概述：

州、地方、部落和领地(SLTT)政府经常成为商业电子邮件泄露(BEC)诈骗的目标，这些诈骗试图欺骗受害者汇款、个人身份信息(PII)或物质商品，或修改直接存款信息。这些电子邮件通常来自欺骗性、受损或欺诈性的电子邮件账户，如果得逞，可能会导致重大的财务损失或数据泄露。最初的电子邮件可能会包含友好的语言，例如“嗨，你今天工作吗？”以发起与受害者的电子邮件对话。后续电子邮件将请求转移或其他操作。这些电子邮件经常使用稍微不准确的术语，例如用全名而不是昵称来指代员工，

• 直接存款变体：在此变体中，诈骗者冒充受害者，通过电子邮件向财务或人力资源部门发送直接存款变更请求。这会导致员工的薪水被重定向到诈骗者控制的账户。

• 供应商账户更改请求变体：此变体与直接存款变体类似，但该请求会欺骗供应商并要求SLTT政府修改供应商的付款账户。然后，向供应商支付的下一笔付款将发送到属于诈骗者的更新后的账号。

• 供应商采购订单变体：在此方案中，诈骗者获取公开的采购订单表格，并更改表格上的联系方式，以包括不同的电话号码和电子邮件地址。有时，诈骗者会创建模仿网站来验证欺诈性采购订单上包含的联系信息。诈骗者将采购订单提交给供应商，发货，然后将其出售以获取利润，同时将账单发送给受影响的实体。

• 金融盗窃变体：在此变体中，诈骗者冒充员工或高级官员，要求部门立即出于特殊目的电汇资金。有时，欺骗性电子邮件不会直接引用电汇，而是指定需要“设置和处理”“交易”。

• 礼品卡变体：诈骗者通过冒充高级官员并发送电子邮件要求员工购买礼品卡以获得惊喜奖励来实施此变体。购买礼品卡后，诈骗者会要求提供礼品卡号码和密码，声称他们需要立即发放奖励。

W-2和PII数据盗窃变体：在此变体中，诈骗者冒充管理员或高级官员，向人力资源或财务部门发送电子邮件，索取所有员工的W-2信息或PII。这些电子邮件以学校和地方政府为目标，诈骗者精心制作一封电子邮件，使其看起来像是来自学校负责人或高级政府官员。如果员工在未加密数据的情况下遵守规定，或者加密数据并提供密码，则此变体会导致数据泄露。以这种方式窃取的W-2信息和PII经常被用来实施税务欺诈和身份盗窃。

建议：

• 在主题或正文中使用警告消息标记外部电子邮件。可以通过在电子邮件服务器上为入站消息创建传输规则来添加警告横幅。

• 创建用于识别和报告BEC和类似网络钓鱼电子邮件诈骗的策略。确保包含以下组件：

• 当收到异常的财务或敏感数据请求时，用户应通过非电子邮件渠道验证电子邮件发件人的身份、真实性和权限。

• 用户应确保电子邮件发送给正确的人。通常可以通过将鼠标悬停在电子邮件标题中的地址上或双击名称来验证电子邮件的真实收件人。

• 用户应该通过转发来回复，而不是通过点击“回复”按钮，这有助于防止成功的欺骗攻击。

• 培训人力资源和财务部门的工作人员识别潜在的BEC诈骗电子邮件并遵循可疑电子邮件政策。BEC垃圾邮件的指标可能包括：

• 电子邮件的质量很差，存在拼写和语法错误。

• 假定发件人的签名行错误或缩写。

• 表明电子邮件是从移动设备发送的。

• 使用全名而不是昵称以及语言结构可能与假定的发件人通常的通信方式不匹配。

• 联系发件人的唯一方式是通过电子邮件。

• 这些交易适用于新供应商或已知供应商的新联系人。

• 确保人力资源和财务部门的员工制定对请求进行带外验证（例如口头确认等）的政策，并建立一种办公室文化，让员工可以放心地询问通过电子邮件发送的请求是否真实。

• 与人力资源和财务部门合作，确保其政策得到技术解决方案的支持。

• 制定BEC事件响应计划，包括在有必要停止转账时与适当的金融机构进行紧急联系。

• 在您的电子邮件网关上实施过滤器，以过滤掉带有已知网络钓鱼尝试指标的电子邮件，并在防火墙上阻止可疑IP。

• 有关其他建议，请参阅有关鱼叉式网络钓鱼的入门知识。

• 实施域消息报告和一致性(DMARC)的使用。

• 向当地执法部门和互联网犯罪投诉中心(IC3)报告BEC诈骗企图。应向IRS报告与税务相关的可疑电子邮件。如果出现财务损失，请通知银行停止付款并涉及当地执法部门。

原文始发于微信公众号（河南等级保护测评）：网络安全入门–商业电子邮件泄露