商业电子邮件攻击5年间涉及430亿美元

联邦调查局日前发出警告声称，在2016年6月到2021年12月期间，商业电子邮件妥协（BEC）攻击案件所涉的金额为430亿美元。根据联邦调查局的报告，该机构的互联网犯罪中心（IC3）一共收到了241,206起投诉。

BEC或电子邮件帐户妥协（EAC）是一种先进的诈骗技术，不仅针对企业员工，也针对他们为之工作的企业。而诈骗的手段则包括社交工程，作为破坏合法企业或个人电子邮件帐户或进行未经授权的资金转移的手段。联邦调查局还警告说，该骗局的另一个流行变体包括收集个人身份信息（PII），以实施额外的欺诈行为，比如与税收有关的诈骗和违反加密货币钱包。

BEC/EAC诈骗统计

据IC3称，美国所有50个州和177个国家都报告了存在BEC的诈骗受害者。此外，140个国家收到了欺诈性转账信息。IC3显示，位于泰国和香港的银行是欺诈资金的主要目的地，其次就是中国、墨西哥和新加坡。

在IC3的公共服务公告中，与非美国受害者相比，美国受害者的损失就要大得多。在2013年10月至2021年12月期间，共有116401名美国受害者报告总损失1480亿美元，而同期，5260名非美国公民报告损失为12.7亿美元。

联邦调查局认为，2019年7月至2021年12月期间，BEC诈骗激增65%的原因部分可能归因为疫情造成的。因为疫情对于正常的商业线下活动施加了限制，使得大部分的商业活动都转向了虚拟模式。

据IC3报告称：在2019年7月至2021年12月期间，已确定的全球暴露损失增加了65%，而美元损失意味着上述损失包括以美元计算的实际和未遂损失。IC3补充说：“这一增长部分归因于新冠肺炎大流行期间对正常商业行为的限制，这导致更多的工作场所和个人以虚拟方式开展日常业务。”

与加密货币相关的BEC欺诈

IC3在公共服务公告中提到，他们收到了越来越多的BEC涉及加密货币的投诉。

加密货币是一种使用加密算法保护金融交易的虚拟资产，现已在2021年11月具有了3万亿美元的市值。因此对与加密货币相关的匿名客户进行攻击在非法威胁行为者中很受欢迎，并致使他们积极地进行与加密相关的欺诈。

IC3报告了涉及加密货币的BEC骗局的两种不同变体。第一个是直接转移到加密货币交易所（CE），这与传统的BEC欺诈类似。另一个涉及加密货币交易所的所谓“第二跳”。在第二跳传输中，受害者受到欺诈，向威胁行为者提供许可证或护照等识别信息，攻击者使用这些信息以受害者的名义打开加密货币钱包。一般来说，威胁行为者使用其他支持网络的骗局（敲诈勒索、技术支持和浪漫诈骗）来诱骗受害者。

据IC3称，加密货币的使用者定期向他们报告，但直到2018年才被确定为“特定于BEC”的犯罪。2019年，报告有所增加，到2020年，IC3收到了加密货币损失1000万美元的报告。2021年，加密货币相关损失飙升至4000万美元。

意见和建议

• 使用双重认证来验证更改帐户信息的请求。

• 确保电子邮件中的URL与其声称来自的业务/个人相关联。

• 警惕可能包含实际域名拼写错误的超链接。

• 避免通过电子邮件提供凭证或任何其他个人身份信息 (PII)。

• 通过确保发件人的地址看起来与发件人地址一致，验证用于发送电子邮件的电子邮件地址，特别是在使用移动或手持设备时。

• 确保启用员工电脑中的设置，以便查看完整的电子邮件扩展。

• 定期监控财务账户的违规行为。

参考及来源：https://threatpost.com/fbi-bec-43b/179539/