企业电子邮件欺诈（BEC）正持续增加，导致企业损失数十亿美元。在2017年，美国联邦调查局（FBI）互联网犯罪中心开始追踪BEC和电子邮件账户欺诈，并将二者作为“单个犯罪类型”，因为其中攻击者采用相似的技术。企业电子邮件欺诈与其他电子邮件欺诈的区别在于攻击者采取的步骤、时间和精力不同。这些攻击者严格遵循高级持续威胁使用的杀戮链框架，这也是BEC的危险之处。

众所周知，多年来，无论企业的保护力度如何，安全专业人员都无法保证网络不会被高级威胁攻击者入侵。俄罗斯等国家资助的网络间谍团伙拥有丰厚的资金和资源，如果民族国家攻击者想要入侵你的网络，可以肯定地说，时间和金钱都不是问题。

高级持续威胁（APT）通常采用七个步骤，Lockheed Martin公司将这些步骤称为网络杀戮链（Cyber Kill Chain）。民族国家攻击者会先研究目标企业，对企业结构和人员情况进行广泛的研究。他们通常会使用电子邮件作为媒介来放置恶意软件或路过式链接。然而，根据目标的价值的不同，他们会启用零日（或接近零日）漏洞或者全新的命令控制站点以确保任何主动防御都不会提醒网络安全团队。如果你负责保护这些网络，这种攻击该多么可怕。

高级持续威胁通常都会成功。正是这种攻击的可行性，网络犯罪领域的顶级团伙开始注意这种攻击，并将他们的战略、技术和程序与传统APT攻击相结合。

在2月份的报告《网络犯罪的经济影响—没有减缓》中，华盛顿国际战略研究中心与McAfee称复杂的网络犯罪已成为全球经济负担，估计每年损失6000亿美元。很多公司一直是网络欺诈的受害者，但大多数公司并未报告。

BEC诈骗

尽管很少公司公开承认他们受到欺诈攻击，但有时候成功攻击带来的后果无法被掩盖。例如向空中客车公司和波音公司销售设备的航空航天国防公司FACC AG在2016年因电子邮件欺诈损失5400万美元。在被称为“假领导”诈骗活动中，攻击者利用电子邮件冒充首席执行官，并要求转钱到网络罪犯控制的账户。该网络欺诈的直接结果是，该奥地利公司的首席执行官和首席财务官均被董事会解雇。

托管安全服务提供商SecureWorks公司在2017年发现异常电子邮件活动。该公司研究人员今年早些时候发布报告指出了针对海运业的BEC欺诈活动。名为Gold Galleon的尼日利亚攻击者利用虚假支付请求窃取近400万美元。这些针对多家公司的攻击利用了社会工程学和恶意软件的组合攻击方式。

在2017年，FBI发布PSA（公共服务公告）警报称BEC属于金融网络威胁，并指出，从2013年10月至2016年12月，向互联网犯罪中心及其他来源报告的40203起国内和国际事件共造成53亿美元损失。在2018年5月，FBI发布《2017年互联网犯罪报告》，其中指出在2017年BEC和电子邮件账户欺诈投诉达到15690起，造成6.76亿美元的损失。FBI估计，自2013年互联网犯罪中心首次追踪导致金融网络欺诈的鱼叉式网络钓鱼、身份盗窃、电子邮件欺诈和恶意软件以来，企业电子邮件欺诈已经导致美国公司损失数百万美元。

企业电子邮件欺诈并不意味着企业电子邮件服务已经被攻击，攻击媒介是通过电子邮件瞄准企业。然而，如果你的企业电子邮件是开源电子邮件服务（例如谷歌邮件），那么可能会缺少高级保护。

企业电子邮件欺诈的目标是让企业人员对“高层人员”或“供应商”对请求采取行动，将钱汇入欺诈账户。这些活动通常发生在纳税期间或者财年快结束时，这种时候财务团队通常紧张且繁忙，而网络罪犯可利用这一点。他们会深入了解企业结构，他们还会利用律师、经过母语训练的语言学家、私人调查人员和研究分析师来了解目标企业。他们还会利用鱼叉式钓鱼和恶意软件来访问目标企业的内部网络和计费系统以确定支付方式。

下面是BEC活动的常见故事：年底Acme Widget（AW）公司的应付经理顶着巨大的压力处理大量工作。AW是一家收入达数十亿美元的上市公司，该公司拥有一个国际部门。为了尽快结清财政年度支出，这位经理让员工加班加点。在这紧张的工作中，她收到她所支持部门总经理的电子邮件，她收到这种电子邮件并不奇怪，这位总经理要求她向一家律师事务所支付发票，该发票用于某种并购收购（M&A）咨询。该经理并不知道这个收购活动，但这也并非罕见，因为这种类型的活动在早期阶段是保密信息。

她看了看发票，这是支付给香港一家银行，电子邮件似乎是来自Patty Smith <psmith@AW.com>，这是正确的，在她正在考虑发票的合法性时，她的收件箱出现另一封电子邮件催促尽快支付该发票。于是这位经理将发票发给支付团队，并授权支付款项，并附上说明要求尽快支付。随后她回复电子邮件表示付款会安排在第二天。

事后，这位经理在办公室遇到总经理Patty，并告知发票已经付清，而Patty不知道她在说什么，他们立即打电话到外部律师事务所，他们发现发票不是来自该公司。而这笔钱在两天前已经汇出。

AW公司的安全小组分析了这封欺诈邮件，检查了扩展标题，他们发现这封邮件实际是来自1234@aol.com，而“地址栏”是Patty Smith <psmith@AW.com>，它显示正确的地址作为名称的一部分，这让这位经理认为这是合法邮件。在联系香港警方后了解到，这笔钱已经不在银行，银行账户很快就注销。这家想要知道钱的去向，而需要香港警方调查这个犯罪活动，而他们不会这样做，因为损失金额低于100万美元。钱就这么没了。

未知目标

为了有效执行欺诈，犯罪组织将需要挑选目标公司。FBI报道称，选择目标的方式很神秘—美国每个州和超过131个国家的企业都遭遇过电子邮件欺诈。网络罪犯必须对目标进行大量研究，主要是通过LinkedIn和其他社交媒体网站。他们必须找到应付账款企业，并找到可授权进行电汇的决策者。

LinkedIn的搜索工具可帮助他们轻松完成此任务。为了有效执行攻击，网络罪犯还必须制作发票，其中包含电子支付指令将资金转账到他们控制的银行账户。这个过程表明他们有人在银行所在地的司法管辖区工作。这些“钱骡”会开立合法银行账户，然后在接到指示时将钱转到另一家银行，他们会从中获得报酬。钱骡甚至从没见过网络罪犯，他们通常通过在家工作等幌子来雇佣钱骡。

这并不是“尼日利亚王子”电子邮件欺诈活动。这些电子邮件会结合专业的语言和母语语法，让这些发票看起来很真实，并在名称行包含所谓发件人的真实电子邮件地址。这些电子邮件不会轰炸整个公司，只会发送到特定数量的目标人群。这意味着该活动需要有人监控银行账户并回复电子邮件。这些跨国犯罪图集团正在利用各种资源来发动攻击，那么，你如何保护自己免受企业电子邮件欺诈？

在高级持续威胁中，企业利用威胁情报作为主要防御手段，而对于高级犯罪，企业并没有可行的威胁情报。美国政府（针对关键基础设施）和私有企业建立了信息共享和分析中心，专注于针对民族国家的高级持续威胁，而不是犯罪威胁。

如果没有可行的威胁情报，企业很难对BEC攻击进行有效的防御。技术控制需要碰运气。过滤器可以将已发送的邮件标记为“代表”或者使用不同的域名。FBI建议企业在入侵检测系统设置规则，标记异常扩展名的电子邮件或者回复地址与收件人地址不同的邮件。企业还可以使用颜色编码来区分内部和外部邮件。但由于邮件信息并非发送给大部分人，过滤器可能无法捕获攻击。邮件通常发送到员工桌面，并且不可避免地会有人被社会工程攻击而发送发票。

打击BEC的关键是培训和教育。这种策略已被证明是阻止这些攻击的最有效手段。BEC的目标几乎都是可以电汇的人，因此，应该由财务总监、CFO或者其他高层支持和指导对相关人员的培训。CISO的主要职责是确定风险和攻击媒介，以及向财务团队提供BEC的背景信息。安全培训应该提醒管理人员和员工注意典型BEC邮件警告标志以及如何防止这种攻击：

• 切勿使用邮件作为发票审批的唯一途径，应该通过培训让付款团队了解多步骤授权流程。
• 对于C级管理人员在应付流程外的紧急支付的要求，请保持警惕。
• 查看请求付款邮件的发票的汇款细节信息，如果银行在香港、中国或者东欧，请保持警惕；BEC会利用监管有限的国家的银行。
• 对财务团队进行BEC培训。建立更加可靠的应付账款流程。

大多数企业已经建立涉及采购订单和审批的付款政策和流程，但很多企业仍然忽视对高层的授权流程。为了阻止企业邮件欺诈，CISO应该与CFO及财务团队（簿记员、会计师和控制员）合作建立业务流程，该流程不允许基于单独的邮件来授权付款请求。FBI建议使用语音通话和面对面通信来授权付款，以及对供应商付款的任何更改都需要双因素身份验证。所有高级管理人员和应付账款人员都必须接受年度BEC意识培训，以便他们警惕网络欺诈风险。