·WhiteMail 安全团队#weekly-report#VEC#BEC
周报 #4 — 当信任成为武器:供应商邮件诈骗
本周的深度分析,是我们最为警惕的一种攻击,因为它几乎不像攻击。那就是供应商邮件诈骗(VEC, Vendor Email Compromise)。
本周
在一般的 BEC 中,攻击者从外部冒充一个受信任的对象。但在 VEC 中,没有人被冒充。邮件是从真实供应商或合作伙伴真正遭到盗用的账号发出的。邮箱是真的,签名是真的,对话串就是原本已经在进行中的那段对话。
我们观察到的模式,耐性极深。
- 攻击者悄悄掌控供应商的邮箱,通常长达数周之久。
- 阅读真实的对话串,学习双方的关系、语气与付款周期。
- 在恰当的时机——通常是接近请款时——在既有的对话串内回复,告知新的入账账户。
由于是真实账号回复真实对话,认证会通过,历史记录也吻合,文风也正确无误。几乎所有传统信号都显示“正常”——因为就每一项技术指标而言,它确实是正常的。
深度分析:无物可供伪装
这正是 VEC 如此棘手的原因。常见的线索全都不存在。
- 通过认证 — SPF、DKIM、DMARC 全部有效,因为那就是真正的域名。
- 发件人历史记录吻合 — 你确实曾经与这个地址往来通信过。
- 没有相似域名 — 没有一线之差可供抓取,因为那就是真正的域名本身。
唯一还能被察觉的,是上下文中的行为:关系中途突然更改的入账账户、付款急迫性的突然转变、不符合这家往来客户一贯节奏的请求。诈骗并不存在于消息的任何单一属性中,而是存在于偏离既有模式的那一点。
可以采取的行动
- 让任何付款或入账信息的变更都必须经过验证步骤。即使是已知、通过认证的往来客户在既有对话串中发出的请求——甚至正是在那种情况下——也一样。请通过另一个渠道,用原本就持有的号码确认,而不是邮件中提供的号码。
- 留意对话中途的变化:新账户、新的急迫性、新加入抄送(CC)的“财务”联系人。
- 请记住,通过认证不代表安全。VEC 从设计上就必然通过认证。
WhiteHat 在这里之所以有用,正是因为它不会止步于认证。SA-01 对关系建模,SA-04 读取意图。因此即使所有邮件头都正常,依然能根据上下文,标记出正当却偏离常轨的请求。
在分析控制台测试一段要求变更付款信息的对话串,看看是上下文而非认证如何引导出最终判定。