2023年BEC（商业电子邮件欺诈）攻击达到历史最高水平

2023年8月16日作者：GoUpSec

根据Fortra最新发布的《2023年BEC趋势、目标和技术变化报告》，商业电子邮件欺诈(BEC)攻击正闯下历史最高水平。报告的主要发现如下：

BEC攻击达到历史最高水平

2023年，冒充企业的恶意电子邮件数量增速惊人，其中BEC攻击占已报告威胁的99%。从历史数据来看，用户收件箱中报告的大多数威胁都是BEC攻击，但99%是迄今的最高比例。

报告建议企业必须尽快实施有针对性的安全意识培训计划，以确保其员工能够很好地识别和标记潜在的BEC攻击。企业必须为其员工提供必要的技能和信息，以识别并向安全团队发出潜在BEC诈骗的警告信号。

BEC攻击策略的“新花招”

传统上，BEC诈骗会冒充企业的首席执行官或高级管理人员来欺骗受害者促成重大金融交易。然而，攻击者已经开始改变他们的策略，扩大他们的目标列表，将与目标受害者相关的供应商也包括在内。通过入侵第三方或业务合作伙伴，网络犯罪分子可以通过包含关键内幕信息的真实电子邮件来针对性攻击大型企业，从而显著提高攻击的“合法性”和成功率。此外，网络犯罪分子已经开始利用生成式人工智能来制作精心编写、无语法错误的电子邮件，这些电子邮件更有可能让受害者受骗上当。

有趣的是，虽然电汇仅占首选兑现方式的4%，但在第一季度，网络犯罪分子一个明显的策略转变是不再要求受害者发起全新的付款流程。相反，攻击者开始要求受害者支付“未偿余额”或“欠款金额”，试图将已部分完成的付款“尾款”重定向到自己控制的账户。

这些攻击战术变化再次证明了定期安全意识培训的重要性。企业每年开展一次员工安全意识培训是远远不够的，必须定期进行培训以应对当前高度动态的威胁形势。

混合语音钓鱼正在兴起

混合语音钓鱼攻击使用电话号码和窃取的受信任品牌的知识产权来绕过安全网关并使用户相信其合法性，此类攻击占所有报告的威胁类型的45%。这些攻击主要冒充在线金融服务品牌（如PayPal）和数字安全软件（如Norton或McAfee产品）。如果受害者拨打该电话号码，犯罪分子将尝试通过身份盗用、信用卡欺诈或恶意软件植入来攻击获利。

同样，企业必须通过网络安全意识培训，让员工能够识别和阻止混合语音钓鱼攻击。混合网络钓鱼是一种相对较新的攻击技术，大多数企业员工都不知道如何应对和阻止此类攻击。

凭证盗窃卷土重来

尽管在2022年下半年有所下降，但凭证盗窃在2023年第一季度的所有电子邮件假冒威胁类型中均居领先地位。MicrosoftO365网络钓鱼推动了这一增长，自Fortra开始报告此数据以来，其份额出现了最大的季度环比跃升(10%)，占所有凭证盗窃网络钓鱼的近41%。大多数现代企业都以某种方式使用Microsoft套件，这意味着用户会预先信任来自Microsoft的电子邮件，从而帮助网络犯罪分子混淆他们的攻击。

企业必须让员工明白，他们最信任的品牌本质上是最不值得信任的。同样，这只能通过有效的安全意识培训来实现。

总结

《2023年BEC趋势、目标和技术变化报告揭示了商业电子邮件欺诈(BEC)攻击和防御的以下几大趋势：