦调查局2016年12月的数据显示，网络窃贼通过商务电邮入侵(BEC，也称为钓鲸邮件)欺诈手段，从2.4万家公司盗取20亿美元以上。

[[209166]]

罪犯可在无意帮凶(被诱骗提交电汇请求的员工)的协助下盗取钱财。从公司财务部门的角度看，该笔交易完全合法。甚至确认电话或其他身份认证措施，也能联系到确实提交了该电汇请求的员工。

骗局描述——欺诈犯也有做调查功课

BEC骗局至少有3种类型，但都从深度侦察开始，了解既定受害者的关键信息，摸清他们的组织形式，知晓该对谁下手才可以让攻击看起来尽可能可信。罪犯会尝试入侵某员工的电邮账户，看看能从中获悉什么，并核查公开可用的信息。他们会找寻：

• 有关该公司的一般性信息，他们的业务领域和生意往来对象;
• 公司管理人员的姓名和职务;
• 管理组织架构：谁向谁汇报;
• 新融资轮的信息;
• 新产品、服务或专利的信息;
• 产品或地理扩张计划;
• 旅行计划。

一旦知道了该冒充谁，该针对谁，哪些消息是最可信的，罪犯就建立了发送欺诈请求的方式方法。如果他们能入侵高管的电邮账户，他们会控制邮件流以规避检测。他们可能会设置收件箱规则，比如重定向或删除攻击中的特定邮件，防止该账户合法用户看到这些邮件。或者，他们可以编辑“回复”地址，将对欺诈相关邮件的回复，重定向到罪犯设置的电邮地址。

如果没能黑掉高管的电邮账户，他们会创建一个看起来很像的域名，比如：

• 字母顺序调换：…@companyABDC.com和…@companyABCD.com
• 用下划线替代连字符：…@company_name.com 和 …@company-name.com
• 用“m” 换掉“r”和“n”

既然欺诈犯知道该向谁以何种方式说些什么，我们可以来看看以下几种特定攻击案例：

例 1：来自公司高管的邮件

1. 罪犯入侵或假冒公司某高管的电子邮件账户，比如说首席财务官(CFO)的。
2. 罪犯从被黑高管账户，向负责处理汇款事宜的下级雇员，比如主管会计，发送电汇要求。
3. 主管会计根据其“老板”的指示，提交电汇支付请求。

此类案例的另一个版本，从伪造CEO发往CFO的虚假邮件开始。罪犯使用CFO的被黑邮箱，转发虚假CEO邮件给主管会计，请他/她按照CEO的“要求”进行汇款，给汇款请求加上紧迫性和合法性。

例 2：通过欺骗性电邮地址发来的供应商/商业合作伙伴发票

1. 诈骗犯黑掉目标公司所雇业务用户的电邮账户，比如说，应付账款部的某人。
2. 罪犯监视该业务用户的邮件，寻找供应商发票。
3. 罪犯找到合法发票并修改收款人明细，比如修改款项应发到的银行识别代码和账号。
4. 罪犯假冒该供应商电邮提交被修改过的发票。这一步不需要入侵该供应商的邮件系统，从一个长得很像该供应商电邮域名的邮箱发送即可。(参见前文示例)
5. 邮件中解释称他们(该供应商)更新了自己的支付过程，也就解释了为什么会有新账户信息。
6. 应付账款部确认供应商名称和所提供服务，处理发票，提交电汇支付请求。

例 3：关于公司并购的律师来邮

1. 财务部收到冒充CEO讨论机密公司并购案的罪犯来邮。邮件强调该交易的敏感属性，让雇员感到能被CEO拉进该机密行动圈子是很特别的事。
2. 邮件解释称，负责该并购案的律师将跟进下达电汇指示。
3. 罪犯以那名所谓律师的身份，通过邮件或电话的形式，如那封来自CEO的邮件所言，跟进指示电汇支付事宜。
4. 财务部提交电汇支付请求。

这些骗局依赖似乎完全合法的电邮要求运转，这些要求要么来自真实电子邮件账户，要么来自非最严苛的审查不能发现差异的类似账户。

FBI警告称，此类电汇转账要求措辞得当，特定于具体业务，不会引起对汇款要求合法性的怀疑。以往那种充斥语法和拼写错误，或者场景描述极端不真实的拙劣诈骗，已经绝迹于江湖了。

怎样检测BEC欺诈中的可疑电汇要求

BEC欺诈中提交的虚假支付请求还是有几种检测技巧的：

1. 新建邮件，并在收件人栏填入高管的已知邮件地址，向高管确认汇款要求;不要回复可疑邮件，因为很可能会回到罪犯邮箱。如果觉得这么做有点傻，不妨问问自己：“是愿意询问一下CEO或CFO，确认电汇要求真实性;还是愿意不得不告诉他们你刚刚给诈骗犯汇了笔款?”
2. 欺诈邮件通常措辞相似，要求保密和便利。可以设置电子邮件网关标红关键词，比如“支付”、“紧急”、“敏感”或“秘密”。
3. 尽管BEC中所用后期邮件可能不含有恶意软件、前期入侵雇员邮箱的部分却往往用到恶意代码，因此，请确保你有个有效的恶意软件检测解决方案。
4. 注册与真实公司域名略有差异的所有域名。
5. 仔细审查所有涉及资金转账请求的电子邮件，确定这些请求是否超出正常范围。了解你客户的习惯，包括支付细节、支付原因和支付数额。