调查：四分之一的BEC网络罪犯位于美国

虽然美国是商务电邮入侵（BEC）攻击的主要目标，但有多少BEC攻击者本身位于美国，却让研究人员大感意外。

新出炉的商务电邮入侵（BEC）攻击分析报告揭示了BEC活动全球分布情况：此类威胁背后的肇事者有25%位于美国。这些BEC攻击者中，近半数分布在五个州：加利福尼亚、佐治亚、佛罗里达、得克萨斯和纽约州。

10月13日，电子邮件威胁解决方案供应商Agari公司旗下网络情报部门Agari Cyber Intelligence Division（ACID）发布BEC攻击活动研究白皮书，重点描述攻击者和赃款洗钱钱骡的地理位置分布情况。虽然尼日利亚一直是社会工程诈骗的热点地区，但研究人员发现，只有一半的BEC攻击出自西非国家。

ACID报告包含2019年5月到2020年7月间9000多次网络攻防战的信息，其中2000多次研究人员都可以确定攻击者可能的位置。这些还不包括攻击者可能使用代理或其他技术隐匿其位置的事件。

通过这些攻防活动，研究员发现，BEC攻击者分布全球50多个国家。60%的攻击者驻扎在11个非洲国家；其中83%位于尼日利亚。南非是14%的非洲攻击者的老巢，也是全球第三大BEC团伙聚集地。此外，南非还是唯一一个在研究过程中BEC攻击者数量有所减少的国家。2019年后8个月里，全球11%的BEC攻击者位于南非，但今年前7个月，这一数字下降到了6%。

全球近30%的BEC攻击者位于美洲。其中89%以美国为大本营。虽然美国是众所周知的BEC主要攻击目标，但研究人员惊讶发现，许多攻击者都驻扎在美国，亚特兰大、纽约、洛杉矶、休斯敦和迈阿密等几个都会区更是攻击者聚集地。

Agari威胁研究高级主管Crane Hassold表示：“美国的这部分情况让我们大吃一惊。”删除攻击者使用代理和其他匿名来源的实例后，研究人员认为从美国发起的攻击占比会下降。

进一步审视美国顶级都会区的BEC活动，发现过去几年的重大逮捕事件都发生在这些地区。其中一起名为Operation reWired，是针对BEC的执法行动，在全球逮捕了281人，其中美国74人，尼日利亚167人，土耳其18人，加纳15人。

Hassold解释称：“地理位置是防御者在考虑威胁源头时采用的诸多数据点之一。但要记得，某些情况下，位置数据没那么有用。”

例如，如果安全团队只监视源自尼日利亚的攻击，那就只能监测到全部BEC攻击的一半。

追踪非法资金：BEC钱骡观察

钱骡遍布全世界：为期15个月的研究过程中，ACID团队在39个国家收集到1900个钱骡账户。研究人员报告称，通过这些账户，骗子打算从BEC受害者那里接收超过6400万美元的被盗资金。

Hassold表示，了解钱骡所处位置，弄清他们在BEC攻击活动中是否知情，是研究的一个重要部分。

“钱骡本质上是盘活整个攻击过程的中间环节，没有这些钱骡，整个BEC攻击生态系统就会崩溃。真正了解他们在哪里，尤其是在美国的位置，我觉得非常有趣，因为钱骡基本是BEC‘业务’中资金的第一个落脚点。”

BEC攻击者通常利用位于攻击目标所在国家或地区的钱骡。这并不令人意外，因为大多数钱骡就在美国，但也有可能是因为禁止大额国际电汇的限制。如果攻击者向位于同一国家或地区的人转账3万美元，则可能不会像国际电汇那样触发警报。国际电汇通常伪装成公司账户汇款。

研究人员在2019年5月至2020年7月间发现了900多个用于BEC诈骗的美国钱骡。美国的每个州都至少发现了一个钱骡，包括哥伦比亚特区。其中很多人是陷入浪漫骗局或在家办公诈骗的人。这些骗局中，受害者申请并接受一份工作，工作内容可能包括接收和转运货物，从客户那里接收“付款”，或者打印和发送支票——所有这些都是BEC攻击活动的一部分。

尽管大多数钱骡账户都出自美国的银行，但这些账户要求的款项远远低于其他国家。举个例子，BEC骗子要求美国账户的平均款项为3.95万美元，对香港钱骡账户的要求就是平均25.73万美元。

Agari白皮书：

https://www.agari.com/insights/whitepapers/threat-intelligence-brief-geography-bec/

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。