论文部分内容阅读
摘要:外贸业务中商业邮件诈骗事件屡屡发生,特别是近年来随着互联网技术的飞跃发展,外贸商业邮件诈骗在技术手段、表现形式和攻击量级上均有一定的升级趋势,成为影响我国进出口业务发展的新障碍和新问题。本文对近年来外贸业务中电子邮件诈骗的攻击特点、攻击手段进行了剖析,为外贸企业从容应对日益复杂多变的商业邮件诈骗提供了切实可行的应对措施。
关键词:外贸企业;BEC;商业电子邮件诈骗;鱼叉式攻击
引言
电子邮件(E-mail)是当前国际贸易活动中最常用的贸易磋商手段,目前超过90%的进出口企业均通过E-mail与不同国家的客户建立业务关系,进行交易磋商、商榷货款支付事项等。然而,由于电子邮件与生俱来的互联网属性,使得它理所当然地成为黑客攻击的重要目标。近年来企业电子邮件诈骗在手段、技术和表现形式上花样翻新,迷惑性更强,危害程度逐年加深,据美国联邦调查局(FBI)2018年7月发布的报告指出,结合了“社会工程学”和最新黑客技术的新型诈骗手段——“商业邮件诈骗(Business Email Compromise,简称BEC)给全球带来的损失超过120亿美元。”
1、企业电子邮箱诈骗形式的新变化
据统计,目前中国大陆有大约1.2亿企业电子邮箱活跃用户,长期以来,垃圾邮件、邮箱盗号、钓鱼邮件和带毒邮件是我国企业邮箱遭到网络攻击的主要形式,而近两年企业级电子邮箱遭受攻击的形式有了显著的变化。笔者通过对360互联网安全中心《2017中国企业邮箱安全性研究报告》相关数据进行分析发现,通过普通垃圾邮件进行攻击的诈骗行为有减少的趋势,而新型的诈骗方式如钓鱼式攻击、鱼叉攻击等呈现大幅增长,如2017年全国企业级邮箱用户收到垃圾邮件约3792.6亿封,占接收邮件总量的64.7%,是企业正常邮件数量的2.5倍,而对进出口业务威胁巨大的,新型的钓鱼邮件、带毒邮件分别占到全球企业级电子邮件的4.08%、带毒邮件约占2.12%。其中危害性更大,迷惑性更强的新型诈骗手段如鱼叉攻击、变脸式攻击在近期更是大行其道,这些新型的邮件诈骗将最先进的黑客技术与所谓的“社会工程学”技巧相结合,利用人的盲从、轻信、健忘、胆小、贪便宜等天生的心理弱点,按照设计好的情节和真实周密的剧本进行诈骗,其迷惑性、危害性远远大于传统的邮件诈骗手段,严重威胁到进出口企业的业务和财务安全,应引起外贸企业的高度重视。
2、当前外贸商业邮件诈骗的手段分析
近年来,外贸邮件诈骗呈现出全新的特点,犯罪分子通常采用一系列最新的黑客技术,以钓鱼邮件、鱼叉邮件、带毒邮件为工具,窃取进出口双方电子邮箱信息,然后筛选、锁定目标,侵入甚至直接控制进出口企业邮箱,了解业务信息后实施诈骗。外贸业务邮件诈骗手段名称众多,涉及的技术手段纷繁复杂,但总结起来无非就是两大类型:
2.1 伪造邮箱与邮件内容进行诈骗
黑客首先通过鱼叉攻击等技术手段截获含有付款相关内容的电子邮件,查看邮件内容,观察业务进展,接着注册一个邮箱名高度相似的邮箱(如公司邮箱为:c**coo@126.com,仿冒邮箱:c**cco@126.com);或修改邮箱后缀(如公司邮箱为:sea**day@wzcct.com,仿冒邮箱为sea**daywzcct@ hotmail.com),在合适的时机发邮件给买家,诱导进口商向犯罪分子指定的账户支付货款。
2.2 直接窃取邮箱账号,冒充出口企业进行诈骗
黑客通过木马程序、鱼叉攻击、钓鱼网站等盗取外贸企业电子邮箱账号、密码,反复登录邮箱,或直接更改出口商电子邮箱的相关设置,使出口商发来的邮件被自动转发到黑客邮箱,使得犯罪分子能够暗中了解各项业务洽谈进度,待进口商需要付款时,黑客直接使用出口企业邮箱通知进口商变更收款账户,从而达到骗取货款的目的。此类诈骗随着黑客技术日新月异的发展,目前有明显的上升趋势,由于其伪装程度较高,对进出口企业的危害更大,应引起高度重视。
3、商业邮件诈骗的技术防范
外贸企业要想免受商业邮件诈骗与鱼叉攻击,必须从思想上认识、制度上规范、技术上保障等多角度进行防范;更重要的是,在业务操作和联系中养成良好的E-mail应用习惯,掌握商业邮件的安全发送与接收的方法与技巧。
3.1 选择安全级别较高的企业邮箱
专业的邮件服务商会在邮件服务器上会提供邮件病毒的过滤、数据身份认证、垃圾邮件过滤以及传输安全等先进技术。因而,外贸企业应该“低投入高回报”,尽量使用安全性较高的VIP邮箱,开通各种安全服务,短信登录提醒等保障邮箱安全。目前安全性比较高的外贸VIP邮箱有网易、腾讯、263、138、阿里、TOM企业邮箱。
3.2 密码账号密码的安全设置
邮箱密码要养成定期更换的习惯,而且要选择乱序的字母、数字、特殊字符的组合,长度不低于8位的复杂密码;避免把密码设成名字和生日、电话等或键盘上距离相近字符的排列等弱密码(如:zxs19740508,Asdf123456、!QAZ2wsx)。黑客很容易利用暴力破解工具破解或者截获弱密码。值得注意的是外贸业务专用E-mail的账号密码避免在其他社交平台上重复使用。
3.3 邮箱的常规设置及内容的保密
外贸业务员操作新申请或分配的E-mail邮箱前,需進行安全设置。按需设置“转发、过滤、自动删除、自动转发”等规则,并采用短信动态验证码进行二次确认;还可以给往来邮件加隐私安全锁,使贸易双方的邮件信息能得到口令保护;给邮箱中的各类文件夹加密,这样,黑客即使侵入邮箱也看不到邮件内容。
3.4 往来邮件内容的选择与甄别
在外贸业务邮件往来中:发送邮件时,邮件内容尽量不要涉及汇款、银行账号等内容,即使涉及或变更收汇款银行账号须通过传真、电话等通讯工具进行多元确认;对于接收到的邮件进行甄别,不熟悉的邮件附件不要轻易点击,防止钓鱼邮件乘虚而入。近年来,接近40%的鱼叉攻击邮件为订单类邮件,邮件主题词涉及采购、订单、发盘、付款、发票等,并且内容与主题相符(如“请按附件订单报最优惠价格”、“我公司的支付方式请看附件”等等),这对于正在进行贸易的双方,迷惑性极强。因此,外贸业务员应注意E-mail只是一种沟通的工具,邮件往来与真实贸易流程进度相互同步。 4、外贸企业商业邮件诈骗的业务防范
在网络通讯业务日益发达,商业邮件诈骗案件频发的大背景下,外贸企业在结算方式的选择上没有做到与时俱进,很少有企业意识到结算方式的选择与邮件诈骗发生几率存在较强的关联性。
我国进出口业务中的结算方式主要有汇付(Remittance)、托收(collection)、信用证(Letter of Credit,L/C)三大类,国内传统的大型外贸企业通常倾向于选择信用证和托收结算方式,因而遭受商业邮件诈骗的几率相对较低,但是在进出口业务发达的长江三角洲、珠江三角洲地区,大量中小型外贸企业由于进出口订单的单笔价值低、频次较高,因此多采用电汇结算货款,而这些选择汇付方式结算的外贸业务往往容易成为邮件诈骗案件的高发区。主要原因在于汇付(电汇)方式操作最为简单,进出口地银行对于货款结算的介入程度低,监控环节少,进出口商采取临时变通的余地比较大,使得犯罪分子有机可乘。而托收、信用证结算方式,由于进出口地银行在货款支付中参与程度较高,监控环节较多,发生商业邮件诈骗案件的几率较低。
4.1 选择相对安全的结算方式
进出口企业在签订外贸合同时,应充分认识到各种结算方式在当今网络通讯时代的风险高低存在较大的不同。对于大多数进出口企业,推荐采用信用证(Letter of Credit,L/C)或者托收中的付款交单 (Documents against Payment,D/P)方式结算。由于这两种方式进出口地银行深度参与到了货款结算的各个环节,临时更换付款账户信息需要经历出口商——出口地银行——进口地银行等多个环节,使得进出口双方和参与业务的银行很容易发现问题,及时制止,因而将大大降低商业邮件诈骗的成功率。
4.2 在購销合同中增加收款账户、收货人信息变更条款
在合同中列明进出口双方开户行账号以及收货人等信息,并明确规定:“合同一经签订和执行,则不得变更出口商收款账户和收货人信息,若因特殊情况需要必须变更,必须事先修改原合同相应的条款,另外,当进出口双方在接到对方变更收款账户或收货人信息的请求时,应采取包括电子邮件、传真、电话等至少两种以上的方式进行验证。
5、总结
外贸企业如果防范意识不强,不能及时的发现商业邮件诈骗与鱼叉攻击,不仅会造成严重的损失,而且会导致企业间的失信,严重干扰了国际贸易秩序。为防范进出口企业遭受商业邮件诈骗,进出口企业应养成良好的E-mail应用习惯,具有一定的安全防范意识,做到“事前预防,事中响应,事后拦追”,把风险降到最低。
参考文献:
[1] 网易.老板!全球BEC诈骗损失逾120亿美元,你中招了吗?[EB/OL].http://dy.163.com/v2/article/detail/ DMRTOS3Q05128DFG.html,2018-07-16.
[2] 樊晓云.国际贸易中的电子邮件诈骗手法及防范措施[J].对外经贸,2012(10):32-33.
[3] 闫佳一.防范国际贸易中的“黑客”[J].中国外汇,2015(07): 56-57.
[4] 中睿天下.商业邮件诈骗日,我们来谈一谈BEC商业邮件诈骗[EB/OL]. http://www.sohu.com/a/255965476_9999744 7?tdsourcetag=s_pcqq_aiomsg&qq-pf-to=pcqq.c2c,2019-05-15.
作者简介:冯小玲,副教授,硕士,山西大学商务学院,研究方向:跨境电商,信息安全。
关键词:外贸企业;BEC;商业电子邮件诈骗;鱼叉式攻击
引言
电子邮件(E-mail)是当前国际贸易活动中最常用的贸易磋商手段,目前超过90%的进出口企业均通过E-mail与不同国家的客户建立业务关系,进行交易磋商、商榷货款支付事项等。然而,由于电子邮件与生俱来的互联网属性,使得它理所当然地成为黑客攻击的重要目标。近年来企业电子邮件诈骗在手段、技术和表现形式上花样翻新,迷惑性更强,危害程度逐年加深,据美国联邦调查局(FBI)2018年7月发布的报告指出,结合了“社会工程学”和最新黑客技术的新型诈骗手段——“商业邮件诈骗(Business Email Compromise,简称BEC)给全球带来的损失超过120亿美元。”
1、企业电子邮箱诈骗形式的新变化
据统计,目前中国大陆有大约1.2亿企业电子邮箱活跃用户,长期以来,垃圾邮件、邮箱盗号、钓鱼邮件和带毒邮件是我国企业邮箱遭到网络攻击的主要形式,而近两年企业级电子邮箱遭受攻击的形式有了显著的变化。笔者通过对360互联网安全中心《2017中国企业邮箱安全性研究报告》相关数据进行分析发现,通过普通垃圾邮件进行攻击的诈骗行为有减少的趋势,而新型的诈骗方式如钓鱼式攻击、鱼叉攻击等呈现大幅增长,如2017年全国企业级邮箱用户收到垃圾邮件约3792.6亿封,占接收邮件总量的64.7%,是企业正常邮件数量的2.5倍,而对进出口业务威胁巨大的,新型的钓鱼邮件、带毒邮件分别占到全球企业级电子邮件的4.08%、带毒邮件约占2.12%。其中危害性更大,迷惑性更强的新型诈骗手段如鱼叉攻击、变脸式攻击在近期更是大行其道,这些新型的邮件诈骗将最先进的黑客技术与所谓的“社会工程学”技巧相结合,利用人的盲从、轻信、健忘、胆小、贪便宜等天生的心理弱点,按照设计好的情节和真实周密的剧本进行诈骗,其迷惑性、危害性远远大于传统的邮件诈骗手段,严重威胁到进出口企业的业务和财务安全,应引起外贸企业的高度重视。
2、当前外贸商业邮件诈骗的手段分析
近年来,外贸邮件诈骗呈现出全新的特点,犯罪分子通常采用一系列最新的黑客技术,以钓鱼邮件、鱼叉邮件、带毒邮件为工具,窃取进出口双方电子邮箱信息,然后筛选、锁定目标,侵入甚至直接控制进出口企业邮箱,了解业务信息后实施诈骗。外贸业务邮件诈骗手段名称众多,涉及的技术手段纷繁复杂,但总结起来无非就是两大类型:
2.1 伪造邮箱与邮件内容进行诈骗
黑客首先通过鱼叉攻击等技术手段截获含有付款相关内容的电子邮件,查看邮件内容,观察业务进展,接着注册一个邮箱名高度相似的邮箱(如公司邮箱为:c**coo@126.com,仿冒邮箱:c**cco@126.com);或修改邮箱后缀(如公司邮箱为:sea**day@wzcct.com,仿冒邮箱为sea**daywzcct@ hotmail.com),在合适的时机发邮件给买家,诱导进口商向犯罪分子指定的账户支付货款。
2.2 直接窃取邮箱账号,冒充出口企业进行诈骗
黑客通过木马程序、鱼叉攻击、钓鱼网站等盗取外贸企业电子邮箱账号、密码,反复登录邮箱,或直接更改出口商电子邮箱的相关设置,使出口商发来的邮件被自动转发到黑客邮箱,使得犯罪分子能够暗中了解各项业务洽谈进度,待进口商需要付款时,黑客直接使用出口企业邮箱通知进口商变更收款账户,从而达到骗取货款的目的。此类诈骗随着黑客技术日新月异的发展,目前有明显的上升趋势,由于其伪装程度较高,对进出口企业的危害更大,应引起高度重视。
3、商业邮件诈骗的技术防范
外贸企业要想免受商业邮件诈骗与鱼叉攻击,必须从思想上认识、制度上规范、技术上保障等多角度进行防范;更重要的是,在业务操作和联系中养成良好的E-mail应用习惯,掌握商业邮件的安全发送与接收的方法与技巧。
3.1 选择安全级别较高的企业邮箱
专业的邮件服务商会在邮件服务器上会提供邮件病毒的过滤、数据身份认证、垃圾邮件过滤以及传输安全等先进技术。因而,外贸企业应该“低投入高回报”,尽量使用安全性较高的VIP邮箱,开通各种安全服务,短信登录提醒等保障邮箱安全。目前安全性比较高的外贸VIP邮箱有网易、腾讯、263、138、阿里、TOM企业邮箱。
3.2 密码账号密码的安全设置
邮箱密码要养成定期更换的习惯,而且要选择乱序的字母、数字、特殊字符的组合,长度不低于8位的复杂密码;避免把密码设成名字和生日、电话等或键盘上距离相近字符的排列等弱密码(如:zxs19740508,Asdf123456、!QAZ2wsx)。黑客很容易利用暴力破解工具破解或者截获弱密码。值得注意的是外贸业务专用E-mail的账号密码避免在其他社交平台上重复使用。
3.3 邮箱的常规设置及内容的保密
外贸业务员操作新申请或分配的E-mail邮箱前,需進行安全设置。按需设置“转发、过滤、自动删除、自动转发”等规则,并采用短信动态验证码进行二次确认;还可以给往来邮件加隐私安全锁,使贸易双方的邮件信息能得到口令保护;给邮箱中的各类文件夹加密,这样,黑客即使侵入邮箱也看不到邮件内容。
3.4 往来邮件内容的选择与甄别
在外贸业务邮件往来中:发送邮件时,邮件内容尽量不要涉及汇款、银行账号等内容,即使涉及或变更收汇款银行账号须通过传真、电话等通讯工具进行多元确认;对于接收到的邮件进行甄别,不熟悉的邮件附件不要轻易点击,防止钓鱼邮件乘虚而入。近年来,接近40%的鱼叉攻击邮件为订单类邮件,邮件主题词涉及采购、订单、发盘、付款、发票等,并且内容与主题相符(如“请按附件订单报最优惠价格”、“我公司的支付方式请看附件”等等),这对于正在进行贸易的双方,迷惑性极强。因此,外贸业务员应注意E-mail只是一种沟通的工具,邮件往来与真实贸易流程进度相互同步。 4、外贸企业商业邮件诈骗的业务防范
在网络通讯业务日益发达,商业邮件诈骗案件频发的大背景下,外贸企业在结算方式的选择上没有做到与时俱进,很少有企业意识到结算方式的选择与邮件诈骗发生几率存在较强的关联性。
我国进出口业务中的结算方式主要有汇付(Remittance)、托收(collection)、信用证(Letter of Credit,L/C)三大类,国内传统的大型外贸企业通常倾向于选择信用证和托收结算方式,因而遭受商业邮件诈骗的几率相对较低,但是在进出口业务发达的长江三角洲、珠江三角洲地区,大量中小型外贸企业由于进出口订单的单笔价值低、频次较高,因此多采用电汇结算货款,而这些选择汇付方式结算的外贸业务往往容易成为邮件诈骗案件的高发区。主要原因在于汇付(电汇)方式操作最为简单,进出口地银行对于货款结算的介入程度低,监控环节少,进出口商采取临时变通的余地比较大,使得犯罪分子有机可乘。而托收、信用证结算方式,由于进出口地银行在货款支付中参与程度较高,监控环节较多,发生商业邮件诈骗案件的几率较低。
4.1 选择相对安全的结算方式
进出口企业在签订外贸合同时,应充分认识到各种结算方式在当今网络通讯时代的风险高低存在较大的不同。对于大多数进出口企业,推荐采用信用证(Letter of Credit,L/C)或者托收中的付款交单 (Documents against Payment,D/P)方式结算。由于这两种方式进出口地银行深度参与到了货款结算的各个环节,临时更换付款账户信息需要经历出口商——出口地银行——进口地银行等多个环节,使得进出口双方和参与业务的银行很容易发现问题,及时制止,因而将大大降低商业邮件诈骗的成功率。
4.2 在購销合同中增加收款账户、收货人信息变更条款
在合同中列明进出口双方开户行账号以及收货人等信息,并明确规定:“合同一经签订和执行,则不得变更出口商收款账户和收货人信息,若因特殊情况需要必须变更,必须事先修改原合同相应的条款,另外,当进出口双方在接到对方变更收款账户或收货人信息的请求时,应采取包括电子邮件、传真、电话等至少两种以上的方式进行验证。
5、总结
外贸企业如果防范意识不强,不能及时的发现商业邮件诈骗与鱼叉攻击,不仅会造成严重的损失,而且会导致企业间的失信,严重干扰了国际贸易秩序。为防范进出口企业遭受商业邮件诈骗,进出口企业应养成良好的E-mail应用习惯,具有一定的安全防范意识,做到“事前预防,事中响应,事后拦追”,把风险降到最低。
参考文献:
[1] 网易.老板!全球BEC诈骗损失逾120亿美元,你中招了吗?[EB/OL].http://dy.163.com/v2/article/detail/ DMRTOS3Q05128DFG.html,2018-07-16.
[2] 樊晓云.国际贸易中的电子邮件诈骗手法及防范措施[J].对外经贸,2012(10):32-33.
[3] 闫佳一.防范国际贸易中的“黑客”[J].中国外汇,2015(07): 56-57.
[4] 中睿天下.商业邮件诈骗日,我们来谈一谈BEC商业邮件诈骗[EB/OL]. http://www.sohu.com/a/255965476_9999744 7?tdsourcetag=s_pcqq_aiomsg&qq-pf-to=pcqq.c2c,2019-05-15.
作者简介:冯小玲,副教授,硕士,山西大学商务学院,研究方向:跨境电商,信息安全。