商务电子邮件共骗走2.15亿美元
作者:星期一, 一月 26, 20150

美国联邦调查局(FBI)和互联网犯罪举报中心(IC3)1月22日发布警示报告称,垃圾邮件活动商务电邮危害(BEC)目前已造成全球受害人总计2.15亿美元的损失。

在这份警示报告中,列出了2013年10月1日至2014年12月1日期间BEC所造成影响的统计数据。在此期间,IC3共收到来自45个国家总计2126名受害者关于BEC的举报。仅美国国内就有1198名受害者。

3

尽管美国国内受害人数只占全球受害总人数的56%,然而他们的经济损失却占总损失的84%。经济损失方面,BEC活动已造成美国受害人1.8亿美元的损失,非美国受害人的损失为0.35亿美元。

IC3报告中写道:“BEC是针对与外国供应商有业务往来或经常性进行电汇付款公司的复杂欺诈活动。”

报告称,BEC有多种变体,诱使毫无戒心的公司将钱打入攻击者账户。其中一个版本的BEC就要求受害者将钱电汇给与受害者已有业务关系的供应商。而实际上,电汇账户是个欺诈账户,根本不是那家供应商的账号。

这一特定版本的BEC也可以称之为“假发票骗局”、“供应商骗局”和“发票篡改骗局”等。在另一BEC变体中,通过劫持雇员个人电子邮件账号,向其联系人列表中的供应商发送虚假的发票支付申请。

攻击者平均能从每位受害者身上骗取15万美元之巨,这个数额可能在罪犯分子认为可以诱骗受害者打钱而又不引发怀疑的范围之内。

安全牛对关于BEC的欺诈警告一点都不吃惊。我们资深的安全专家们早已见识过这种类型的欺诈案件。这也是为什么我们要对所有企业都要进行电子邮件攻击、诈骗和网络捕鲸攻击等方面培训的主要原因。

真正令安全牛吃惊的是,美国的损失竟然只有1.8亿美元。BEC存在这么长时间,应该有很多公司都落入了圈套才是。

那么为什么BEC诈骗能够得逞呢?安全牛认为,急迫情绪的传达、法律行动的威胁或者其他措辞驱使受害者遵从犯罪分子的要求。

下面简单谈谈应对BEC威胁的最佳策略:

BEC造成的经济影响对一个公司来说可以是毁灭性的,但也有很多积极的措施供各组织参考,以限定风险。越是完美的故事,就越有可能是骗局。不管对方说得天花乱坠,三思而后行,在很多情况下就可以避免成为受害者。

不论有任何疑问,验证消息的可靠性和分辩邮件发送者的真实意图总归没有坏处。采用如安全邮件网关之类的技术产品,或使用数字签名邮件,都可以帮助防范冒充发送者发送此类信息。

提升组织对抗BEC和其他类似攻击的能力是个持续性课题。建议公司管理者接受相关培训以对潜在攻击进行分辨,同时,会计监督也是限制风险的必要一环。

建议财务上建立一种制度,对于一定数额以上的电汇,必须有两位管理层人员进行独立授权。至于数额的大小,应基于公司的风险承受能力,权衡损失的大小与要求两个签名带来的不便之间孰轻孰重。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章