9月9日，汽车零部件制造商丰田纺织（Toyota Boshoku Corporation）报告了一起BEC诈骗（商业邮件诈骗，Business Email Compromise，简称BEC），其中一家欧洲子公司损失了超过3700万美元。BEC攻击非常容易成功，因为欺诈者通常会谨慎选择攻击目标，例如可靠的业务合作伙伴或公司的CEO。BEC攻击主要依赖于社会工程学，向特定目标发送钓鱼邮件，达到攻击目的。

想象一下，如果你是一家初创公司的老板，正在等待一百万美元的种子轮融资，但它却从未出现在你的银行账户上。再或者，假如你是一家风险投资公司的老板，你认为自己已经将投资基金转到投资合作中的另一家初创公司，但这些资金却从未出现在对方的账户中。

以下是今年早些时候由Check Point突发事件应对团队（CP IRT）调查的一个真实案例

一家中国风险投资公司被他们的转账银行提醒，他们最近的一笔网络交易有问题。仅仅几天后，中国风险投资公司的对象，即一家年轻的以色列初创公司也发现，他们没有收到100万美元的种子基金。双方电话核对后，很快意识到他们的钱被盗了。

在查找原因的过程中，他们注意到双方之间的邮件发生了一些奇怪的事情，因为一些邮件被修改了，有些甚至都不是他们亲自写的。

在Check Point接入调查后，研究人员一开始认为这只是一个普通的商务邮件攻击(BEC)，但通过仔细调查，发现事情并没有表面上那么简单。

CP IRT收集并分析了可用的日志、电子邮件和相关的PC。

在证据收集阶段，CP IRT面临3个挑战，这是任何一个面对客户的事件响应者都会遇到的。

客户的邮箱位于GoDaddy的电子邮件服务器上，毫无疑问，该服务器没有提供任何有助于调查的信息。

另外，审计日志只显示到服务器的最后五次登录，而且所有这些信息都是关于以色列初创公司员工的。研究人员发现，如果用户帐户是在以色列方面被破坏，他们可能无法确定攻击者登录的确切时间或使用了哪个IP。

研究人员必须追踪原始邮件，这样才能调查邮件标题。由于研究人员只有这些邮件的截图(来自手机)，他们决定收集所有在原始线索中抄送的人的邮箱档案。通过从截图中搜索关键字，我们能够找到原始邮件。

分析过程

现在研究者有了原始的电子邮件，通过这些材料，就可以看到攻击者是如何实施这次攻击的。

显然，就在这笔钱被盗的几个月前，攻击者就注意到一个电子邮件的内容，该内容就包含启动数百万美元的种子基金。

于是攻击者决定注册两个新的相似域，而不是像通常的BEC攻击那样，仅仅通过创建一个自动转发规则来监控电子邮件。

可以看出，第一个域名与以色列的启动域名本质上是一样的，但是在域名的末尾添加了一个额外的“s”。第二个域名和中国风投公司的很像，但是也在域名后面加了一个“s”。

然后，攻击者发送了两封标题与原始邮件相同的邮件。第一封电子邮件是从一个类似于以色列的域名发送给这家中国风投公司的，它伪造了这家以色列初创公司首席执行官的电子邮件地址。

第二封电子邮件是从中国风投公司的域名发送给这家以色列初创公司的，该域名伪造了处理该投资的风险投资客户经理。

通过已上分析，可以很明显看到，这种就是典型的中间人(MITM)攻击。双方发送的每封电子邮件实际上都是发送给攻击者的，攻击者然后查看电子邮件，确定是否需要编辑任何内容，然后将电子邮件从相关的相似域转发到其原始目的地。

在整个攻击过程中，攻击者向中国投资方面发送了18封伪造的电子邮件，向以色列方面发送了14封伪造的电子邮件。攻击者的耐心、对细节的注意和良好的侦察使这次攻击成功。

在攻击期间，中国公司和这家以色列初创公司的首席执行官一度计划在上海会面。在最后一刻，攻击者向双方发送了一封电子邮件，取消了会议，为他们无法见面提供了不同的借口。

如果没有攻击者的这一关键行动，整个操作可能会失败。如果要举行会议，那在会议期间，将要求帐户所有者验证所有的银行帐户的款是否到账。如果这样，那攻击无疑就穿帮了，因此，攻击者会采取措施确保这种情况不会发生，这说明攻击者的经验非常丰富。

更可怕的是，在发生了这样的盗窃之后，攻击者并没有收手的意思，而是继续努力，试图进行新一轮的风险投资诈骗。可以从下图中看到，这位以色列首席财务官在被诈骗后每月还会收到一封电子邮件，要求他进行网络汇款。邮件内容如下:

缓解措施

1.自动阻止：电子邮件是迄今为止对商业网络进行攻击的第一大媒介。钓鱼邮件会引诱用户暴露他们的组织证书或点击一个恶意链接/文件是电子邮件攻击的头号威胁，企业必须配有电子邮件安全解决方案，旨在防止这种攻击自动利用不断更新的安全引擎。

2.教育你的员工：最重要的是，对员工进行适当的、持续的教育，让他们了解电子邮件攻击的威胁。

3.当处理网络交易时，一定要添加二次验证，无论是打电话给要求汇款的人还是打电话给接收方。

4.确保你的电子邮件托管服务器至少能够追述六个月以内的审核和访问日志，在启动模式下，通过安全性和日志记录来快速构建基础架构很容易。

5.在处理可疑或已确认的网络安全事件时，要尽可能多地获取证据，删除证据只会帮助攻击者。另外，及时捕获事件发生时的证据还可以确保重要的日志和证据不会被覆盖。

6.利用一种工具来识别与你自己的域名相似的新注册域名。

7.提前准备好事件响应计划和战术IR剧本!在危机发生前知道该做什么可以简化响应活动，减少补救所需的时间。

对于电子邮件安全性，Check Point基于人工智能的安全性引擎包括一个高级的反网络钓鱼引擎，该引擎依赖于行为分析，旨在防止与该案例类似的精确攻击。