今天来鉴赏一篇我们几年前帮客户做的BEC钓鱼案件，已过保密期。译文如下：请仔细看原文邮件，攻击者为了诈骗成功，专门用了一个新的合法域名合法邮箱@dr.com，看起来比所谓停用的域名还要帅气，从Jorge.Arguello@inkiaenergy.com到jorge.arguello.inkiaenergy@dr.com，足以让普通员工中招。要知道收件人是用的微软的hotmail，安全检查是比较严的，一般的域名欺骗根本投不进来。我们也问了客户的员工为什么要用个人邮箱，而不用企业邮箱，客户说他们跨境业务行业习惯用hotmail和Gmail，发信成功率高。哎，这个问题比较复杂。dr.com情报查询结果如下，可以看出，你要靠情报怎么样是比较难的。这封邮件只是黑客第一次出手，后面客户的员工真的和这个攻击邮箱往来互动，最后因为这次侵入，前前后后损失40万美金，这还只是直接经济损失。为什么BEC这么难防，屡见不鲜？下面从是技术、社工战术、案例三个角度展开分析。

商业电子邮件钓鱼（Business Email Compromise, BEC商业邮件诈骗）因其极高的成功率和巨额经济损失，被FBI列为“最具破坏力的网络犯罪”，“企业噩梦”。FBI数据显示，2023年BEC攻击造成的全球损失已超过29亿美元，并且每个月平均有2万次以上的攻击事件。

这种攻击方式之所以难以防范，根本原因在于它巧妙地结合了高度个性化的社会工程学技巧、先进的技术伪装手段以及对企业内部运作流程的精妙利用。

一、技术：从“低技术”到“AI进化”的复杂攻击链

1. 绕过传统安全检测的“零恶意”特性

这种攻击并不依赖任何恶意代码，而是完全依靠“合法”的邮件互动来规避传统的安全检查措施，以至于有高达七成的BEC攻击在最初阶段并未引起警觉。

BEC邮件通常为纯文本，不含恶意链接或代码，传统反病毒软件、沙箱检测和邮件网关对其识别率不足15%（2023年微软统计显示，68%的BEC邮件无恶意代码），例如，大亚圣象子公司因攻击者伪造管理层邮件被骗2275万元人民币，邮件内容完全合法，仅通过伪造邮箱路径完成欺诈。微软数据显示，2023年68%的BEC攻击无任何技术痕迹。

上市公司遭邮件诈骗损失2275万元引发的深思！

https://www.freebuf.com/vuls/328586.html

海普瑞披露了自己被诈骗9000多万元的全过程

https://www.huxiu.com/article/2617962.html

2. “像素级”身份伪造技术

• 域名仿冒与账号劫持：攻击者常常精心设计与企业官方域名极其相似但又稍有不同的真实域名，比如将“company.com”故意拼写成“companny.com”。根据趋势科技的数据，超过六成的BEC攻击都采用了这样的域名仿冒技术。

  注册与目标企业高度相似的域名（如 microsoft-support.com 仿冒 microsoft.com ），并劫持邮件对话历史。例如，某跨国物流公司被攻击者使用 dhl-express.org 域名冒充DHL官方，发送“包裹清关费支付”通知，诱导客户转账至诈骗账户。

• 显示名称欺骗：利用SMTP协议漏洞，将发件人显示名称设置为高管的真实姓名，而实际邮箱为攻击者的Gmail账号（如显示“张伟 CEO”attacker@gmail.com ）。此类攻击占BEC总量的43%（Agari数据）。

• AI工具的助力：自2023年起，一些基于人工智能技术的新一代钓鱼邮件生成器开始崭露头角，比如WormGPT等。这些工具能够在短短几秒钟之内就创造出毫无语法错误、读起来仿佛出自真人之手的钓鱼邮件。在微软的一例案例中，攻击者正是借助这类AI工具制造出了足以以假乱真的邮件，甚至连CEO本人的书写风格都能完美复制。Zscaler测试显示，70%的员工会将AI生成的诈骗邮件视为真实指令。某CFO的100封历史邮件被用于训练AI模型，生成的“并购保证金支付”指令因语气一致未被怀疑。

• 多平台渗透：为了进一步增强欺骗效果，攻击者不仅会尝试劫持云服务平台（如Office 365）的用户账号，还会利用第三方应用程序（如QuickBooks企业财会软件）来发送欺诈性的通知消息，使得这些邮件看起来似乎是从正规渠道发出的。

3. 攻击链条的隐蔽性

BEC攻击往往伴随着一种名为“横向潜伏”的策略。举例来说，在奥地利FACC公司遭受的网络袭击中，黑客首先侵入了员工的个人邮箱，并悄悄设置了邮件过滤规则，将正常的通信内容全部转移到了一个不会引起注意的存档文件夹里。这一系列的操作极大地延长了他们的作案周期，让防御一方很难在第一时间察觉到异样。

总之，技术更新速度难以跟上攻击手段的发展。传统的安全技术（如防火墙、反病毒软件）大多依赖于预先设定好的特征码来进行扫描和拦截，然而面对那些没有任何恶意代码痕迹的BEC攻击，它们往往显得束手无策。更为糟糕的是，即便是在AI防御技术日益成熟的今天，许多企业仍然缺乏足够的认识和投入，导致他们在应对新型钓鱼邮件时反应迟缓，平均需要花费长达48个小时的时间才能做出初步判断。

二、战术：社会工程学其实就是心理学

1. 社会工程学的核心作用

BEC攻击本质上是一场“心理战”。攻击者通过对目标企业的广泛公开信息进行详尽的研究，比如高层管理人员的名字、业务往来情况等等，进而精心编造出极具说服力的紧急转账指令或者涉及机密事项的请求。以2022年中国某跨国企业在华子公司为例，黑客通过长时间潜伏窃取员工的邮件历史资料，然后精确模仿纽约分公司日常业务交流中的语言风格和沟通习惯，最终成功骗得两笔数额巨大的款项。

社会工程学手段巧妙利用了人性的三大弱点：

• 对权威的盲目服从（权威仿冒）：绝大多数BEC攻击都会试图冒充企业的高层领导或者重要客户，以此来获取员工的信任和配合；

• 创造紧张气氛（心理操纵）：通过在邮件中加入诸如“限时优惠”、“紧急事务”之类的措辞，给收件人造成强烈的紧迫感和焦虑情绪；

• 利用信任惯性（信任仿冒）：由于长期的合作关系，员工往往会对某些特定联系人的邮件内容产生天然的信任感，从而降低了自身的防备之心。

三、统计数据：防御失效的量化证明

1. 攻击规模与成功率

• 2023年全球范围内BEC攻击的数量较上一年增长了58.2%，每宗案件的平均损失更是达到了惊人的10万美元；

• 根据统计数据显示，94%的企业在过去一年中至少经历过一次钓鱼攻击，其中BEC类别的攻击占据了总数的40%；

• 在一项针对企业员工的安全意识测试中，只有18.3%的参与者能够正确识别并报告模拟钓鱼邮件的存在，更有高达9.3%的测试样本直接被误点打开了链接。

2. 防御体系存在的问题

• 技术层面的问题：大约80%的BEC受害者企业并没有采取多因素身份验证（MFA）等有效的安全措施；与此同时，传统邮件安全系统的检测效率低下，对于那些由AI算法生成的内容，其识别率甚至还不到30%；

• 人为因素的影响：由于工作繁忙等原因，约有45%的员工往往会忽视掉重要的安全提示信息；另外还有43%的人因为追求工作效率而放松了应有的安全警惕；

• 流程管理方面的疏漏：尽管大多数企业已经意识到加强员工安全教育的重要性，但在实际操作过程中却存在诸多不足之处——只有53%的企业真正做到了对全体员工进行定期的安全培训，并且很多培训内容并不能很好地贴合当前的真实威胁环境。

3. 典型案例：Facebook与Google的一亿美元骗局

2017年，一群来自立陶宛的黑客通过伪造供应商发票的方式，成功诱使Facebook和Google两大科技巨头向他们控制的虚假银行账户进行了巨额转账。这次攻击之所以能够取得如此惊人的成果，主要得益于以下几个关键要素：

• 准确锁定财务负责人：利用LinkedIn上的公开信息，精确确定了目标公司的财务主管；

• 深度模仿官方域名：通过细微的文字变化（如将“company.com”变为“companny.com”），成功混淆视听；

• 营造紧迫感：在欺诈邮件中刻意强调如果未能按时支付将会面临的严重后果。

这个案例充分展示了BEC攻击对于人类心理操纵的高度精准性和有效性。

由于不同部门之间信息共享不够顺畅，有时即使发现了可疑交易活动，也可能因为无法及时获得其他相关部门的支持和协助而导致延误和错失良机。这一点在某些黑客利用时差差异实施欺诈行为的例子中表现得尤为明显

四、打破僵局的途径：构建全方位多层次的防御体系

1. 加强技术基础设施建设

• 引进基于人工智能技术的高效邮件安全网关系统，以便更好地识别和阻止那些采用域名仿冒和语义欺骗手段的钓鱼邮件；

• 积极推广零信任安全理念，并强制推行多因素身份验证和最小权限访问控制策略。

2. 提升员工的安全素养水平

• 常态化组织高仿真度的反钓鱼训练活动，帮助员工熟悉各种常见的欺诈手段和应对方法（即使非BEC的钓鱼也是欺诈）；

• 将安全意识作为衡量员工综合素质的重要标准之一，并将其纳入年度绩效评估体系之中。

3. 优化企业内部的工作流程

• 强制执行严格的“双重审核”制度，确保每一笔高风险交易都能够得到全面彻底的风险评估和合规审查；

5、结语

钓鱼攻击所带来的防御困境实际上是一场典型的“不对称战争”，进攻方只需要取得一次成功的突破即可达到目的，而防守方则必须时刻保持高度戒备的状态。随着人工智能技术的不断发展和广泛应用，未来的钓鱼邮件将变得越来越难以辨别和抵御。因此，企业必须要抛弃那种单纯依靠技术手段就能解决一切问题的传统观念，转而寻求一条兼顾技术进步、人才培养和社会责任的道路。

正如著名的MITRE ATT&CK框架所倡导的理念一样，我们应当在每一个可能遭到攻击的关键节点上建立起坚固的防线，并通过持续不断的创新和完善来不断提升整个系统的整体防御能力。只有这样，我们才能够在这场旷日持久而又充满变数的安全保卫战中牢牢掌握住主动权。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）