美國聯邦調查局發出新的警告，稱黑客目前針對的是微軟office35和谷歌G套件的用戶，進行所謂的商業電子郵件攻擊。

據3月6日《嗶嗶電腦》(Bleeping Computer)上的一篇文章說，這一警告是通過3月3日的一份私營行業通知發出的，它指出這些欺詐行為給美國企業造成了數十億美元的損失。

FBI表示:“這些騙局是通過專門開發的phish工具包發起的，這些工具包旨在模擬基于云的電子郵件服務，以侵入企業電子郵件賬戶，并要求或誤轉資金。”“從2014年1月到2019年10月，網絡罪投訴中心(IC3)收到了針對微軟Office 365和谷歌G套件的BEC詐騙投訴，實際損失超過21億美元。”

BEC攻擊并不新鮮，但由于其背后的黑客可能獲得的回報，它們仍在成倍增長。與簡單的黑客攻擊不同，BEC攻擊需要付出一些努力，因為這些攻擊背后的人會冒充電子郵件賬戶的所有者來欺騙目標組織。

今年2月，在一次針對BEC的攻擊中，波多黎各的政府損失了260萬美元，原因是BEC的一個員工賬戶遭到了攻擊。攻擊者偽裝成這名雇員，向多個政府機構發送電子郵件，聲稱銀行賬戶的細節已經改變。BEC攻擊事件是在波多黎各雇員退休系統的一名雇員詢問為何沒有收到本該轉移的資金時被發現的。

安全培訓公司KnowBe4的安全意識倡導者James McQuiggan告訴SiliconANGLE，由于BEC詐騙從組織中竊取了數十億美元，組織應該采取一些技術和人為的安全措施來保護自己。

McQuiggan解釋說:“從技術角度來看，通過在郵件服務器中使用DMARC配置來實現對域的驗證，這允許組織在允許電子郵件進入收件箱之前請求對域進行驗證。”郵件服務器中的發件人策略框架配置用于驗證發件人的電子郵件地址，最后使用郵件頭的加密來防止使用DKIM或域密鑰標識的郵件進行中間人攻擊。

他補充說，對人們來說，“有一個強大的安全意識項目，教育員工意識到危險信號，識別假郵件，這很重要。”您還應該檢查電子郵件地址，并通過明確地詢問自己是否正在等待電子郵件來驗證用戶。信任但核實是確保你不會成為任何電子郵件騙局的受害者的好方法。”

最后，他說，“在那些準備向供應商或供應商匯款的組織中，有適當的程序，而且在賬戶變更、付款或財務變更時，不只是依靠電子郵件。”采用多方參與、分級支付系統的驗證方法，有助于降低資金被罪分子騙走的風險。”