首页 首页 大数据 查看内容

BEC诈骗犯已瞄准华尔街,如何防御电汇诈骗需重视

木马童年 2021-3-13 08:35 65 0

商业电子邮件攻击(BEC)诈骗犯正在利用一种针对投资者的新型攻击,该攻击可以获取比平均水平高7倍的利润。在了解BEC具体手段之前,有必要先了解一下华尔街的投资策略。当投资者买入一家公司的投资基金,如私募股权基 ...

BEC诈骗犯已瞄准华尔街,如何防御电汇诈骗需重视

商业电子邮件攻击(BEC)诈骗犯正在利用一种针对投资者的新型攻击,该攻击可以获取比平均水平高7倍的利润。

在了解BEC具体手段之前,有必要先了解一下华尔街的投资策略。

当投资者买入一家公司的投资基金,如私募股权基金或房地产基金时,在公司提出资金需求之前,投资者可以将资金先保留在自己身边。这个协议可以让投资者把钱留在更有利可图的投资中赚取利息,而不是闲置在投资基金中。

当公司准备使用投资者的钱时,他们会发出正式的 "催款 "通知,要求投资者把约定的钱寄给他们。

BEC骗子瞄准华尔街

在电子邮件网络安全公司Agari的一份新报告中显示,BEC诈骗者现在已经开始以虚假的资金催收通知为诱饵进行诈骗,这些通知所诈骗得来的利润比BEC平均利润要大得多。

在新发的《2021年电子邮件欺诈和身份欺骗趋势》报告中,Agari指出,电汇BEC诈骗的平均利润额为72000美元。这些骗局是指攻击者冒充供应商,要求受害者向他们所持有的银行账户汇款。

而伪造的催款通知所获得的平均利润额为809,000美元,是普通BEC骗局的7倍!

BEC攻击者伪装成被投资的公司来向投资者发送邮件,要求其根据投资承诺转移资金。由于此类交易的性质,所要求的款项远远高于大多数电汇诈骗所要求的金额。

根据Agari的说法,这些攻击是由攻击者向已知的投资者的财务人员发送电子邮件引起的,要求他们为虚假的投资付款。

此外,Agari还表示,这些攻击者在攻击过程中并没有使用任何内部知识。他们的手法与常见的BEC攻击者别无二致。

BEC诈骗犯已瞄准华尔街,如何防御电汇诈骗需重视

BEC 的虚假催款通知书

专家表示,Agari所监测到的攻击是由电子邮件服务功能发出的,并且大部分来自于总部位于捷克的centrum.cz网络邮件提供商。而这些邮件的附件就是冒充催款通知书要求支付投资款项的文件。

BEC诈骗犯已瞄准华尔街,如何防御电汇诈骗需重视

虚假的催款通知书

一旦他们成功诱骗受害者转账,攻击者会迅速将钱转移到他们所控制的账户下,并且使用钱骡(指通过网络将通过不正当手段从一国得来的钱款和高价值货物转移到另一国)来取款,从而让银行没有办法把被骗资金还给受害者。

虽然电汇诈骗一直存在,但是针对不同的人群诈骗者会使用不同的攻击方式,并且获得更多的利润。

为了抵御BEC,公司和个人都必须增强电子邮件安全意识。

BEC防御建议

Agari针对此次事件提出相关BEC防御建议:

  • 布置强大的反钓鱼邮件和电子邮件认证保护技术,来专门防御高级身份欺骗和品牌欺骗攻击。

  • 建立处理外发支付请求的正式流程。尤其应注意支付信息与原始协议不一致的情况。切勿使用电子邮件中的联系方式,而是使用原始协议中的联系信息。

  • 汇款时始终通过电话直接向投资公司确认请求和银行信息。

除了Agari提供的以上建议,还有一些可采取的建议:(可参考FreeBuf文章《DMARC:企业邮件信息泄漏应对之道》)

(1) 始终保持小于10 个的DNS查找记录

超过10个DNS查找记录则会让用户的SPF完全失效,甚至导致正常的邮件也无法认证成功。在这种情况下,如果将DMARC设置为“reject”,那么常规的电子邮件将无法发送。

(2) 确保传输中的电子邮件的TLS加密

尽管DMARC可以保护用户免受社会工程攻击和BEC的侵害,但仍然需要做好准备应对诸如中间人(MITM)之类的普遍存在的监视攻击。可以通过确保每次将电子邮件发送到用户的域时,在SMTP服务器之间协调通过TLS安全连接来完成。

(3) 使用BIMI提升邮件安全

借助BIMI(邮件识别的品牌指标)进行划分,帮助收件人更直观地在收件箱中识别对方身份,让企业邮件的安全性提升到一个新的水平。

华尔街 投资策略 房地产 网络安全 供应商 提供商
0
为您推荐
HIVE数据仓库完美实战课程,资源教程下载

HIVE数据仓库完美实战课程,资源教程下载

课程名称【快速掌握HIVE视频教程】HIVE数据仓库完美实战课程课程目录├第一周:hive基…...

尚硅谷大数据Flink技术与实战,资源教程下载

尚硅谷大数据Flink技术与实战,资源教程下载

课程名称尚硅谷大数据Flink技术与实战课程目录理论_Flink基础 001__Flink理论_Flink…...

廖雪峰-2019大数据分析精品资料价值1980元,资源教程下载

廖雪峰-2019大数据分析精品资料价值1980元,资源教程

课程介绍:廖雪峰大神历时3个月打磨出来的《数据分析必备技能》的视频学习资料,由浅…...

尚硅谷-大数据项目之电商数仓教程下载

尚硅谷-大数据项目之电商数仓教程下载

课程介绍:本课程以国内电商巨头实际业务应用场景为依托,对电商数仓的常见实战指标以…...

小码哥李明杰Java版《恋上数据结构与算法》 ,资源教程下载

小码哥李明杰Java版《恋上数据结构与算法》 ,资源教

课程目录01-学前须知01-为什么要学习数据结构与算法02-编程语言的选择03-课程大纲04-…...

阿里云大数据分析师ACP认证视频教程下载

阿里云大数据分析师ACP认证视频教程下载

课程介绍阿里云大数据行业认证-大数据分析师认证(ACP-Alibaba Cloud Certified Prof…...

恋上数据结构与算法(第二季),视频教程下载

恋上数据结构与算法(第二季),视频教程下载

课程介绍:课程由MJ老师和名企算法大咖共同研发,在保证易懂的同时确保课程的系统全面…...

社交网络分析与挖掘,视频教程下载

社交网络分析与挖掘,视频教程下载

课程介绍:社交网络和数据挖掘是计算机学科相关研究中的热点,其具体研究涵盖理论、关…...