BEC攻击升级：针对企业的诈骗手法鉴赏

渗透技巧 8个月前 admin

121 0 0

背景

商业电子邮件欺诈（Business Email Compromise，BEC）是一种社会工程学攻击，主要针对企业，通常以财务欺诈和商业机密窃取为动机。据微软的统计数据显示，自2016年以来，BEC攻击已经导致超过260亿美元的损失。这种类型的攻击已经波及了各种规模的企业，从大公司到小企业都成为了攻击的受害者。本文将深入介绍攻击者如何利用BEC攻击进行金钱欺诈，以及这些欺诈手法如何逐步演进。

01 BEC 1.0 什么是BEC攻击？

BEC在网络钓鱼攻击中的占比很高，因为这类型攻击非常容易实施，并且不依赖于恶意文件或链接，而是通过社会工程学进行欺骗诱导。BEC的经典攻击形式是先通过伪造电子邮件与目标员工建立联系，将电子邮件伪装成来自可信的人或组织。一旦建立信任，攻击者可能会直接要求受害者汇款或要求回复敏感信息。

为避免邮件审查和增强欺骗性，BEC攻击者还会将受害者引导至短信或即时通讯工具。一个经典的BEC攻击流程是“诱导财务人员加群”，如下图，攻击者将电子邮件伪造成银行官方邮箱，向企业财务人员批量投递“无害”的诱导加qq邮件，一旦受害者加上qq，就会被拉到一个有“领导”的诈骗群，然后由攻击者扮演的“领导”会命令“受害者”进行后续的转账汇款。

图：伪装成来自XX银行的BEC邮件（图片来源于网络）

图：冒充领导诱导转账示例

02 BEC 2.0 操控傀儡邮箱

近年来，安全研究员发现BEC攻击变得愈发复杂。不同于BEC1.0，攻击者现在更倾向于使用真实可信的邮箱来发送欺诈邮件。一旦攻击者锁定目标组织，他们会采用各种技术手段，如凭据网络钓鱼或密码破解，来接管受害者的电子邮件帐户。接下来，攻击者会设置邮件转发规则，以便监视来自合作伙伴或供应商的新电子邮件，尤其是涉及金融交易的邮件。一旦攻击者找到感兴趣的电子邮件对话，他们会劫持该对话，修改银行账号信息，诱导目标受害者完成转账或者提供机密信息。

今年6月，微软通报了一起复杂的BEC攻击，针对银行和金融服务组织。这次攻击活动利用了网络上的钓鱼工具包，使用了高级的中间人代理技术，绕过了双因素认证（2FA）。根据我们对攻击趋势的年度跟踪，早在2021年，网络上已经涌现了多个网络钓鱼即服务和网络钓鱼工具包，这显然降低了犯罪成本，使网络钓鱼活动趋向高度自动化。

在这起攻击活动中，攻击者首先接管了一个受信任的供应商的邮箱登录会话，然后使用新的会话令牌登录。攻击者打算利用供应商与其他合作伙伴组织之间的信任关系进行金融欺诈。一旦攻击者获得了邮箱权限，他们创建了一个收件箱规则，将所有传入电子邮件移动到存档文件夹，并将其标记为已读。然后，攻击者发起了大规模的网络钓鱼活动，涉及了16,000多封电子邮件。攻击者随后监视了受害者用户邮箱中未送达和已发送的电子邮件，并将其从存档文件夹中删除，使受害者对邮箱账户遭受入侵毫不知情。

图：从AiTM网络钓鱼攻击到BEC的攻击链

03 BEC 3.0 寄生云服务

根据我们对2022年攻击趋势的年度跟踪，我们发现可信云服务已经成为网络钓鱼攻击的新温床。云服务因其高度安全、高效和易用等优势而迅速增长，这使得攻击者更容易滥用这些高度可信的服务来进行隐蔽的钓鱼攻击。我们的研究表明，目前流行的云服务被多种方式滥用，包括以下几种形式：

利用流行的在线协作文档的邮件通知功能，发送高信誉的钓鱼邮件。
利用受信任的云服务托管钓鱼页面和钓鱼文件等。

如果对此感兴趣，可以查阅我们实验室发布的《2022年攻击技术发展趋势年度报告》以获取更多详细信息。

BEC 3.0借助高信誉度的云服务发动攻击，下图的例子中，攻击者滥用了谷歌在线文档的评论通知功能，通过谷歌官方的邮箱发送了一封恶意的欺诈邮件。这种类型的邮件通常具有高信誉，因此常常会直接送达用户的收件箱。邮件中包含一个看似来自谷歌的链接，但实际上是攻击者用来收集信息的谷歌在线表单。该链接的域名来自谷歌官方，因此受害者很容易被诱导点击。

图：利用Google Docs发送的诱导邮件

04 BEC 4.0 新型AI钓鱼

随着人工智能（AI）技术的不断进步，尽管为我们的生活带来了便利，但也为BEC攻击增添了新的潜在可能性。例如，像OpenAI的ChatGPT这样的技术可以被网络犯罪分子用来自动创建极具说服力的虚假电子邮件，这些邮件还可以根据接收者的个性化需求进行定制，从而提高攻击的成功几率。然而，由于OpenAI官方的安全策略限制，ChatGPT显然无法充分发挥其潜力。

由此也诞生针对ChatGPT的“越狱”讨论，近期更是出现了网络犯罪分子创建的邪恶版ChatGPT WormGPT。WormGPT 在地下论坛上被宣传为执行复杂的网络钓鱼活动和BEC攻击的完美工具。如下图，我们看到恶意行为者正在创建自己的自定义模块，并且还在向其他人宣传。根据作者介绍，WormGPT 是基于 GPTJ 语言模型的 AI 模块，接受了各种数据源的培训，它现在拥有一系列功能，包括无限字符支持、聊天记忆保留和代码格式化功能。

WormGPT的出现无疑标志着BEC攻击进入了4.0阶段，它赋予了网络犯罪分子在几秒钟内通过输入提示生成大规模诈骗电子邮件的能力，这给企业网络安全带来了前所未有的挑战。由于诈骗电子邮件的规模和多样性将达到前所未有的水平，因此企业必须应对这一新的威胁。

图：网络犯罪论坛上的WormGPT介绍

图：WormGPT生成的BEC邮件

05 检测防御

BEC攻击之所以难以根除，是因为这种攻击侧重于社交工程，不常涉及明显的恶意软件或链接，因此传统的安全防护设备难以有效应对。随着BEC攻击的欺诈手法不断演进，企业需要进行针对性的安全意识宣贯、培训，提升员工的安全意识，以应对威胁。

绿盟科技红蓝对抗专用社工钓鱼武器化平台Z-Boat

Z-Boat是一款红蓝对抗专用社工钓鱼武器化平台，具备APT、勒索、BEC等多场景威胁的模拟能力，覆盖钓鱼网站、钓鱼木马、水坑攻击等技战术功能。基于对实网攻击事件的跟踪研究，整合了多种新型钓鱼载荷生成和投递技术，为攻防人员提供有力支持，帮助企业全面评估网络安全防御的有效性。

绿盟轻量化安全意识测评服务（InSAAS）

绿盟轻量化安全意识测评服务InSAAS基于Z-Boat平台能力研制，覆盖各类型新型恶意样本攻击模拟，帮助企业开展定期的安全培训和意识活动，以增加用户对恶意载荷投递技术的认识。从实战攻击的角度教育用户如何识别和防范钓鱼邮件、恶意下载链接和不明来源的文件。

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。