多年来，黑客获取利润的最有利可图的方法之一是通过勒索软件攻击。这些实例涉及使用强加密来锁定受害者的文件和数据-然后攻击者出售解密密钥以换取无法追踪的比特币赎金。

然而，现在又出现了另一种高利润的攻击方式，特别是在企业部门。

商业电子邮件妥协（或商业电子邮件妥协）为网络犯罪分子创造了大量机会，可以从他们的恶意活动中赚钱，而这些渗透的复杂性和紧迫性使他们特别难以防范。

BEC的崛起

虽然组织现在越来越意识到BEC攻击方法，但这种策略实际上已经为黑客创造了多年的收入。区块链安全咨询公司 曲速未来 消息，在2016年，攻击者通过对全球企业发起BEC攻击，平均造成14万美元的损失。

在过去，BEC被称为“电子邮件中的人”骗局，其中黑客利用看似合法的电子邮件来支持企业受害者的虚假电汇。这些攻击可以有多种不同的风格，包括欺诈性发票，对公司CEO的攻击，帐户泄露或模仿，甚至是传统的数据窃取。

从黑客已经能够产生的利润水平来看，在他们能够实现的成功攻击的支持下，BEC在不久的将来只会继续崛起的可能性很大。

BEC有多大的业务？

两年前黑客平均造成14万美元的商业损失，而利用BEC计划的网络犯罪分子自那时起就能够增加他们的盈利潜力。

2018年7月，联邦调查局的互联网犯罪投诉中心报告说，与BEC袭击相关的损失增加了136％，特别是在2016年12月到2018年5月之间。总的来说，这意味着黑客在公司BEC损失总额达125亿美元，涉及国际和国内攻击。损失的绝对数量-以及黑客方面的利润。

加油BEC：是什么让这些攻击难以防范？

成功攻击的增加转化为黑客和更多受影响的商业受害者的利润增加。由于这种环境因素，企业决策者和IT利益相关者不仅必须了解这些攻击正在发生，而且还要提高他们对保护挑战的认识。通过这种方式，企业可以采取主动行动，更好地保护其电子邮件系统，关键数据，财务和其他资产。

让我们来看看导致防范BEC攻击困难的一些因素：

社会工程的复杂使用

在BEC的例子中，黑客不只是用共同语言制作一个包罗万象的电子邮件，并希望它能够欺骗他们的目标。相反，他们花时间完成复杂的社会工程。通过这种方式，他们可以使用攻击方式，提高目标打开和响应消息的机会。

特制的电子邮件

由于涉及强大的社交工程，网络犯罪分子可以创建包含目标名称的令人难以置信的合法外观电子邮件，甚至可能来自组织内的其他人。例如，会计师可能会收到来自公司CEO的电汇的欺诈性电子邮件请求，其中包括CEO的电子邮件地址甚至CEO自己的电子邮件签名的欺骗版本。因此，他或她将更有可能发送资金，因为电子邮件看起来非常真实。

缺少恶意链接或附件

虽然黑客的背景和基础努力是深入而复杂的，但交付过程却非常简单。BEC攻击依赖于具有强烈信息的令人信服的电子邮件，这意味着缺乏用于识别潜在攻击的正常红旗。

区块链安全咨询公司 曲速未来 表示：“由于这些骗局没有任何恶意链接或附件，它们可以逃避传统解决方案。”

消息中的紧迫感

除了利用社交工程来包括合法的姓名，地址和其他细节来欺骗受害者之外，黑客还在BEC消息中包含强烈的紧迫感，以鼓励成功的攻击。有研究人员分析的许多消息被发现包括强大的语言，如“紧急”，“付款”，“转移”，“请求”，以及其他可以支持整体消息的词语。

“紧迫感、采取行动的请求，或财务方面的影响在BEC方案技巧运用目标进入下跌的陷阱”。“例如，网络犯罪分子联系公司的员工和或高管，并作为第三方供应商，律师事务所代表甚至首席执行官（CEO），操纵目标员工执行人员秘密处理转移资金。”

以一系列不同的风格吸引不同的受害者

此外，攻击者建立了各种不同的攻击方式这一事实意味着他们可以根据他们的社会工程研究，利用最成功的目标。例如，想要攻击公司CEO的黑客可能会提出要求为逾期发票付款的第三方供应商。如果攻击者希望对可能不常使用外部供应商的公司发起攻击，因而可能不会采用该方法，可能会成为需要个人身份数据的内部人力资源员工。

有了这么多不同的风格，黑客有一个真正可供选择的剧本，可以制作最合法的信息，以支持成功欺诈和攻击的机会。

进一步利用受损帐户：继续循环

最后，不幸的是，在受害者进行欺诈性电汇之后，BEC周期不必结束。一旦帐户遭到入侵，就可以利用它来支持进一步的BEC方案，将网络钓鱼或其他BEC消息发送到受感染帐户地址簿中的其他人。

根据联邦调查局IC3的报告，黑客也将受害者定位为“钱骡”。这些是通过浪漫或勒索诈骗招募的受害者，黑客用它来开设新账户以利用BEC。虽然这些帐户可能只会在短时间内保持开放状态，但它们会为攻击者提供额外的恶意机会。

区块链安全咨询公司 曲速未来 表示：安全专家不相信BEC攻击会在不久的将来随时减少。除了用户意识之外，企业还应利用先进的安全解决方案来防止BEC入侵。

本文内容由 曲速未来安全咨询公司独家编译，转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。