过去两年半里,网络罪犯仅仅通过精心设计的诈骗电子邮件,就从全球成千上万家公司盗取了23亿多美元。
此类攻击被称为商务电邮滥用(BEC)、CEO欺诈,或者钓鲸,手法是犯罪分子伪装成公司首席执行官或者其他高管,通过电子邮件下达虚假电汇指令。
FBI此前发布的一份警报中称,2013年10月至2016年2月间,美国和其他79个国家的17,642家公司沦为了BEC攻击的受害者。被骗总额高达23亿多美元。
诈骗形式多样。除了管理层,骗子还可能以公司国外商业合作伙伴或供应商的身份出现,要求支付所谓的货款。攻击者通常会在动手之前对目标公司做详尽的调查研究,确定到底是哪个员工负责电汇事宜,以及他们该假扮谁来下达指令。
在更高级的攻击中,黑客会通过网络钓鱼或恶意软件黑掉公司CEO的真实电子邮件账户,从收家信任的这个真实账户中发送电汇请求。其他情况下,他们会用相似的域名,或者采用地址欺骗技术。
有时候,攻击者会提前几周就拿下公司网络或电子邮件服务器,然后花时间研究员工之间的邮件往来,在攻击之前了解公司内部的工作流。
根据受害公司的规模和产业情况,被骗金额在几千美元到几百万美元之间浮动。
上周安全牛的报道,2015年美泰玩具公司一名财务主管就是遭到此类电子邮件诈骗,向中国一家银行汇了3百万美元。这位未透露姓名的员工收到了看起来像是美泰新任CEO发来的邮件,要求她支付中国厂商一笔款项。
今年早些时候的报道也宣称,经由类似的电子邮件诈骗,比利时银行Crelan损失了7千万欧元,奥地利航空零部件生产商FACC损失了5千万欧元。
根据FBI的统计数据,自2015年1月起,BEC受害者数量和损失数额出现了270%的增长。FBI建议公司企业防范经由电子邮件提出的电汇请求,尤其是那些要得急的。当收到此类电汇要求,公司雇员应该通过电话向公司高级主管、商业合作伙伴或供货商进行确认。
本文转自d1net(原创)