WhiteMail
返回博客
·WhiteMail 安全团队#weekly-report#BEC

周报 #1 — BEC 并未消失,只是变得更安静

欢迎阅读 WhiteMail 的第一篇周报。我们每周会整理分析邮件中最突出的内容——模式、值得了解的手法,以及可以立即采取行动的建议。

本周

新的一年总是如期带来一波商业邮件诈骗(BEC)。预算重新编列、请款单堆积如山、财务团队步调加快——这正是攻击者最乐见的条件。

本周样本中值得注意的是,风险最高的邮件没有链接、没有附件、也没有恶意代码。只有短短几行文字。看起来像是来自高层管理者或熟识往来客户的简短留言,要求在付款前更改入账账户,或是“今天整天都在开会”,请对方悄悄完成汇款。

这类邮件对任何扫描恶意载荷(Payload)的工具而言都是隐形的,因为根本没有载荷存在。攻击完全存在于文字之中,以及那些文字所借用的关系里。

深度分析:劫持受信任的发件人

最有效的 BEC 攻击不会冒充陌生人,而是搭上收件人早已信任的身份。

  • 显示名称一致,但域名不同 — 名称显示为“财务长 朴智恩”,但实际地址却是一个免费网络邮箱账号。
  • Reply-To 与 From 不同 — 你看到熟悉的名字并回复,但那封回信悄悄流向了攻击者。
  • 打破惯例流程的合理借口 — 紧急、保密、出差中、截止期限将至。

这些单独看都不算恶意。但在合适的对话串、合适的时机结合在一起时,它们就构成了整场攻击。

可以采取的行动

  • 任何账户或付款信息变更的要求,每一次都视为需要验证的信号,毫无例外。务必通过另一个已经信任的渠道确认,绝不要直接回复该邮件确认。
  • 留意显示名称与实际地址之间的差异,以及 From 与 Reply-To 之间的差异。
  • 当邮件催促你加快动作时,正是最该提高警觉的时刻。紧急性不是正当性的证明——在 BEC 中,紧急性本身就是手法。

这正是 WhiteHat 在每一封邮件上执行的比对工作。SA-01 检视身份,SA-04 检视意图。在人为察觉之前,劫持信任发件人的手法就已先被揭露。


将可疑邮件粘贴到分析控制台,即可亲自查看各代理的分析结果。