网络钓鱼由邮件转向即时通讯 BEC攻击者利用比特币将赃款变为合法收入

由于及时通讯已经成为一种常见通信形式，因此商业电子邮件妥协（BEC）攻击者已开始通过利用SMS消息来欺骗的目标。BEC网络钓鱼诈骗是指攻击者联系公司员工并伪装成公司的高管，并要求他们将个人信息或购买礼品卡密码发送给攻击者，攻击者转换成比特币后，变为合法收入。 为了防止这些类型的攻击，员工必须接受适当的培训，了解如何应对和向安全部门报告类似的电子邮件

传统上，BEC诈骗是通过电子邮件进行的，通过鱼叉式网络钓鱼目标，然后指示受害者执行各种操作。 由于及时通讯变得更加便捷，更容易指导人们快速执行任务，因此BEC攻击者已开始切换到短信文本，以便在整个网络钓鱼过程中指导受害者。

根据 电子邮件安全公司Agari的最新研究，这些新的BEC攻击始于一个钓鱼邮件，该邮件要求目标提供电话号码，以便攻击者可以发送欺骗任务。

一旦受害者回应，Agari说攻击者会为他们设置一个令人信服的骗局。为了能成功欺骗目标，BEC移动诈骗者正在使用Google Voice这样的服务，允许攻击者使用相同的美国电话号码执行多次攻击。

使用Google Voice等服务，诈骗者可以通过桌面网站发送文本，轻松地同时对多个目标进行操作。

通过Google Voice发送短信

一旦他们开始与目标通信，攻击者可以快速指导他们去当地商店购买礼品卡。 然后他们要求目标将刮掉的文本代码发回给他们

一旦攻击者拥有这些代码，他们就会使用像Paxful这样的在线市场快速将它们转换为比特币。 一旦他们将礼品卡转换成比特币，他们就可以使用其他服务将比特币洗成法定货币。

将礼品卡转换成比特币

为了防止这些类型的攻击，员工必须接受适当的培训，了解如何应对和报告请求任何类型财务任务的电子邮件。 如果收到可疑邮件，则不应该立即回复邮件，而是通过打电话并直接询问发送电子邮件的人。

原文链接：http://toutiao.secjia.com/article/page?topid=111307