BEC攻击升级：针对企业的诈骗手法鉴赏

0x00 背景

商业电子邮件欺诈（Business Email Compromise，BEC）是一种社会工程学攻击，主要针对企业，通常以财务欺诈和商业机密窃取为动机。据微软的统计数据显示，自2016年以来，BEC攻击已经导致超过260亿美元的损失。这种类型的攻击已经波及了各种规模的企业，从大公司到小企业都成为了攻击的受害者。本文将深入介绍攻击者如何利用BEC攻击进行金钱欺诈，以及这些欺诈手法如何逐步演进。

想要了解网络安全，学习网络安全知识的小伙伴们可以扫描下方二维码~

0x01 BEC 1.0 什么是BEC攻击？

BEC在网络钓鱼攻击中的占比很高，因为这类型攻击非常容易实施，并且不依赖于恶意文件或链接，而是通过社会工程学进行欺骗诱导。BEC的经典攻击形式是先通过伪造电子邮件与目标员工建立联系，将电子邮件伪装成来自可信的人或组织。一旦建立信任，攻击者可能会直接要求受害者汇款或要求回复敏感信息。

为避免邮件审查和增强欺骗性，BEC攻击者还会将受害者引导至短信或即时通讯工具。一个经典的BEC攻击流程是“诱导财务人员加群”，如下图，攻击者将电子邮件伪造成银行官方邮箱，向企业财务人员批量投递“无害”的诱导加qq邮件，一旦受害者加上qq，就会被拉到一个有“领导”的诈骗群，然后由攻击者扮演的“领导”会命令“受害者”进行后续的转账汇款。

图：伪装成来自XX银行的BEC邮件（图片来源于网络）

图：冒充领导诱导转账示例

0x02 BEC 2.0 操控傀儡邮箱

近年来，安全研究员发现BEC攻击变得愈发复杂。不同于BEC1.0，攻击者现在更倾向于使用真实可信的邮箱来发送欺诈邮件。一旦攻击者锁定目标组织，他们会采用各种技术手段，如凭据网络钓鱼或密码破解，来接管受害者的电子邮件帐户。接下来，攻击者会设置邮件转发规则，以便监视来自合作伙伴或供应商的新电子邮件，尤其是涉及金融交易的邮件。一旦攻击者找到感兴趣的电子邮件对话，他们会劫持该对话，修改银行账号信息，诱导目标受害者完成转账或者提供机密信息。

今年6月，微软通报了一起复杂的BEC攻击，针对银行和金融服务组织。这次攻击活动利用了网络上的钓鱼工具包，使用了高级的中间人代理技术，绕过了双因素认证（2FA）。根据我们对攻击趋势的年度跟踪，早在2021年，网络上已经涌现了多个网络钓鱼即服务和网络钓鱼工具包，这显然降低了犯罪成本，使网络钓鱼活动趋向高度自动化。

在这起攻击活动中，攻击者首先接管了一个受信任的供应商的邮箱登录会话，然后使用新的会话令牌登录。攻击者打算利用供应商与其他合作伙伴组织之间的信任关系进行金融欺诈。一旦攻击者获得了邮箱权限，他们创建了一个收件箱规则，将所有传入电子邮件移动到存档文件夹，并将其标记为已读。然后，攻击者发起了大规模的网络钓鱼活动，涉及了16,000多封电子邮件。攻击者随后监视了受害者用户邮箱中未送达和已发送的电子邮件，并将其从存档文件夹中删除，使受害者对邮箱账户遭受入侵毫不知情。

图：从AiTM网络钓鱼攻击到BEC的攻击链

0x03 BEC 3.0 寄生云服务

根据我们对2022年攻击趋势的年度跟踪，我们发现可信云服务已经成为网络钓鱼攻击的新温床。云服务因其高度安全、高效和易用等优势而迅速增长，这使得攻击者更容易滥用这些高度可信的服务来进行隐蔽的钓鱼攻击。我们的研究表明，目前流行的云服务被多种方式滥用，包括以下几种形式：

利用流行的在线协作文档的邮件通知功能，发送高信誉的钓鱼邮件。
利用受信任的云服务托管钓鱼页面和钓鱼文件等。

如果对此感兴趣，可以查阅我们实验室发布的《2022年攻击技术发展趋势年度报告》以获取更多详细信息。

BEC 3.0借助高信誉度的云服务发动攻击，下图的例子中，攻击者滥用了谷歌在线文档的评论通知功能，通过谷歌官方的邮箱发送了一封恶意的欺诈邮件。这种类型的邮件通常具有高信誉，因此常常会直接送达用户的收件箱。邮件中包含一个看似来自谷歌的链接，但实际上是攻击者用来收集信息的谷歌在线表单。该链接的域名来自谷歌官方，因此受害者很容易被诱导点击。

图：利用Google Docs发送的诱导邮件

0x04 BEC 4.0 新型AI钓鱼

随着人工智能（AI）技术的不断进步，尽管为我们的生活带来了便利，但也为BEC攻击增添了新的潜在可能性。例如，像OpenAI的ChatGPT这样的技术可以被网络犯罪分子用来自动创建极具说服力的虚假电子邮件，这些邮件还可以根据接收者的个性化需求进行定制，从而提高攻击的成功几率。然而，由于OpenAI官方的安全策略限制，ChatGPT显然无法充分发挥其潜力。

由此也诞生针对ChatGPT的“越狱”讨论，近期更是出现了网络犯罪分子创建的邪恶版ChatGPT WormGPT。WormGPT 在地下论坛上被宣传为执行复杂的网络钓鱼活动和BEC攻击的完美工具。如下图，我们看到恶意行为者正在创建自己的自定义模块，并且还在向其他人宣传。根据作者介绍，WormGPT 是基于 GPTJ 语言模型的 AI 模块，接受了各种数据源的培训，它现在拥有一系列功能，包括无限字符支持、聊天记忆保留和代码格式化功能。

WormGPT的出现无疑标志着BEC攻击进入了4.0阶段，它赋予了网络犯罪分子在几秒钟内通过输入提示生成大规模诈骗电子邮件的能力，这给企业网络安全带来了前所未有的挑战。由于诈骗电子邮件的规模和多样性将达到前所未有的水平，因此企业必须应对这一新的威胁。

图：网络犯罪论坛上的WormGPT介绍

图：使用WormGPT生成的BEC邮件

0x05 检测防御

BEC攻击之所以难以根除，是因为这种攻击侧重于社交工程，不常涉及明显的恶意软件或链接，因此传统的安全防护设备难以有效应对。随着BEC攻击的欺诈手法不断演进，企业需要进行针对性的安全意识宣贯、培训，提升员工的安全意识，以应对威胁。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。