79個國家、1萬7千余名受害者、23億美元。這就是快速成長的所謂企業電子郵件攻擊(Business Email Compromise, BEC) 2013年到2015年之間的數字。它是一種具有高度針對性的魚叉式釣魚，其目標并不只是竊取個人信息，而是直接竊取資金。而事實證明，它非常有效。

　　這種攻擊的基本概念非常簡單，也很讓人擔心：

攻擊者假裝成企業高管，向財務部門發送郵件。郵件內容要求員工向某個特定賬戶轉賬，但其實際上是攻擊者的賬戶。

從某種程度上來講,這種攻擊基于社會工程學和對公司的了解程度。所有這些信息都很容易在社交網絡上找到。如果企業目前正在向新的地理區域進行擴張，而企業在內部又確實使用CEO和CFO的名字，那么向那個區域轉賬的要求就不會過于出乎意料。

趨勢科技近期分析了CEO詐騙中的詐騙發送者和接收人。最流行的發送者是CEO，占31%，其后是主席，占17%。最流行的接收人是CFO，其比例略大于40%，然后則是財務部門主管，比例略低于10%。電子郵件標題基本上都很簡單，以和忙碌的高管可能的發信風格相貼近：“轉賬”、“緊急”、“要求”都是最常見的標題。

以上就是最簡單的CEO詐騙。

除此以外，趨勢還總結了兩種未來的變種，并將其稱為“假發票詐騙”和“賬戶攻擊”。在這兩種詐騙中，攻擊者首先入侵員工的電子郵件帳戶。前一種詐騙通常與那些擁有國外客戶的企業有關，攻擊者要求客戶對某個新的銀行賬戶進行轉賬，也就是攻擊者的。后一種詐騙中，攻擊者會將假發票發送給能在受入侵員工聯系人列表上的多個客戶。

CEO詐騙中不一定需要惡意軟件，而是可能完全依賴于釣魚郵件中的社會工程學手段。在它的變種攻擊中，則需要首先入侵相關員工的電子郵件賬戶。趨勢科技分析了已知的一些詐騙事件，并總結稱：“大多數BEC詐騙中使用的惡意軟件都是隨處可以買到的變種，也就是說，可以通過非常便宜的價格在網絡上買到它們。有些惡意軟件最多只用50美元就可以買到，還有些更加便宜，甚至是免費。”

任何包含鍵盤記錄器的惡意軟件都能方便地在用戶輸入時記錄下電子郵件密碼，或者惡意軟件也可以選擇訪問瀏覽器存儲的密碼。Rapid7公司安全研究主管Tod Beardsley評論稱：“我們經常會建議人們將密碼存儲在專用的密碼管理軟件中，比如KeePass、1Passowrd、LastPass。通常的瀏覽器都不具備合適的訪問控制，因此黑客很容易從它們的數據庫中拿到密碼。”

CEO詐騙的解決方案很簡單也很明顯，但顯然，它的效果并不怎么樣。可以使用技術來降低惡意軟件感染的可能性，掃描發出的電子郵件。然而，僅使用技術是不足的，也不能夠阻止那些基于社會工程學的詐騙。

如今，模擬釣魚攻擊已經被證明是提升員工安全意識非常有效的手段。有些培訓活動對于“釣”C級高管總是有點猶豫。BEC詐騙證明，所有員工，從新進員工到CEO本人，都應該進行員工安全意識訓練，比如模擬釣魚。