企業(yè)電子郵件攻擊 （BEC） 仍然是企業(yè)面臨的最常見和攻擊最大的攻擊類型,，在FBI 互聯(lián)網(wǎng)犯罪投訴中心 （IC3） 2020年度報(bào)告中，BEC連續(xù)第五年位居榜首,。五年多來,，全球由SilverTerrier攻擊造成的損失從 2016 年的 3.6 億美元激增至 2020 年的驚人的 18 億美元,。從長(zhǎng)遠(yuǎn)來看，與 BEC 計(jì)劃相關(guān)的年度損失現(xiàn)在超過了 24 個(gè)國(guó)家的國(guó)內(nèi)生產(chǎn)總值 （GDP）,。據(jù)估計(jì),，2018-2020年這三年期間，全球損失總計(jì)超過49.3億美元,。更令人擔(dān)憂的是,，這種攻擊沒有放緩的跡象，因?yàn)槿ツ険p失增加了 29%，平均每位受害者為96372美元,。

　　全球疫情期間,，SilverTerrier利用新冠為誘餌，大肆發(fā)起攻擊,。最近,，尼日利亞犯罪團(tuán)伙Silver Terrier針對(duì)醫(yī)療保健行業(yè)和政府組織發(fā)動(dòng)新一輪BEC攻擊。

　　BEC攻擊主要有四種類型：

　　?偽造郵件,、電話,，要求轉(zhuǎn)賬到另一個(gè)賬戶；

　　?盜用高管郵件,，向財(cái)務(wù)部門發(fā)送資金申請(qǐng)郵件,；

　　?盜用員工郵件，向所有聯(lián)系人發(fā)送付款要求,；

　　?冒充律師來處理機(jī)密或時(shí)間緊急的事件,，請(qǐng)求轉(zhuǎn)賬；

　　在過去的五年中,，Palo Alto Networks Unit 42 一直在跟蹤監(jiān)控SilverTerrier攻擊的演變,，并將其幕后攻擊者的位置鎖定在了尼日利亞，他們將惡意軟件命名為“SilverTerrier”進(jìn)行分析跟蹤,。雖然 BEC 是一個(gè)全球攻擊,，但研究人員對(duì)尼日利亞攻擊者的關(guān)注并不是沒有道理，因?yàn)樵搰?guó)一直是網(wǎng)絡(luò)犯罪的熱土,。我們會(huì)在本文中將Palo Alto Networks Unit 42近些年跟蹤分析的全部情況進(jìn)行一個(gè)全面介紹和分析,，其中有超過226萬釣魚攻擊的170700個(gè)惡意軟件樣本，還有大約540個(gè)不同的BEC攻擊組織,。

　　自 2016 年以來,，多個(gè)參與 BEC 攻擊的黑客被捕，其中兩名黑客分別被控盜取2400萬美元和6000萬美元,。

　　BEC范圍的界定

　　鑒于BEC攻擊名稱,，許多人經(jīng)常錯(cuò)誤地認(rèn)為只要是電子郵件系統(tǒng)遭到破壞以及由電子郵件引起的所有計(jì)算機(jī)攻擊都屬于BEC。然而,，這個(gè)定義太過寬泛,，幾乎適用于包含從供應(yīng)鏈攻擊到勒索軟件攻擊的所有攻擊事件。

　　相反,，執(zhí)法部門和網(wǎng)絡(luò)安全行業(yè)的定義要窄得多,。具體而言，BEC被定義為這樣一種攻擊活動(dòng),，該活動(dòng)針對(duì)合法企業(yè)電子郵件帳戶,，通過社會(huì)工程或?qū)τ?jì)算機(jī)的攻擊,，開啟復(fù)雜的詐騙過程。一旦企業(yè)遭到攻擊,，網(wǎng)絡(luò)犯罪分子就會(huì)利用他們的訪問權(quán)限啟動(dòng)或重定向企業(yè)資金的轉(zhuǎn)移路徑以謀取個(gè)人利益,。本文所講的BEC就是基于這個(gè)定義。

　　“商業(yè)電子郵件攻擊（BEC）”一詞最早出現(xiàn)在 2013 年,，當(dāng)時(shí)美國(guó)聯(lián)邦調(diào)查局（FBI）開始追蹤一種新興的金融網(wǎng)絡(luò)攻擊,。當(dāng)時(shí)，BEC 只是被簡(jiǎn)單地視為一種新的網(wǎng)絡(luò)犯罪技術(shù),，只不過是加入了其他簡(jiǎn)單的攻擊計(jì)劃,，例如臭名昭著的“尼日利亞王子”騙局。然而,，隨著時(shí)間的推移,，研究人員逐漸認(rèn)識(shí)到 BEC是一種新興的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)，包含著大量復(fù)雜的套路和技術(shù),。2009-2013 年非洲國(guó)家的互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)歷了一個(gè)快速增長(zhǎng)速度,，年增長(zhǎng)率為 27%，到 2013 年底,，估計(jì)有 16% 的非洲人口成為了網(wǎng)民。

　　同時(shí),，研究人員還追蹤到了商品信息竊取程序,、遠(yuǎn)程訪問木馬 （RAT） 和滲透測(cè)試工具在這段時(shí)間激增。隨著關(guān)于如何使用這些類型工具的教學(xué)資源的出現(xiàn),，一些不懷好意的人就將傳統(tǒng)形式的紙質(zhì)郵件欺詐（尼日利亞王子/高級(jí)費(fèi)用詐騙）搬移到了互聯(lián)網(wǎng),。從犯罪的角度來看，通過網(wǎng)絡(luò)郵件系統(tǒng)發(fā)送數(shù)以千計(jì)的信件并等待回復(fù)實(shí)在是非常高效,。到 2013 年底,，這種犯罪就已經(jīng)大規(guī)模涌現(xiàn)。

　　在過去的六年中,，Unit 42 一直在關(guān)注這一變化,。2014 年，研究人員發(fā)布了第一份報(bào)告,，里面介紹了尼日利亞人為了經(jīng)濟(jì)利益部署惡意軟件的第一個(gè)已知案例,。2016 年，研究人員對(duì)該攻擊進(jìn)行了重點(diǎn)研究,，并很快發(fā)現(xiàn)它已經(jīng)發(fā)展到超過 100 個(gè)不同的團(tuán)體,。之后，研究人員將此攻擊命名為“SilverTerrier”,。

　　2017 年,，攻擊繼續(xù)擴(kuò)大到 300 多個(gè)團(tuán)體,，研究人員開始在年度報(bào)告“尼日利亞商業(yè)電子郵件攻擊的興起”中跟蹤特定的惡意軟件工具趨勢(shì)。研究人員的 2018 年報(bào)告“SilverTerrier：2018 年尼日利亞商業(yè)電子郵件攻擊更新”記錄的攻擊者數(shù)量已經(jīng)超過 400,，因?yàn)獒槍?duì)研究人員客戶的未遂攻擊數(shù)量攀升至平均每月 28227 次,。此外，隨著越來越多的攻擊者開始采用提供更強(qiáng)大功能的 RAT,，研究人員開始觀察到信息竊取程序開始朝越來越復(fù)雜的方向轉(zhuǎn)變,。

　　到 2019 年底，隨著信息竊取器的使用率穩(wěn)步下降,，而 RAT 的采用率同比增長(zhǎng)了 140%,，令人印象深刻的是，這種工具的轉(zhuǎn)變已發(fā)展為既定趨勢(shì),。研究人員在 2019 年的年度報(bào)告還強(qiáng)調(diào)了第一批尼日利亞工具開發(fā)商的出現(xiàn),，這些開發(fā)商在本地開發(fā)了自己的 RAT 和加密工具以出售給同行。

　　進(jìn)入 2020 年,，隨著全球 COVID-19 大流行的影響,，各類攻擊組織暫停了與發(fā)票和包裹傳播相關(guān)的傳統(tǒng)網(wǎng)絡(luò)釣魚活動(dòng)，轉(zhuǎn)而開發(fā)與大流行相關(guān)的主題,。這樣做,，BEC 攻擊者再次展示了他們適應(yīng)不斷變化的經(jīng)營(yíng)環(huán)境的能力。

　　2014年開始時(shí),，這只是一個(gè)小范圍內(nèi)的活動(dòng),，在過去7年里，其范圍和規(guī)模顯著增長(zhǎng),。到目前為止,，研究人員已經(jīng)確定了 540 個(gè)與尼日利亞攻擊者和團(tuán)體相關(guān)聯(lián)的不同活動(dòng)集群。為了更好地了解這些攻擊者及其行為,，2016 年研究人員努力確定攻擊者之間的共性,。當(dāng)時(shí)，研究人員認(rèn)為這些攻擊者只是年輕的,、無組織的臨時(shí)性攻擊,，各攻擊團(tuán)體間的特性如下：

　　?舒適的生活環(huán)境——攻擊者主要來自尼日利亞西南/沿海地區(qū)的Owerri, Lagos, Enugu, Warri和Port Harcourt。大多數(shù)人與朋友和家人待在一起,，他們?cè)谀抢锷畹孟喈?dāng)舒適,，因?yàn)橥鈳藕湍崛绽麃喣卫g的有利匯率。他們的社交媒體賬戶經(jīng)常用外幣,、豪宅和路虎（Range rover）等豪華車的照片來炫耀他們的犯罪成就,。此外，一些更成功的攻擊者出國(guó)旅行,，如英國(guó)和馬來西亞,，在那里他們迅速重建他們的犯罪活動(dòng),。

　　?受過教育——許多攻擊者都上過中等技術(shù)學(xué)校，并繼續(xù)從聯(lián)邦或地區(qū)性技術(shù)大學(xué)課程中獲得本科學(xué)位,。

　　?成年人——攻擊者的年齡從十幾歲到 40 多歲的成年人不等,，因此代表了參與犯罪活動(dòng)的各個(gè)年齡段人群。追蹤發(fā)現(xiàn),，年長(zhǎng)的攻擊者已經(jīng)從其他傳統(tǒng)形式的高級(jí)費(fèi)用詐騙演變?yōu)?BEC 活動(dòng),，而獲得大學(xué)新學(xué)位的年輕攻擊者則通過直接參與惡意軟件活動(dòng)開始了他們的犯罪生涯。

　　?公開攻擊——雖然一小部分攻擊者不遺余力地隱藏他們的身份,，但當(dāng)時(shí)尼日利亞的文化為這些類型的非法活動(dòng)提供了一個(gè)寬松的環(huán)境,。因此，攻擊者經(jīng)常很少努力保持匿名,，并且在注冊(cè)惡意域時(shí)經(jīng)常將假名或別名與當(dāng)?shù)亟值赖刂?、電話?hào)碼和個(gè)人電子郵件地址結(jié)合起來。這樣研究人員通常很容易將這些用戶與他們?cè)?Facebook,、Google+,、LinkedIn、Twitter,、Skype,、Yahoo Messenger 等平臺(tái)上的社交媒體和網(wǎng)絡(luò)帳戶連接起來。

　　?攻擊變得更有組織性——在 BEC 發(fā)展的早期,，研究人員看到一小群攻擊者開始交流,、合作和共享工具和技術(shù)。最常見的形式是,，一個(gè)有經(jīng)驗(yàn)的攻擊者為他們的朋友或年輕的門徒提供惡意軟件基礎(chǔ)設(shè)施。另外,，我們看到一些攻擊者贊助其他攻擊者訪問黑客論壇,，但偶爾也會(huì)有大群攻擊者一起工作，但這種情況被認(rèn)為很少見,。

　　總的來說,，BEC的攻擊者們?nèi)匀贿^著舒適的生活。最早實(shí)施BEC的大多數(shù)攻擊者繼續(xù)接受良好的教育,，完成了中學(xué)和大學(xué)課程,。隨著這些攻擊者年齡的增長(zhǎng)，研究人員看到犯罪活動(dòng)顯著減少,。雖然很難確定確切的原因,，但研究人員認(rèn)為下降的部分原因可能是攻擊者的成熟，包括在他們組建家庭了從而降低收入風(fēng)險(xiǎn),，或者僅僅是他們通過犯罪活動(dòng)賺取了足夠的收入,，他們希望轉(zhuǎn)向到合法的商業(yè)活動(dòng),。相反，還值得注意的是,，研究人員很少看到年幼的兒童或青少年參與此類惡意活動(dòng),。進(jìn)入該領(lǐng)域的新攻擊者往往在十幾歲和 20 歲出頭。

　　觀察尼日利亞這五年的變化,，以及全球?qū)?BEC 攻擊威脅認(rèn)識(shí)的提高,，對(duì)推動(dòng)減少這些攻擊者的肆無忌憚行為產(chǎn)生了積極影響。尼日利亞聯(lián)邦警察 （NFP） 和經(jīng)濟(jì)和金融犯罪委員會(huì) （EFCC）在打擊這一威脅方面取得了顯著的進(jìn)展和成果,，并定期在Twitter賬戶上發(fā)布他們逮捕的行動(dòng)者的照片,。國(guó)際刑警組織（INTERPOL）、聯(lián)邦調(diào)查局（FBI）和澳大利亞聯(lián)邦警察（AFP）等組織協(xié)助他們開展國(guó)際合作,，以推動(dòng)全球起訴行動(dòng),。與此同時(shí)，在技術(shù)領(lǐng)域,，隨著Yahoo Messenger和和 Google+ 等協(xié)作平臺(tái)的退出,，出現(xiàn)了喜憂參半的發(fā)展，而跨社交媒體平臺(tái)的隱私改進(jìn)影響了結(jié)果分析,。至于攻擊者本身,，隨著尼日利亞文化的發(fā)展，他們?cè)絹碓揭庾R(shí)到與其犯罪活動(dòng)相關(guān)的風(fēng)險(xiǎn),。雖然社交媒體賬戶可能仍然炫耀自己的財(cái)富,，但如今公開討論非法活動(dòng)、外幣圖片或其他可能引起執(zhí)法部門不必要注意的內(nèi)容的帖子已少見,。

　　然而,，隨著時(shí)間的推移，BEC 攻擊者在攻擊時(shí)變得更有組織性,。雖然很容易找到作為一個(gè)群體工作的攻擊者,，但使用一個(gè)電話號(hào)碼、電子郵件地址或別名來注冊(cè)惡意基礎(chǔ)設(shè)施以支持多個(gè)攻擊者的做法使得網(wǎng)絡(luò)安全和執(zhí)法更加耗時(shí),。同樣,，研究人員還發(fā)現(xiàn) SilverTerrier 攻擊者，無論地理位置如何,，在社交媒體平臺(tái)上通常僅通過幾層分離就能發(fā)現(xiàn)他們之間的相互聯(lián)系,。下圖顯示了超過120個(gè)攻擊者之間的社交媒體關(guān)系。

　　SilverTerrier 攻擊者的社交媒體關(guān)系

　　除了上面確定的一般攻擊趨勢(shì)之外,，研究人員認(rèn)為還需要檢查一些特定的隔離,，才能更全面地描述現(xiàn)代 BEC 攻擊：

　　?示例 A——Onuegwu Ifeanyi，也被稱為“SSG Toolz”,，于 2020 年 11 月被 NFP 逮捕,。他在伊莫州立大學(xué)學(xué)習(xí)計(jì)算機(jī)科學(xué)后,，于 2014 年底成立了 Ifemonums-Solution LTD，這是一家合法的企業(yè),。從 2014 年到被捕,，他注冊(cè)了 150 多個(gè)惡意域名供個(gè)人使用并支持其他攻擊者。樣本包括 us-military-service[.]com,、starwooclhotels[.]com 和 gulf-capital[.]net,。其中許多域還作為2200多個(gè)惡意軟件樣本的命令和控制基礎(chǔ)設(shè)施，包括Pony,、LokiBot,、PredatorPain、ISRStealer,、ISpySoftware,、Remcos和NanoCore。2016年,，他是Facebook群組“wirewire com”最活躍的成員之一,，該群組現(xiàn)已不復(fù)存在，他還贊助了另外30名攻擊者,，以進(jìn)行欺詐,。

　　?示例 B——該攻擊者也在伊莫州立大學(xué)學(xué)習(xí)。2015年至2018年間,，他使用與印度尼西亞雅加達(dá)有關(guān)的郵寄地址注冊(cè)了180個(gè)域名,。其中幾個(gè)域作為至少55個(gè)惡意軟件樣本的命令和控制服務(wù)器。

　　?示例 C——該攻擊者在拉各斯州立大學(xué)學(xué)習(xí),，20 多歲,，從2016年至今，他注冊(cè)了55個(gè)惡意域名,。這些域與 480 多個(gè)惡意軟件樣本相關(guān)聯(lián),。此外，根據(jù)域的名稱,，這個(gè)攻擊者似乎很可能提供支持其他攻擊者的基礎(chǔ)設(shè)施。樣本包括：247logss[.]info,、fergologss[.]us,、kinglogss[.]info 和 nelsloggs[.]com。