由于及时通讯已经成为一种常见通信形式,因此商业电子邮件妥协(BEC)攻击者已开始通过利用SMS消息来欺骗的目标。BEC网络钓鱼诈骗是指攻击者联系公司员工并伪装成公司的高管,并要求他们将个人信息或购买礼品卡密码发送给攻击者,攻击者转换成比特币后,变为合法收入。 为了防止这些类型的攻击,员工必须接受适当的培训,了解如何应对和向安全部门报告类似的电子邮件
传统上,BEC诈骗是通过电子邮件进行的,通过鱼叉式网络钓鱼目标,然后指示受害者执行各种操作。 由于及时通讯变得更加便捷,更容易指导人们快速执行任务,因此BEC攻击者已开始切换到短信文本,以便在整个网络钓鱼过程中指导受害者。
根据 电子邮件安全公司Agari的最新研究,这些新的BEC攻击始于一个钓鱼邮件,该邮件要求目标提供电话号码,以便攻击者可以发送欺骗任务。
一旦受害者回应,Agari说攻击者会为他们设置一个令人信服的骗局。为了能成功欺骗目标,BEC移动诈骗者正在使用Google Voice这样的服务,允许攻击者使用相同的美国电话号码执行多次攻击。
使用Google Voice等服务,诈骗者可以通过桌面网站发送文本,轻松地同时对多个目标进行操作。
通过Google Voice发送短信
一旦他们开始与目标通信,攻击者可以快速指导他们去当地商店购买礼品卡。 然后他们要求目标将刮掉的文本代码发回给他们
一旦攻击者拥有这些代码,他们就会使用像Paxful这样的在线市场快速将它们转换为比特币。 一旦他们将礼品卡转换成比特币,他们就可以使用其他服务将比特币洗成法定货币。
将礼品卡转换成比特币
为了防止这些类型的攻击,员工必须接受适当的培训,了解如何应对和报告请求任何类型财务任务的电子邮件。 如果收到可疑邮件,则不应该立即回复邮件,而是通过打电话并直接询问发送电子邮件的人。