什么是企业邮箱冒用 (BEC)？

BEC 诈骗可能听起来像间谍惊悚片中的情节，但其背后的技术却真实存在，而且效果惊人。以下是这些网络犯罪分子的作案手法：

攻击者使用的技术

BEC 诈骗者并不只是依靠运气；他们还非常善于利用技术和人。他们可能会：
 

• 伪造电子邮件地址，使他们的邮件看起来像是来自你信任的人。
• 使用鱼叉式网络钓鱼策略，即以特定员工为目标，向其发送让人感觉非常私人的定制邮件。
• 部署恶意软件，以便访问敏感对话和信息，并将其用作攻击的武器。 

这些并不是典型的网络钓鱼欺诈。所用信息经过精心设计，可以避免引起怀疑。

为什么 BEC 攻击难以检测

BEC 攻击之所以如此难以发现，是因为其非常隐蔽。诈骗者所倚仗的是：人类天生信任他人，且许多企业依赖可预测的流程。他们通过模仿日常请求（如付款审批或账单更新）来利用这些倾向，以至于即使是有经验的员工也会上当受骗。

BEC 电子邮件中的典型内容

如果您知道要注意什么，就会发现 BEC 电子邮件通常带有明显的迹象。常见元素包括：
 

• 请求紧急电汇或购买礼品卡。
• 比如“你能私下处理一下吗？ 我正在开会。”之类的消息
• 语法稍有不当或电子邮件地址与真实地址仅相差一个字符。 

这些邮件旨在促使你采取行动，让你没有时间停下来提出一些疑问。认识这些危险信号是阻止他们行动的第一步。

BEC 诈骗者是机会均等的阴谋家，他们会追踪任何可以接触到金钱或敏感信息的人。但某些组织和角色往往更容易成为他们的目标。

常见目标包括：
 

• 各种规模的企业，从大型企业到小型企业。
• 管理预算或合同的政府机构。
• 非营利组织，尤其是那些处理大额捐款或拨款的组织。
• 学校和大学，由行政人员处理收到的学费和供应商账单。  

从本质上讲，如果贵组织的活动涉及转移资金或管理敏感业务，就有可能会受到关注。

诈骗者瞄准的特定角色

并非所有员工都会在 BEC 诈骗中受到同等针对。攻击者瞄准的是具有财务权限或高级访问权限的角色。主要目标包括：
 

• 财务人员，如财务总监和掌握银行详细信息、付款方式和账号的应付账款人员。
• 高管，特别是首席执行官和首席财务官，因为他们的请求具有分量和紧迫性，且关于他们的信息通常是公开的。
• HR 专员，他们掌握了员工的各种记录，例如社会安全号码、税单、联系信息和日程表。
• IT 管理员，他们对系统的访问权限可帮助攻击者更深入地了解组织。
• 新员工或入门级员工，他们在验证电子邮件的合法性时会面临更大的困难。  

诈骗者知道这些角色是守门人，因此通过冒充他们或直接欺骗他们来打开通往组织资产的大门。

BEC 诈骗不是挠痒痒的小打小闹，而是会让企业伤筋动骨。其造成的财务、运营和声誉损失可能会非常严重。让我们来分析一下：

BEC 攻击的财务影响

数字不会说谎，BEC 攻击的代价极其高昂。FBI 报告称，自 2013 年以来，BEC 诈骗已造成超过 500 亿美元的损失。但这不仅仅涉及直接被盗的资金，还涉及以下成本：
 

• 从数据泄露中恢复，因为攻击者通常会在诈骗过程中获得敏感信息。
• 法律和监管罚款，尤其是在客户或员工数据被泄露的情况下。
• 运营中断，因为你的团队将忙于应对危机。  

BEC 手段在演变，威胁防护策略也在发展。详细了解 Microsoft 电子邮件威胁防护解决方案。

企业邮箱冒用的示例

BEC 并非仅存在于理论中，而是每天都在组织中发生的事实。以下是一些现实生活中可能出现的 BEC 的例子：

示例 #1：支付紧急账单

假设你在公司的财务部们工作。你收到 CFO 发来的一封电子邮件，要求你紧急支付逾期未付账单，但实际上该邮件不是 CFO 发送的。或者欺诈者冒充公司的 Internet 服务提供商，通过电子邮件发送了一个看似很真的账单。

示例 #2：你的电话号码是多少？

公司主管发邮件给你，例如“我需要你帮助处理一个紧急任务。把你的电话号码发给我，我给你发短信。” 发短信感觉比电子邮件更安全，更私密，因此欺诈者希望你向他们发送付款信息或其他敏感信息。这就称为“短信钓鱼”或通过短信钓鱼。

示例 #3：绝密收购

你的老板要求拿一笔预付金收购一家竞争公司。电子邮件注明“此事仅在你我之间知晓”，阻止你验证该要求的真实性。由于收购细节在一切敲定之前常常处于保密状态，因此这种诈骗在开始时并不显得可疑。

BEC 与传统网络钓鱼攻击的对比

虽然 BEC 和网络钓鱼都是基于电子邮件的诈骗，但它们的策略和影响却大相径庭：

• BEC - 针对性极强的个性化攻击。诈骗者会做好功课，模仿特定的人员和流程以获得信任。这些攻击专注于高价值资产，如电汇或敏感数据。
• 传统网络钓鱼 - 广泛的霰弹枪式攻击。例如，虚假的登录页面、“你获奖了”电子邮件或通用的恐吓策略。它们更容易被识别，通常旨在窃取密码或少量资金。

相比而言，BEC 的风险要高得多，因此组织必须优先防御这些高级诈骗。

为了及时阻止 BEC 攻击，需要多管齐下，包括采取主动措施、实施技术防御并制定出现问题时的周密应对计划。以下是保护组织安全的方法：

组织措施和员工培训

员工是你的第一道防线，而安全意识可将这一潜在的薄弱环节转化为网络安全的捍卫者。确保每个人都知道如何识别：
 

• 网络钓鱼链接。
• 域名与电子邮件地址不匹配的情况。
• 可疑的紧急请求。

你甚至可以模拟 BEC 诈骗，以便大家在该类诈骗发生时能够识别出来。

安全的电子邮件网关和技术解决方案

技术可以增强你的防御能力。旨在检测和阻止恶意电子邮件的工具包括：

• 安全电子邮件网关 (SEG) - 这些工具将充当筛选器，用于分析传入的邮件以查找欺诈或欺骗的迹象。
• 多重身份验证 (MFA) - 即使诈骗者获得了凭据，MFA 也会增加额外的安全保障。
• 基于域的消息身份验证、报告和一致性 (DMARC) - 该协议有助于防止攻击者假冒你的电子邮件域。 

实施这些工具可以显著降低 BEC 攻击成功的风险。

对可疑 BEC 攻击的应对

如果你怀疑发生了 BEC 攻击，速度至关重要。以下是应对措施：
 

1. 冻结交易 - 如果已经发起电汇，请立即联系你的银行以停止或撤回付款。
2. 通知你的 IT 团队 - 他们可以调查电子邮件的来源并阻止攻击者的进一步通信。
3. 审查并更新流程 - 查找现有安全协议中的漏洞并加以改进，以防止未来的事件。 

制定响应计划可确保你在分秒必争时做好采取行动的准备。

AI 和电子邮件安全性

网络安全 AI 和机器学习的兴起彻底改变了电子邮件安全领域的游戏规则。这些技术：

• 分析电子邮件的行为模式以检测异常情况，例如突然请求进行电汇。
• 识别伪造的隐蔽迹象，例如电子邮件地址的细微差异。
• 不断适应新的威胁，使诈骗者更难以领先于检测工具。 

通过将 AI 支持的统一 SecOps 解决方案集成到你的安全堆栈中，你可以在对抗日益复杂的攻击者时获得优势。

在预防 BEC 攻击方面，保持领先一步至关重要。网络犯罪分子会不断改进他们的攻击手段，因此你的安全措施需要像威胁本身一样与时俱进。以下是确保拥有强大且最新的防御措施的方法：

持续监控和更新

BEC 攻击不是一种“设置后就抛诸脑后”的威胁。诈骗者会不断完善他们的方法以绕过现有的安全工具，因此你需要保持警惕：

• 定期安全审核，以确定防御漏洞。
• 频繁的软件更新，以修补漏洞，确保免受新的攻击。
• 持续的威胁监控，以实时检测异常活动，例如可疑的电子邮件模式到未经授权的访问尝试。  

只有通过不断发展你的安全态势，才能跟上这些不断变化的威胁。

及时了解最新威胁

通过及时了解最新的网络威胁情报，可在潜在威胁成为严重问题之前识别它们。保持领先：

• 订阅网络安全博客和新闻通讯，以获取有关新 BEC 技术的定期更新。
• 参与行业特定的安全论坛，分享信息并向其他组织学习经验。
• 与网络安全专家互动，以了解威胁搜寻及其可能对你的业务产生的影响。 

你对诈骗者如何适应威胁检测和应对的了解越多，就越能做好准备，及时阻止他们。

对于使用 Microsoft Office 365 的组织，Microsoft Defender for Office 365 提供了强大的解决方案来帮助检测和缓解 BEC 攻击。它提供：
 

• 高级钓鱼保护，阻止可疑电子邮件并提醒用户潜在威胁。
• 通过终结点检测和响应 (EDR) 实现实时监控和报告，帮助你在发生时发现攻击迹象。
• 自动化事件响应操作，例如隔离恶意电子邮件和阻止已知威胁行为者。

通过将 Microsoft Defender for Office 365 集成到你的安全堆栈中，你可以在对抗 BEC 的斗争中获得一个强大的盟友 - 一个不断更新以跟上不断演变的威胁的助手。

此外，Microsoft Defender XDR 中的自动攻击中断功能可以阻止正在进行的攻击（例如 BEC），并防止进一步的横向移动。