企業電子郵件攻擊 （BEC） 仍然是企業面臨的最常見和攻擊最大的攻擊類型，在FBI 互聯網犯罪投訴中心 （IC3） 2020年度報告中，BEC連續第五年位居榜首。五年多來，全球由SilverTerrier攻擊造成的損失從 2016 年的 3.6 億美元激增至 2020 年的驚人的 18 億美元。從長遠來看，與 BEC 計劃相關的年度損失現在超過了 24 個國家的國內生產總值 （GDP）。據估計，2018-2020年這三年期間，全球損失總計超過49.3億美元。更令人擔憂的是，這種攻擊沒有放緩的跡象，因為去年損失增加了 29%，平均每位受害者為96372美元。

　　全球疫情期間，SilverTerrier利用新冠為誘餌，大肆發起攻擊。最近，尼日利亞犯罪團伙Silver Terrier針對醫療保健行業和政府組織發動新一輪BEC攻擊。

　　BEC攻擊主要有四種類型：

　　?偽造郵件、電話，要求轉賬到另一個賬戶；

　　?盜用高管郵件，向財務部門發送資金申請郵件；

　　?盜用員工郵件，向所有聯系人發送付款要求；

　　?冒充律師來處理機密或時間緊急的事件，請求轉賬；

　　在過去的五年中，Palo Alto Networks Unit 42 一直在跟蹤監控SilverTerrier攻擊的演變，并將其幕后攻擊者的位置鎖定在了尼日利亞，他們將惡意軟件命名為“SilverTerrier”進行分析跟蹤。雖然 BEC 是一個全球攻擊，但研究人員對尼日利亞攻擊者的關注并不是沒有道理，因為該國一直是網絡犯罪的熱土。我們會在本文中將Palo Alto Networks Unit 42近些年跟蹤分析的全部情況進行一個全面介紹和分析，其中有超過226萬釣魚攻擊的170700個惡意軟件樣本，還有大約540個不同的BEC攻擊組織。

　　自 2016 年以來，多個參與 BEC 攻擊的黑客被捕，其中兩名黑客分別被控盜取2400萬美元和6000萬美元。

　　BEC范圍的界定

　　鑒于BEC攻擊名稱，許多人經常錯誤地認為只要是電子郵件系統遭到破壞以及由電子郵件引起的所有計算機攻擊都屬于BEC。然而，這個定義太過寬泛，幾乎適用于包含從供應鏈攻擊到勒索軟件攻擊的所有攻擊事件。

　　相反，執法部門和網絡安全行業的定義要窄得多。具體而言，BEC被定義為這樣一種攻擊活動，該活動針對合法企業電子郵件帳戶，通過社會工程或對計算機的攻擊，開啟復雜的詐騙過程。一旦企業遭到攻擊，網絡犯罪分子就會利用他們的訪問權限啟動或重定向企業資金的轉移路徑以謀取個人利益。本文所講的BEC就是基于這個定義。

　　“商業電子郵件攻擊（BEC）”一詞最早出現在 2013 年，當時美國聯邦調查局（FBI）開始追蹤一種新興的金融網絡攻擊。當時，BEC 只是被簡單地視為一種新的網絡犯罪技術，只不過是加入了其他簡單的攻擊計劃，例如臭名昭著的“尼日利亞王子”騙局。然而，隨著時間的推移，研究人員逐漸認識到 BEC是一種新興的網絡犯罪生態系統，包含著大量復雜的套路和技術。2009-2013 年非洲國家的互聯網產業經歷了一個快速增長速度，年增長率為 27%，到 2013 年底，估計有 16% 的非洲人口成為了網民。

　　同時，研究人員還追蹤到了商品信息竊取程序、遠程訪問木馬 （RAT） 和滲透測試工具在這段時間激增。隨著關于如何使用這些類型工具的教學資源的出現，一些不懷好意的人就將傳統形式的紙質郵件欺詐（尼日利亞王子/高級費用詐騙）搬移到了互聯網。從犯罪的角度來看，通過網絡郵件系統發送數以千計的信件并等待回復實在是非常高效。到 2013 年底，這種犯罪就已經大規模涌現。

　　在過去的六年中，Unit 42 一直在關注這一變化。2014 年，研究人員發布了第一份報告，里面介紹了尼日利亞人為了經濟利益部署惡意軟件的第一個已知案例。2016 年，研究人員對該攻擊進行了重點研究，并很快發現它已經發展到超過 100 個不同的團體。之后，研究人員將此攻擊命名為“SilverTerrier”。

　　2017 年，攻擊繼續擴大到 300 多個團體，研究人員開始在年度報告“尼日利亞商業電子郵件攻擊的興起”中跟蹤特定的惡意軟件工具趨勢。研究人員的 2018 年報告“SilverTerrier：2018 年尼日利亞商業電子郵件攻擊更新”記錄的攻擊者數量已經超過 400，因為針對研究人員客戶的未遂攻擊數量攀升至平均每月 28227 次。此外，隨著越來越多的攻擊者開始采用提供更強大功能的 RAT，研究人員開始觀察到信息竊取程序開始朝越來越復雜的方向轉變。

　　到 2019 年底，隨著信息竊取器的使用率穩步下降，而 RAT 的采用率同比增長了 140%，令人印象深刻的是，這種工具的轉變已發展為既定趨勢。研究人員在 2019 年的年度報告還強調了第一批尼日利亞工具開發商的出現，這些開發商在本地開發了自己的 RAT 和加密工具以出售給同行。

　　進入 2020 年，隨著全球 COVID-19 大流行的影響，各類攻擊組織暫停了與發票和包裹傳播相關的傳統網絡釣魚活動，轉而開發與大流行相關的主題。這樣做，BEC 攻擊者再次展示了他們適應不斷變化的經營環境的能力。

　　2014年開始時，這只是一個小范圍內的活動，在過去7年里，其范圍和規模顯著增長。到目前為止，研究人員已經確定了 540 個與尼日利亞攻擊者和團體相關聯的不同活動集群。為了更好地了解這些攻擊者及其行為，2016 年研究人員努力確定攻擊者之間的共性。當時，研究人員認為這些攻擊者只是年輕的、無組織的臨時性攻擊，各攻擊團體間的特性如下：

　　?舒適的生活環境——攻擊者主要來自尼日利亞西南/沿海地區的Owerri, Lagos, Enugu, Warri和Port Harcourt。大多數人與朋友和家人待在一起，他們在那里生活得相當舒適，因為外幣和尼日利亞奈拉之間的有利匯率。他們的社交媒體賬戶經常用外幣、豪宅和路虎（Range rover）等豪華車的照片來炫耀他們的犯罪成就。此外，一些更成功的攻擊者出國旅行，如英國和馬來西亞，在那里他們迅速重建他們的犯罪活動。

　　?受過教育——許多攻擊者都上過中等技術學校，并繼續從聯邦或地區性技術大學課程中獲得本科學位。

　　?成年人——攻擊者的年齡從十幾歲到 40 多歲的成年人不等，因此代表了參與犯罪活動的各個年齡段人群。追蹤發現，年長的攻擊者已經從其他傳統形式的高級費用詐騙演變為 BEC 活動，而獲得大學新學位的年輕攻擊者則通過直接參與惡意軟件活動開始了他們的犯罪生涯。

　　?公開攻擊——雖然一小部分攻擊者不遺余力地隱藏他們的身份，但當時尼日利亞的文化為這些類型的非法活動提供了一個寬松的環境。因此，攻擊者經常很少努力保持匿名，并且在注冊惡意域時經常將假名或別名與當地街道地址、電話號碼和個人電子郵件地址結合起來。這樣研究人員通常很容易將這些用戶與他們在 Facebook、Google+、LinkedIn、Twitter、Skype、Yahoo Messenger 等平臺上的社交媒體和網絡帳戶連接起來。

　　?攻擊變得更有組織性——在 BEC 發展的早期，研究人員看到一小群攻擊者開始交流、合作和共享工具和技術。最常見的形式是，一個有經驗的攻擊者為他們的朋友或年輕的門徒提供惡意軟件基礎設施。另外，我們看到一些攻擊者贊助其他攻擊者訪問黑客論壇，但偶爾也會有大群攻擊者一起工作，但這種情況被認為很少見。

　　總的來說，BEC的攻擊者們仍然過著舒適的生活。最早實施BEC的大多數攻擊者繼續接受良好的教育，完成了中學和大學課程。隨著這些攻擊者年齡的增長，研究人員看到犯罪活動顯著減少。雖然很難確定確切的原因，但研究人員認為下降的部分原因可能是攻擊者的成熟，包括在他們組建家庭了從而降低收入風險，或者僅僅是他們通過犯罪活動賺取了足夠的收入，他們希望轉向到合法的商業活動。相反，還值得注意的是，研究人員很少看到年幼的兒童或青少年參與此類惡意活動。進入該領域的新攻擊者往往在十幾歲和 20 歲出頭。

　　觀察尼日利亞這五年的變化，以及全球對 BEC 攻擊威脅認識的提高，對推動減少這些攻擊者的肆無忌憚行為產生了積極影響。尼日利亞聯邦警察 （NFP） 和經濟和金融犯罪委員會 （EFCC）在打擊這一威脅方面取得了顯著的進展和成果，并定期在Twitter賬戶上發布他們逮捕的行動者的照片。國際刑警組織（INTERPOL）、聯邦調查局（FBI）和澳大利亞聯邦警察（AFP）等組織協助他們開展國際合作，以推動全球起訴行動。與此同時，在技術領域，隨著Yahoo Messenger和和 Google+ 等協作平臺的退出，出現了喜憂參半的發展，而跨社交媒體平臺的隱私改進影響了結果分析。至于攻擊者本身，隨著尼日利亞文化的發展，他們越來越意識到與其犯罪活動相關的風險。雖然社交媒體賬戶可能仍然炫耀自己的財富，但如今公開討論非法活動、外幣圖片或其他可能引起執法部門不必要注意的內容的帖子已少見。

　　然而，隨著時間的推移，BEC 攻擊者在攻擊時變得更有組織性。雖然很容易找到作為一個群體工作的攻擊者，但使用一個電話號碼、電子郵件地址或別名來注冊惡意基礎設施以支持多個攻擊者的做法使得網絡安全和執法更加耗時。同樣，研究人員還發現 SilverTerrier 攻擊者，無論地理位置如何，在社交媒體平臺上通常僅通過幾層分離就能發現他們之間的相互聯系。下圖顯示了超過120個攻擊者之間的社交媒體關系。

　　SilverTerrier 攻擊者的社交媒體關系

　　除了上面確定的一般攻擊趨勢之外，研究人員認為還需要檢查一些特定的隔離，才能更全面地描述現代 BEC 攻擊：

　　?示例 A——Onuegwu Ifeanyi，也被稱為“SSG Toolz”，于 2020 年 11 月被 NFP 逮捕。他在伊莫州立大學學習計算機科學后，于 2014 年底成立了 Ifemonums-Solution LTD，這是一家合法的企業。從 2014 年到被捕，他注冊了 150 多個惡意域名供個人使用并支持其他攻擊者。樣本包括 us-military-service[.]com、starwooclhotels[.]com 和 gulf-capital[.]net。其中許多域還作為2200多個惡意軟件樣本的命令和控制基礎設施，包括Pony、LokiBot、PredatorPain、ISRStealer、ISpySoftware、Remcos和NanoCore。2016年，他是Facebook群組“wirewire com”最活躍的成員之一，該群組現已不復存在，他還贊助了另外30名攻擊者，以進行欺詐。

　　?示例 B——該攻擊者也在伊莫州立大學學習。2015年至2018年間，他使用與印度尼西亞雅加達有關的郵寄地址注冊了180個域名。其中幾個域作為至少55個惡意軟件樣本的命令和控制服務器。

　　?示例 C——該攻擊者在拉各斯州立大學學習，20 多歲，從2016年至今，他注冊了55個惡意域名。這些域與 480 多個惡意軟件樣本相關聯。此外，根據域的名稱，這個攻擊者似乎很可能提供支持其他攻擊者的基礎設施。樣本包括：247logss[.]info、fergologss[.]us、kinglogss[.]info 和 nelsloggs[.]com。