商業電子郵件泄露 (BEC)發生在網絡犯罪分子通過電子郵件帳戶泄露敏感數據以獲取經濟利益來欺騙組織時。FBI 研究表明， BEC 是目前成本最高的數字犯罪，遠遠超過勒索軟件，在 2021 年造成 4920 萬美元的受害者損失。BEC 也稱為電子郵件帳戶泄露 (EAC) 或“電子郵件中的人”詐騙。

商業電子郵件妥協如何運作？

網絡犯罪分子可以使用多種技術進行 BEC 詐騙，包括直接入侵電子郵件帳戶和社會工程技術。

BEC的兩種常用方法包括：

鍵盤記錄

網絡犯罪分子使用鍵盤記錄器來獲得對合法電子郵件帳戶的未經授權的訪問。這種類型的間諜軟件可以通過記錄擊鍵、讀取剪貼板數據或從用戶設備截取屏幕截圖來監控和記錄用戶的密碼。

例如：

1.網絡犯罪分子向毫無戒心的員工發送包含鍵盤記錄器間諜軟件 的網絡釣魚電子郵件。

2.員工將網絡釣魚詐騙誤認為是合法下載，并在不知不覺中將鍵盤記錄惡意軟件安裝到他們的設備上。

3.網絡犯罪分子使用鍵盤記錄器記錄用戶的電子郵件密碼。

4.網絡犯罪分子現在可以訪問員工的電子郵件帳戶，并直接通過受感染的帳戶進行網絡攻擊。

魚叉式網絡釣魚

網絡犯罪分子使用欺騙性電子郵件從員工或組織獲取機密信息。網絡犯罪分子經常利用魚叉式網絡釣魚攻擊來破壞個人身份信息 (PII)和受保護的健康信息 (PHI)。

例如：

1.網絡犯罪分子通過域欺騙冒充企業電子郵件帳戶，例如 john.smith@piedpiper.com（Pied Piper 的合法員工 John Smith 的電子郵件地址）→ john.smith@peidpiper.com（網絡犯罪分子的欺騙電子郵件地址）.

2.網絡犯罪分子使用偽造的電子郵件地址或被黑帳戶向同一組織的另一名員工發送電子郵件，要求提供機密信息。

3.該員工將拼寫錯誤的電子郵件地址誤認為是 John Smith 的電子郵件地址，并在不知情的情況下將敏感的公司數據泄露給網絡犯罪分子以響應電子郵件。

4.網絡犯罪分子使用這些泄露的數據進行網絡攻擊。

網絡犯罪分子試圖使用這些技術獲取的確切信息取決于他們進行的 BEC 詐騙的類型。

商業電子郵件泄露的類型

BEC 詐騙有 5 種主要類型，如下所示。

1. 偽造發票計劃：網絡犯罪分子冒充組織的供應商或供應商，通常通過欺騙性電子郵件帳戶。詐騙者向組織發送欺詐性發票，要求向不熟悉的銀行賬戶付款。

2. CEO 欺詐：通常稱為“行政欺詐”，這種騙局發生在網絡犯罪分子侵入 CEO 或高管級別員工的電子郵件帳戶時。黑客冒充員工，然后要求財務部門向一個不熟悉的銀行賬戶付款。

3. 賬戶泄露：網絡犯罪分子侵入員工的電子郵件賬戶，并從其地址簿向供應商發送欺詐性發票，要求向不熟悉的銀行賬戶付款。

4. 冒充律師：網絡犯罪分子冒充律師或其他法律專業人士，并以緊急事件為幌子聯系員工。網絡犯罪分子通知員工迅速而謹慎地采取行動，迫使受害者將資金轉移到一個不熟悉的銀行賬戶以立即解決問題。?

5. 數據盜竊：網絡犯罪分子侵入相關部門（例如 HR）的員工電子郵件帳戶，以獲取其他員工的個人身份信息 (PII)，從而為更具破壞性的攻擊提供情報。

BEC 詐騙者主要依靠人為錯誤漏洞來實現其惡意目標。組織應將員工教育與額外的安全措施結合起來，以有效防御 BEC。

如何防御商業電子郵件入侵攻擊

以下防御策略有助于減少組織中 BEC 攻擊的發生。

教育員工

安全意識培訓計劃對于確保員工能夠在數據泄露發生之前識別 BEC 嘗試至關重要。組織必須培訓員工仔細檢查所有請求敏感數據的電子郵件，無論是內部的還是外部的。如有疑問，員工應始終在回復可疑電子郵件之前尋求建議。以下是員工在收到敏感數據的電子郵件請求時應考慮的潛在 BEC 嘗試的常見跡象。

1.來自同事（包括 CEO 和高級管理人員）的異常電子郵件請求。當詐騙者使用魚叉式網絡釣魚策略時，他們通常會提出無意義的請求，例如，CEO 要求提供員工的個人工資單詳細信息。

2.語言使用不當。例如，使用蹩腳的英語、拼寫和語法問題、語言中的語調不一致，例如在隨意語言和正式語言之間轉換。

3.字體類型、字體大小或電子郵件格式不一致。例如，電子郵件正文使用兩種不同的字體大小。

4.發件人的電子郵件地址中的錯別字或不同的格式。例如，john.smith @piedpiper.com → john.smith@peidpiper.com，john.smith@piedpiper.com → johnsmith@piedpiper.com。

5.不遵循通常協議的請求。組織遵循特定的付款流程，無論其緊迫性如何。不遵循這些流程的要求立即電匯的電子郵件可能會引起關注。

6.要求保持通信私密。詐騙者經常要求收件人保持兩方之間的電子郵件交互，以盡量減少外部審查和懷疑。

實施多因素身份驗證 (MFA)

多重身份驗證 (MFA)為員工的設備和帳戶增加了一層額外的數據保護。MFA 確保用戶在訪問他們的電子郵件帳戶和其他存儲敏感信息的應用程序之前充分識別自己。

這種身份驗證方法通常將密碼/pin 與其他驗證要求（例如生物識別）結合使用。如果網絡犯罪分子破壞了第一行身份驗證，他們就不太可能繞過其他身份驗證方法。

防止電子郵件域名搶注

Typosquatting是一種黑客技術，它利用用戶拼錯組織的域名。如果詐騙者成功劫持了拼寫錯誤的 URL，他們可以使用電子郵件中的域名仿冒域名冒充受害者組織的發件人。

組織可以通過注冊與他們自己的域名相似或可能被誤認為是他們自己的域名來幫助防止 BEC 詐騙者進入此入口點。例如，piedpiper.com 可以注冊 peidpiper.com、p1edpiper.com、pied-piper.com 等。

實施電子郵件驗證

電子郵件驗證方法可以幫助過濾、阻止和報告可疑電子郵件，甚至在 BEC 到達員工的收件箱之前就阻止它。常見的電子郵件驗證方法包括：

1.發件人策略框架 (SPF) 過濾：確保傳入的電子郵件來自他們聲稱的域。

2.DomainKeys Identified Mail (DKIM)：添加加密簽名以驗證所有外發電子郵件并驗證傳入電子郵件。

3.基于域的消息身份驗證、報告和一致性 (DMARC)：利用 SPF 過濾和 DMARC，并圍繞對未經身份驗證的電子郵件采取的操作提供報告和指導，例如，發送到垃圾郵件文件夾，完全拒絕。

制定有效的安全控制

強大的網絡安全控制使網絡犯罪分子更難破壞組織的系統。組織必須滿足其監管要求，例如PCI DSS、HIPAA和FISMA。遵守公認的安全框架，包括NIST 網絡安全框架、NIST 800-53和ISO 27000 系列，還有助于組織確保其網絡安全符合國際標準。

限制個人信息的公開展示

網絡犯罪分子可以利用開源情報策略在未來的攻擊中發現社會工程計劃的重要信息。例如，他們可以在 LinkedIn 等社交媒體網站上輕松找到員工姓名、職位和聯系方式。員工應注意他們的社交媒體隱私設置，并避免在線共享過多的公開身份信息 (PII)。

如何從 BEC 騙局中恢復

如果您的組織已成為 BEC 的受害者，那么時間至關重要。聯邦調查局概述了以下步驟：

步驟 1. 立即聯系您的金融機構，并要求他們聯系騙子提供的金融機構。

第 2 步。在您當地的 FBI 外地辦事處報告犯罪。

步驟 3. 向FBI 的互聯網犯罪投訴中心 (IC3) 提出投訴。

美國以外的國家/地區應按照上述步驟 1. 進行操作，然后聯系其地方當局了解后續步驟的詳細信息。