商業電子郵件犯罪

與典型垃圾郵件不同，商業電子郵件犯罪是以欺騙者身份傳送，冒充預期受害者的信任方，同時使用社會工程學手段使預期受害者執行冒險行為。它是一個騙局，完全基於說服預期受害者寄送金錢或數據的騙局。

主要分為三種：假冒欺詐，相似域名和顯示名稱欺詐。根據Agari的調查顯示，12%的BEC為假冒欺詐，7%的為相似域名和顯示名稱欺騙的組合，剩餘81%為純粹的顯示名稱欺詐。

(Spoofing)在這種類型中，攻擊者使用設定為郵件伺服器的路由器，但他不是簡單地轉發電子郵件，而是在郵件流中插入偽造的電子郵件。當然他也可以只是簡單地選擇使用免費或付費服務。這對於行騙者來說，幾乎沒有準入門檻。

如果被模仿的域具有已經發布的DMARC策略，那么這些詐欺郵件就可以被阻止或隔離。然而，大多數的企業域上並沒有DMARC，根據DMARC策略進行身份驗證的入站郵件過濾器就更少了。舉例來說，只有5%的財富500強企業在其公司域上建立了拒絕(或阻止)策略。

有些假冒欺詐者使用了假冒目標組織的用戶或者受信目標組織的用戶。我們必須注意到DMARC只能阻止假冒受DMARC保護的域的企圖。因此，攻擊者能夠假冒其他受信組織，如公司的律所、供應商及分所等而不被DMARC阻止。

(Look-alike Domain)相似域名指的是一個受攻擊者控制的看起來很相似的欺騙性域名，主要有兩種類型。一種是“傳統型”。這種類型看起來很像被模仿組織的域名。例如“agarii.com”(有兩個“i”)可能被用來模仿一個域名為“agari.com”(只有一個“i”)的用戶。

第二種類型更為常見和通用，類似於“公司-信息-郵件.com”，這是網路罪犯在現實世界使用的真實域名。儘管可能有人會爭辯說這更像是域名模仿派，但也可以將它視作是一個與假冒欺騙派“一致”的域名，也就是說，預期受害者可能不會注意到這個差異。

(Display Name Deception Attacks)在典型的顯示姓名欺詐攻擊中，攻擊者會在註冊一個免費電子郵件賬戶，選擇一個與被假冒方匹配的名字並設定顯示名稱。通常，一名BEC攻擊者會將名字設定成被模擬者或被模擬企業的名字以匹配被模仿方。例如，攻擊者可能會將顯示姓名設定為“Ravi Khatod”來假冒Agari的執行長(註：Ravi Khatod為現任Agari的CEO)，或者設定成“Wells Fargo”(註：美國富國銀行)來進行針對組織而不是個人名義的攻擊。

除了選擇與被模仿用戶相匹配的顯示名稱外，犯罪分子有時還會選擇用用戶名幫助他們進行冒充偽裝。有時，他們會選能夠用來暗示被模仿組織或用戶的名字來註冊賬戶，例如[email protected]被用於模仿[email protected]。我們要注意到，這不是顯示名稱，在這個例子中，也可能將其設定成“Ravi.Khatod”或“Ravi Khatod ”。更為極端的情況，用戶名有時可以是任何名字，與顯示名稱無關。用戶名就是一個很好的例子。最常見的情形是使用對應於被模擬用戶角色的用戶名。從犯罪的角度看，後一種方法的好處就在於，犯罪分子希望通過與被模擬角色名稱一致的用戶名去模仿、冒充大量的用戶——只要這些用戶也擁有類似的(組織)角色。