别成为那头鲸鱼:怎样检测BEC欺诈

最新推荐文章于 2025-06-12 10:42:35 发布
最新推荐文章于 2025-06-12 10:42:35 发布
阅读量109 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/244925
商务电邮入侵(BEC)欺诈手法让网络窃贼从2.4万家公司盗取20亿美元以上。欺诈犯通过深度侦察获取关键信息,利用看似合法的电邮要求,诱骗员工提交汇款请求。此类欺诈行为难以察觉,且不断进化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

美国联邦调查局2016年12月的数据显示,网络窃贼通过商务电邮入侵(BEC,也称为钓鲸邮件)欺诈手段,从2.4万家公司盗取20亿美元以上。

别成为那头鲸鱼:怎样检测BEC欺诈

罪犯可在无意帮凶(被诱骗提交电汇请求的员工)的协助下盗取钱财。从公司财务部门的角度看,该笔交易完全合法。甚至确认电话或其他身份认证措施,也能联系到确实提交了该电汇请求的员工。

骗局描述——欺诈犯也有做调查功课

BEC骗局至少有3种类型,但都从深度侦察开始,了解既定受害者的关键信息,摸清他们的组织形式,知晓该对谁下手才可以让攻击看起来尽可能可信。罪犯会尝试入侵某员工的电邮账户,看看能从中获悉什么,并核查公开可用的信息。他们会找寻:

  • 有关该公司的一般性信息,他们的业务领域和生意往来对象;
  • 公司管理人员的姓名和职务;
  • 管理组织架构:谁向谁汇报;
  • 新融资轮的信息;
  • 新产品、服务或专利的信息;
  • 产品或地理扩张计划;
  • 旅行计划。

一旦知道了该冒充谁,该针对谁,哪些消息是最可信的,罪犯就建立了发送欺诈请求的方式方法。如果他们能入侵高管的电邮账户,他们会控制邮件流以规避检测。他们可能会设置收件箱规则,比如重定向或删除攻击中的特定邮件,防止该账户合法用户看到这些邮件。或者,他们可以编辑“回复”地址,将对欺诈相关邮件的回复,重定向到罪犯设置的电邮地址。

如果没能黑掉高管的电邮账户,他们会创建一个看起来很像的域名,比如:

  • 字母顺序调换:…@companyABDC.com和…@companyABCD.com
  • 用下划线替代连字符:…@company_name.com 和 …@company-name.com
  • 用“m” 换掉“r”和“n”

既然欺诈犯知道该向谁以何种方式说些什么,我们可以来看看以下几种特定攻击案例:

例 1:来自公司高管的邮件

  1. 罪犯入侵或假冒公司某高管的电子邮件账户,比如说首席财务官(CFO)的。
  2. 罪犯从被黑高管账户,向负责处理汇款事宜的下级雇员,比如主管会计,发送电汇要求。
  3. 主管会计根据其“老板”的指示,提交电汇支付请求。

此类案例的另一个版本,从伪造CEO发往CFO的虚假邮件开始。罪犯使用CFO的被黑邮箱,转发虚假CEO邮件给主管会计,请他/她按照CEO的“要求”进行汇款,给汇款请求加上紧迫性和合法性。

例 2:通过欺骗性电邮地址发来的供应商/商业合作伙伴发票

  1. 诈骗犯黑掉目标公司所雇业务用户的电邮账户,比如说,应付账款部的某人。
  2. 罪犯监视该业务用户的邮件,寻找供应商发票。
  3. 罪犯找到合法发票并修改收款人明细,比如修改款项应发到的银行识别代码和账号。
  4. 罪犯假冒该供应商电邮提交被修改过的发票。这一步不需要入侵该供应商的邮件系统,从一个长得很像该供应商电邮域名的邮箱发送即可。(参见前文示例)
  5. 邮件中解释称他们(该供应商)更新了自己的支付过程,也就解释了为什么会有新账户信息。
  6. 应付账款部确认供应商名称和所提供服务,处理发票,提交电汇支付请求。

例 3:关于公司并购的律师来邮

  1. 财务部收到冒充CEO讨论机密公司并购案的罪犯来邮。邮件强调该交易的敏感属性,让雇员感到能被CEO拉进该机密行动圈子是很特别的事。
  2. 邮件解释称,负责该并购案的律师将跟进下达电汇指示。
  3. 罪犯以那名所谓律师的身份,通过邮件或电话的形式,如那封来自CEO的邮件所言,跟进指示电汇支付事宜。
  4. 财务部提交电汇支付请求。

这些骗局依赖似乎完全合法的电邮要求运转,这些要求要么来自真实电子邮件账户,要么来自非最严苛的审查不能发现差异的类似账户。

FBI警告称,此类电汇转账要求措辞得当,特定于具体业务,不会引起对汇款要求合法性的怀疑。以往那种充斥语法和拼写错误,或者场景描述极端不真实的拙劣诈骗,已经绝迹于江湖了。

怎样检测BEC欺诈中的可疑电汇要求

BEC欺诈中提交的虚假支付请求还是有几种检测技巧的:

  1. 新建邮件,并在收件人栏填入高管的已知邮件地址,向高管确认汇款要求;不要回复可疑邮件,因为很可能会回到罪犯邮箱。如果觉得这么做有点傻,不妨问问自己:“是愿意询问一下CEO或CFO,确认电汇要求真实性;还是愿意不得不告诉他们你刚刚给诈骗犯汇了笔款?”
  2. 欺诈邮件通常措辞相似,要求保密和便利。可以设置电子邮件网关标红关键词,比如“支付”、“紧急”、“敏感”或“秘密”。
  3. 尽管BEC中所用后期邮件可能不含有恶意软件、前期入侵雇员邮箱的部分却往往用到恶意代码,因此,请确保你有个有效的恶意软件检测解决方案。
  4. 注册与真实公司域名略有差异的所有域名。
  5. 仔细审查所有涉及资金转账请求的电子邮件,确定这些请求是否超出正常范围。了解你客户的习惯,包括支付细节、支付原因和支付数额。

原文发布时间为:2017-11-09

本文作者: nana

本文来自云栖社区合作伙伴51CTO,了解相关信息可以关注51CTO。

5G时代电信 IT 基础设施中所潜藏的安全风险
qq_42552359的博客
01-05 2733
趋势科技的研究人员总结了改善企业和电信公司 IT 基础设施安全状况的特征、威胁和建议。 语音拦截 语音通话仍然是最受信任的通信类型之一,尽管如此,攻击者仍然可以利用运营商间的信任来利用可信环境、基础设施和运营商之间的互连来实施远程攻击场景。访问国外的电信基础设施也足以进行语音呼叫重定向和拦截。攻击场景可能包括滥用合法安装在私人空间(如酒吧)中的合法室内小型基站、使用Warbox(一款战争沙盒模拟游戏,玩家可借助一系列工具,按照所希望的样子自定义战场,然后观看战争进行或亲身加入战场。)或使用流氓基站拦
混合策略优化下的鲸鱼算法:性能改进与测试效果分析
07-30
基于混合策略改进的鲸鱼优化算法(WOA),并对其测试效果进行了深入解析。首先解释了原版WOA存在的局限性,如易早熟收敛等问题。接着提出了三项关键技术改进措施:非线性收敛因子、高斯扰动策略以及黄金正弦策略。非...
网络威胁解析:如何保护你的企业
Elastic 中国社区官方博客
06-12 927
网络威胁解析:如何保护你的企业。​网络威胁(Cyber threats - 网络安全威胁)是指那些可能通过利用安全漏洞,对个人或组织产生负面影响的事件、行为或情况。网络威胁可能影响数据、系统、运营或人们数字存在的机密性、完整性或可用性。​ Elastic Security 提供对威胁的无限可见性,缩短调查时间,保护你的企业免受不断演变的威胁。借助由 Search AI Platform 驱动的 Elastic Security,安全团队能够全面了解攻击面,发现隐藏威胁,并以前所未有的规模阻止攻击。
渗透中社会工程学:揭秘与防范
xinyaoyaotu的博客
02-08 1628
本文将深入剖析渗透测试中的社会工程学,从原理、攻击类型、攻击流程、攻击手法,到最后的防范策略,带你全方位了解这一网络安全领域的特殊 “存在”。
混合策略改进的鲸鱼优化算法:提升全局探索与局部开发能力 鲸鱼优化算法
05-27
内容概要:本文介绍了对传统鲸鱼优化算法(WOA)进行改进的方法,旨在解决其容易陷入局部最优的问题。首先,通过引入正交拉丁超立方抽样(OLHS)进行初始化,使种群在解空间中更加均匀分布,从而提高收敛速度。其次...
stop-detection-whale-tracking:鲸鱼跟踪动画和停止检测算法。 带有 GPS 轨迹的地图动画
07-23
带有鲸鱼 GPS 跟踪的停止检测算法 该存储库是 Medium 帖子的一部分:鲸鱼轨迹的最终地图动画和停留的持续时间: : 有关数据集的详细信息 该数据集发布在 Movebank 上。 这里的详细信息: :
鲸鱼轨迹可视化:停止检测与地图动画分析
资源摘要信息: "本资源主要介绍了一种名为 'stop-detection-whale-tracking' 的项目,它结合了地图动画与停止检测算法,用于追踪鲸鱼的移动并识别它们在特定区域的停留行为。该项目利用了鲸鱼身上的GPS追踪器记录的...
RA4M2开发IOT(5)-读取单双击
08-09
RA4M2开发IOT(5)----读取单双击 优快云文字教程:https://coremaker.blog.youkuaiyun.com/article/details/148819744 B站教学视频:https://www.bilibili.com/video/BV1xkTszjExu 概述 在上章读取MEMS基础上,我们去识别 单击 与 双击,为后续菜单切换、模式切换等人机交互做铺垫。 硬件准备 首先需要准备一个开发板,这里我准备的是自己绘制的开发板,需要的可以进行申请。 主控为R7FA4M2AD3CFL#AA0 模块配置如下所示。 ● Name:g_external_irq6,这是该外部中断的名称。 ● Channel:选择了6通道。 ● Trigger:触发方式设置为Rising(上升沿触发),即信号上升时触发中断。 ● Digital Filtering:未启用数字滤波(Not Supported)。 ● Digital Filtering Sample Clock:由于数字滤波未启用,因此该项也未支持。 ● Callback:指定了回调函数external_irq6_callback。当中断触发时,将调用此函数处理具体逻辑。 ● Pin Interrupt Priority:设置为Priority 2,表示该中断的优先级为2。 ● IRQ06:映射到引脚P000,即该中断信号通过引脚P000触发。
基于AD8436的真均方根-直流(RMS-DC)转换器设计及其应用
08-09
内容概要:本文档详细介绍了Analog Devices公司生产的AD8436真均方根-直流(RMS-to-DC)转换器的技术细节及其应用场景。AD8436由三个独立模块构成:轨到轨FET输入放大器、高动态范围均方根计算内核和精密轨到轨输出放大器。该器件不仅体积小巧、功耗低,而且具有广泛的输入电压范围和快速响应特性。文档涵盖了AD8436的工作原理、配置选项、外部组件选择(如电容)、增益调节、单电源供电、电流互感器配置、接地故障检测、三相电源监测等方面的内容。此外,还特别强调了PCB设计注意事项和误差源分析,旨在帮助工程师更好地理解和应用这款高性能的RMS-DC转换器。 适合人群:从事模拟电路设计的专业工程师和技术人员,尤其是那些需要精确测量交流电信号均方根值的应用开发者。 使用场景及目标:①用于工业自动化、医疗设备、电力监控等领域,实现对交流电压或电流的精准测量;②适用于手持式数字万用表及其他便携式仪器仪表,提供高效的单电源解决方案;③在电流互感器配置中,用于检测微小的电流变化,保障电气安全;④应用于三相电力系统监控,优化建立时间和转换精度。 其他说明:为了确保最佳性能,文档推荐使用高质量的电容器件,并给出了详细的PCB布局指导。同时提醒用户关注电介质吸收和泄漏电流等因素对测量准确性的影响。
RA4M2-MINI开发(5)-GPIO输入检测
08-09
RA4M2_MINI开发(5)----GPIO输入检测 优快云文字教程:https://coremaker.blog.youkuaiyun.com/article/details/149826725 B站教学视频:https://www.bilibili.com/video/BV1CPgazKEWT/ 概述 本篇文章主要介绍如何使用e2studio对瑞萨单片机进行GPIO输入检测。 硬件准备 首先需要准备一个开发板,这里我准备的是自己绘制的开发板,需要的可以进行申请。 主控为R7FA4M2AD3CFL
卷积-长短期记忆网络(CNN-LSTM)实现数据分类预测的matlab代码(2019A及以上版本)
08-09
内容概要:本文介绍了利用卷积-长短期记忆网络(CNN-LSTM)进行数据分类预测的方法及其MATLAB代码实现。首先阐述了CNN和LSTM这两种深度学习网络的基本概念以及它们各自的优势,接着详细讲解了如何用MATLAB 2019A及以上版本编写代码完成从数据预处理到模型构建、训练直至最终测试评估的一系列流程。文中提供了具体的代码片段作为指导,帮助读者更好地理解和掌握这一先进的机器学习技术。 适合人群:对深度学习感兴趣的研究人员和技术爱好者,尤其是那些希望深入了解CNN-LSTM架构并在MATLAB环境中实践相关项目的个体。 使用场景及目标:适用于需要处理具有时空特性数据的应用场合,比如视频动作识别、自然语言处理等领域。通过本篇文章的学习,读者能够学会如何运用CNN提取图像特征,借助LSTM捕捉时间序列信息,从而提升数据分类预测的效果。 其他说明:为了确保最佳效果,请确保使用的MATLAB版本不低于2019A,并熟悉基本的MATLAB编程技巧。此外,在实际操作前还需准备好相应的数据集用于实验验证。
欧姆龙CP1H与三菱E700变频器通讯程序:实现频率设定与读取的工业自动化解决方案
08-09
内容概要:本文介绍了欧姆龙CP1H PLC控制器与三台三菱E700变频器之间的通讯程序,重点在于通过C IF11通讯板实现频率设定和实际频率读取的功能。文中详细描述了硬件配置(如欧姆龙CP1H、三菱E700变频器)、程序功能(设定频率、读取实际频率、监控运行状态)、通讯协议及流程(设备初始化、数据传输、数据处理),并提供了接线及参数设置的具体指导。此外,还强调了通讯的稳定性、可靠性及其在工业自动化应用中的灵活性和实用性。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是那些负责PLC控制系统和变频器通讯的人群。 使用场景及目标:① 实现对多台变频器的频率设定和读取;② 监控变频器的运行状态,确保数据传输的实时性和准确性;③ 扩展到更多变频器的通讯系统,提高系统的灵活性和适应性。 其他说明:该程序不仅提供了详细的硬件配置和软件实现方法,还包括了接线图和参数设置指南,帮助用户快速部署和调试系统。
工控领域V90PN程序打包块:实现多模式运行与速度调节及故障处理
08-09
内容概要:本文介绍了博图原创的V90PN程序打包块,旨在简化对V90PN伺服电机的控制。该程序包实现了多种运行模式,如点动、回原点、绝对运行等功能,并支持速度调节。它能够处理输入信号(如点动正反转、回原点模式、极限开关信号等),并提供详细的输出信号(如使能状态、故障信息、当前位置和速度)。此外,还详细描述了回原点的状态机流程,确保原点确认的准确性,并强调了连锁信号和故障处理机制的设计。 适合人群:从事工业自动化控制领域的工程师和技术人员,尤其是那些需要频繁配置和调试V90PN伺服电机的人群。 使用场景及目标:适用于需要高效、稳定地控制V90PN伺服电机的应用场合,如生产线自动化设备、机器人控制系统等。主要目标是减少配置复杂度,提高系统可靠性和安全性。 其他说明:文中提到的速度参数建议分级管理,以适应不同技能水平的操作员。同时,针对常见的故障进行了优化处理,提供了直观的故障提示,便于维护和排查问题。
基于TMS320F28035图形化开发的整流套件,支持Simulink直接开发
08-09
基于TMS320F28035图形化开发的整流套件及其在Simulink环境中的直接开发方法。首先概述了TMS320F28035这款高性能DSP的特点和应用场景,接着阐述了整流套件的组成和功能,强调了其高效的整流效果和便捷的图形化开发界面。文中重点讲解了如何利用Simulink进行系统仿真和开发,包括模型建立、仿真测试以及代码自动生成等功能,显著提升了开发效率。最后指出该整流套件在电力电子、电机控制、汽车电子等领域的广泛应用前景。 适合人群:从事电力电子、电机控制、汽车电子等相关领域的工程师和技术人员,尤其是希望提高开发效率并掌握最新开发工具的专业人士。 使用场景及目标:适用于需要高效、稳定整流控制系统的项目开发,旨在帮助开发者快速构建和优化整流系统,缩短开发周期,降低开发难度。 其他说明:该整流套件不仅提供了硬件支持,还配备了易用的图形化开发界面和强大的Simulink仿真工具,为开发者提供了全方位的支持。
elasticsearch-0.16.0.jar中文文档.zip
08-09
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
采用ADP5070的低噪声、双电源解决方案为单电源系统中的精密双极性DAC AD5761R供电
最新发布
08-09
内容概要:本文档介绍了一种基于ADP5070 DC-DC开关稳压器、ADP7142和ADP7182 CMOS LDO线性稳压器、LC滤波器及电阻分压器的电路设计方案,旨在为仅拥有5 V单电源的系统提供低噪声、双电源解决方案,以支持AD5761R双极性DAC的工作。AD5761R是一款16位双极性DAC,需要双电源来提供双极性输出电压范围。文中详细描述了如何配置该电路以适应单电源系统的应用,并展示了不同电源配置(包括外部电源、ADP5070和LC滤波器、ADP5070和LDO线性稳压器)下的性能测试结果,特别是频谱分析、输出电压噪声和交流性能等方面的数据。测试结果表明,增加LDO线性稳压器可以显著降低输出噪声,提升整体性能。 适合人群:从事精密仪器设计、数据采集系统开发的技术人员,尤其是那些需要理解和应用低噪声电源解决方案的专业人士。 使用场景及目标:适用于需要从单一5 V电源生成双电源的应用场合,如测试与测量设备、数据采集系统、执行器控制系统和工业自动化等领域。主要目标是在保证低噪声的前提下,确保AD5761R DAC能够在单电源环境中正常工作,提供高质量的双极性输出。 其他说明:本文档不仅提供了详细的电路配置指南,还通过大量的图表和数据分析验证了不同电源配置的效果。特别强调了在不同频率范围内,使用内部基准电压源和外部基准电压源(如ADR4525)对DAC输出噪声的影响。此外,文档还讨论了LC滤波器和LDO线性稳压器在减少开关纹波方面的作用,为实际应用提供了有价值的参考。
C#上位机与西门子PLC的S7NET协议网口通信实践:涵盖S7-200smart、S7-1200、S7-1500的例子与实测验证
08-09
如何使用C#语言与西门子PLC(S7-200smart、S7-1200、S7-1500)通过S7NET协议进行网口通信。文中涵盖了通信的基本概念、S7Net库的安装与使用方法,并通过具体的代码示例展示了数据读写操作。此外,还强调了现场实测的重要性和必要性,确保通信程序的稳定性和可靠性。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是那些希望深入了解C#与PLC通信机制的人群。 使用场景及目标:适用于需要在工业自动化项目中实现C#上位机与西门子PLC通信的场合。目标是帮助读者掌握S7NET协议的具体实现方法,提高通信系统的稳定性和效率。 其他说明:文中提供的代码示例简单易懂,便于初学者理解和实践。同时,强调了实际应用中的注意事项和潜在问题,有助于读者更好地应对现实环境中的挑战。
欧姆龙CP1H与力士乐VFC-x610变频器通讯程序实现及应用
08-09
欧姆龙CP1H PLC与力士乐VFC-x610变频器之间的通讯程序实现方法。主要内容涵盖硬件配置、参数设置、核心代码解析以及触摸屏联动操作。文中提供了详细的硬件连接方式,如CP1H配合C IF11串口网关板进行RS485通信,确保多台变频器间的稳定通讯。同时,针对变频器的参数设置进行了详细说明,包括波特率、站号、通信协议等关键参数。此外,文章展示了具体的通讯代码片段,解释了正转启动命令帧、CRC校验子程序及频率读取命令的编写要点。最后,介绍了触摸屏的状态指示灯设置和频率设定值的限制措施,确保系统的安全性和稳定性。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是有PLC编程经验并希望深入了解变频器通讯机制的人群。 使用场景及目标:适用于中小型水处理项目、传送带调速等应用场景,旨在帮助工程师快速搭建稳定可靠的变频器控制系统,提高生产效率和设备可靠性。 阅读建议:读者可以结合提供的硬件配置图、参数设置指南和代码注释,逐步理解和实践整个通讯程序的设计与实现。对于初学者来说,建议先熟悉相关硬件和软件环境,再深入研究代码细节。
基于改进粒子群算法的混合储能系统容量优化程序及其Python实现
08-09
内容概要:本文介绍了利用改进粒子群算法(PSO)进行混合储能系统(如电池与超级电容组合)容量优化的方法。作者针对传统PSO易陷入局部最优的问题,提出了一种非线性衰减惯性权重和非对称学习因子的改进方法,并详细展示了核心代码片段。此外,还讨论了适应度函数的设计,将电池循环寿命和超级电容的功率成本纳入考虑,采用等效年成本作为优化目标。文中提到,在初始化粒子时加入容量耦合约束可以加快收敛速度,并提供了优化结果的热力图展示,表明最优解区域呈带状分布。 适合人群:从事储能系统研究与开发的技术人员,尤其是对粒子群算法有一定了解并希望应用于实际工程问题的研究者。 使用场景及目标:适用于需要优化混合储能系统容量配置的项目,旨在提高系统的经济性和效率,降低总体成本。通过学习本文提供的改进算法和代码实现,能够更好地理解和应用粒子群算法解决类似的实际问题。 阅读建议:读者可以通过本文了解改进粒子群算法的具体实现细节以及如何将其应用于混合储能系统的容量优化。同时,建议读者关注适应度函数的设计思想,这对于确保优化结果的有效性至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值