商務郵件欺詐新手法：薪資轉移

犯罪分子們越來越多的試圖通過轉移CEO和其他高管的薪資，來進行商業詐騙。

安全供應商Agari表示，最近發現了大量通過社交工程進行薪資轉移的嘗試。Agari在這周的一次報告中表示，幕後的犯罪團伙似乎投入了大量資源來了解組織架構，並清楚的知道攻擊目標。

過去一年裡，薪資轉移已經成為了一個新興威脅，Agari風險研究高管Crane Hassold表示。他說這種攻擊在2018年第四季度開始增加，已經成為了商務郵件洩密（BEC）的最新詐騙形式。

和給金融機構造成威脅的傳統BEC攻擊不同，薪資轉移攻擊不需要通過銀行，因為它是直接存款，而不是電匯。

這些騙局中，典型的操作方式是攻擊者以CEO的名義設定電子郵件賬戶來冒充CEO。然後他們會向人力資源部門或者財務部門已經確定好的人選傳送電子郵件，要求更改現有的直接存款賬戶資訊，並詢問做這些更改所需的資訊。受騙者在被要求提供包含新賬戶資訊的作廢支票時，通常不會有什麼顧慮，大多時候都會提供相關資訊。如果騙局成功了，被冒充的高管的薪資將會轉移到攻擊者持有的賬戶中。

Agari的研究員表示，薪資轉移的方法不需要攻擊者對付第三方系統，這使得他們能夠更好地控制整個過程。

我們發現了這種型別的攻擊以各類員工為目標，但是大部分攻擊針對的是高管人員，因為相應的收益要高得多。

他說，這些攻擊可成一定規模，因為攻擊者可以針對不同公司的大量目標進行攻擊。但是攻擊者在同一個公司選擇多個目標的可能性很低，因為會引起警惕。

BEC攻擊已經存在了好幾年，對大多數企業來說仍然是一個強大的威脅。最初，BEC攻擊或者通過攻擊者登陸企業高管賬號，欺騙企業員工將資金電匯至攻擊者自己的賬戶中，或者通過控制一個賬戶實現同樣的目標。

隨著組織機構對這類BEC騙局越來越熟悉，對手們也在不斷翻新詐騙伎倆。例如在十二月，安全研究人員發現了一種新趨勢，攻擊者們通過冒充CEO接近辦公室經理和其他具有類似許可權的人，為員工購買卡禮品卡。儘管在美國，禮品卡形式的BEC攻擊造成的損失相對較小——大約為100萬美元，這類騙局說明了犯罪集團是如何不斷嘗試不同的詭計，試圖進行商業詐騙的。

據FBI稱，在2013年10月至2018年5月之間，BEC攻擊在全球造成的損失約為 120億美元 。FBI指出，這類騙局已經在150個國家被報道，並在持續增長和演變。聯邦調查局將BEC描述為一種可以影響各大規模組織機構的威脅。

Hassold指出，BEC展示了網路攻擊是如何越來越多的利用社交工程而非技術漏洞的。BEC已經成為了騙子們主要的網路攻擊方式，因為這種方式很容易實施，而且只需要很低的技術要求。

更重要的是，通過BEC獲利，並不需要很高的成功率。Hassold表示對於犯罪分子而言，即使只有千分之一的成功率，也能夠獲得數十萬美元。