美国联邦调查局 (FBI) 互联网犯罪投诉中心 (IC3) 估计,在过去三年中,商业电子邮件诈骗(BEC诈骗)已经为全球组织造成了高达 260 亿美元的经济损失。



      据悉,这 260 亿美元的损失包括实际的经济损失以及尝试性 BEC 欺诈行为所造成的损失,统计数据,在 2016 年 6 月至 2019 年 7 月期间,IC3 收到了 166,349 起国内(即美国)和国际事件的受害者投诉。据 FBI 介绍称,BEC 诈骗的目标包括小型、中型和大型企业组织。

  就在去年 7 月,美国联邦调查局曾发布报告指出,商业电子邮件攻击 (BEC) 诈骗给全球带来的损失及潜在损失超过 120 亿美元。这份报告是基于 FBI 互联网犯罪投诉中心 (IC3)、国际执法机构和金融机构 2013 年 10 月至 2018 年 5 月收集的数据进行分析得出的结果。此外,该机构还估计,仅 2018 年美国遭遇的 BEC 损失就高达 13 亿美元。

  联邦调查局指出,BEC 诈骗已经在美国所有 50 个州和全球 177 个国家被报道,大约 140 个国家的银行已经收到了与诈骗有关的转账。

  尽管来自中国内地和香港的银行账户是欺诈性转账的最大受益者,但联邦调查局也注意到,寄往英国、墨西哥和土耳其的欺诈性转账正在呈现上升趋势。

  根据 2013 年 10 月至 2019 年 7 月期间收到的美国受害者投诉数量(69,384起),IC3 发现美国受害者的总损失已经达到 101 亿美元。

  而在此期间,收到的非美国受害者投诉数量仅为 3,624 起,损失总额仅略高于 10 亿美元。

  据联邦调查局称,2018 年 5 月至 2019 年 7 月期间,经确认的全球已知损失增加了 100%,其中部分原因是由于人们对这类欺诈的认识所有提高,进而导致来自世界各地的受害者开始提供更多报告,从而增加了过去 12 个月报告的损失。

  除了假冒首席执行官的高价值 BEC 骗局之外,联邦调查局最近也开始将包括入侵事件在内的工资转移方案与此类欺诈联系起来,这种类型的骗局要求骗子首先进行网络钓鱼以获取员工的凭据,然后使用它们将受害者的直接存款帐户更改为攻击者控制的帐户。

  工资转移投诉案件的平均损失为 7,904 美元,2019 年 1 月 1 日至 2019 年 6 月 30 日期间,此骗局的总报告损失为 830 万美元。虽然与 CEO 欺诈相比,针对个人进行的欺诈行为获利相对较低,但联邦调查局追踪发现,这种类型的骗局正呈现不断上升趋势。

  在这种类型的骗局中,网络钓鱼攻击者会向多名员工发送带有电子邮件主机欺骗登录页面的电子邮件,以获取员工的登录凭据,然后使用它们将受害者的直接存款帐户更改为攻击者控制的帐户,这样一来,受害者的工资就会直接进入犯罪分子的账户之中。

  联邦调查局现在已将与工资转移相关的欺诈类型归类为 BEC 欺诈的一部分,因为这两种欺诈类型所涉及的威胁参与者是相同的。

  事实上,包括入侵事件在内的薪酬转移活动已经向 IC3 报告了好多年,然而,直到最近,这种类型的欺诈行为才正式与 BEC 参与者联系起来。

  去年 9 月份,联邦调查局就曾警告称,针对员工登录凭据的网络钓鱼电子邮件,允许网络犯罪分子使用该凭据访问员工的工资核算账户,并更改其银行账户信息。当时,电子邮件安全公司 Agari 也曾指出,工资转移欺诈使用了与 BEC 欺诈类似的技术,且以每月薪酬最高的员工为攻击目标。

  FBI 建议员工使用双因素身份验证来验证对帐户信息更改的请求,以及进行网络钓鱼认知培训,以帮助他们了解错误拼写正确域名的钓鱼网址和链接。

  它还建议员工定期检查个人财务账户,以查看丢失的款项。此外,管理员还应确保员工计算机允许查看完整的电子邮件扩展,并确保系统是最新的和已修补的。

  根据澳大利亚竞争和消费者委员会 (ACCC) 最近发布的一份报告指出,澳大利亚小型企业面临的 BEC 欺诈损失也在增加,与 2018 年全年相比,今年此类欺诈行为造成的损失已经增长了 42%。