今年4月到9月，黑客使用貌似合法的微軟Office 365電子郵件地址，冒充多達150家公司的高管，以期使攻擊更容易得逞，使用此法獲利1500萬美元。以色列網路安全初創公司Mitiga聲稱，它已告知了美國聯邦調查局、特勤局和微軟。

這是一起典型的案例。在這起所謂的商業電子郵件欺詐（BEC）活動中，騙子冒充公司的合夥人，並說服受害者將錢存入他們的銀行賬戶。比如說，黑客會設定電子郵件伺服器域，讓人誤以為是真實的公司，比如forb3s.com而不是forbes.com。Mitiga表示，在它調查的一起案例中，黑客設法闖入了一名員工的Office 365電子郵件帳戶，從而了解了攻擊目標的電匯情況。然後，未透露名稱的受害者組織準備匯錢時，欺詐者冒充是收錢方，併發送新的電匯指令，那樣收到錢的是欺詐者，而不是實際賣方。後者從未收到應得的款項。

Mitiga調查了這起攻擊後發現了可能有關聯的其他眾多BEC欺詐，這些欺詐可能是同一團伙所為。Mitiga表示，這個團伙使用15個不同的Office 365帳戶註冊了另外150個域，所有這些域都在Wild West Domains上註冊，旨在模仿其他合法公司。

該公司在週三釋出的一份報告中寫道：“我們認為威脅分子選擇使用Office 365是為了提高攻擊得逞的可能性，這歸功於它具有可信度。威脅分子使用同樣的技術堆疊既減少了可疑的差異，又降低了觸發惡意檢測過濾的可能性，最終導致非法電子郵件成為漏網之魚。”

Mitiga不確定這些攻擊是否全部由同一團伙發起，但聲稱已發現了表明有這種可能的“數字指紋”。至於受害者，它仍未透露名稱，但是這家初創公司的聯合創始人兼執行長Tal Mozes說：“受害者都是跨國公司，許多總部位於美國，遍佈眾多行業，包括律師事務所、建築公司、金融公司和零售商。”

聯邦調查人員在8月已獲悉攻擊事件，微軟上週才知曉。FBI尚未迴應置評請求。微軟沒有對涉嫌的欺詐事件發表評論，但在一份宣告中表示，Office 365的電子郵件過濾工具有助於保護客戶免受攻擊。

發言人補充道：“網路釣魚是整個行業一直存在的挑戰，微軟在不斷密切關注新的攻擊模式，並加強我們的服務以幫助確保客戶安全。為了進一步保護客戶，Defender for Office 365（以前名為Office 365 ATP）包含豐富的功能，可以挫敗針對性的高階攻擊，比如商業電子郵件欺詐、登入資訊網路釣魚和電子郵件帳戶洩露。我們鼓勵客戶採用這些高階保護措施，並在網上採取安全計算習慣，我們的網站和部落格已有概述。”

BEC在肆虐

這些攻擊是日益猖獗的BEC攻擊中的最新例子，BEC攻擊已使企業損失數十億美元。

FBI在4月透露，2014年1月到2019年10月，它接到的投訴稱“使用兩種流行的基於雲的電子郵件服務”的BEC騙局造成的實際損失總額超過21億美元。它沒有說微軟的Office套件是不是其中一種服務。聯邦政府執法官員還警告，預計與新冠疫情有關的BEC欺詐行為會增加。FBI稱，在一起案例中，一家金融機構收到了一封欺詐者發來的電子郵件，欺詐者冒充是一家安排過轉賬100萬美元的公司的執行長，“由於新冠疫情爆發以及隔離過程和預防措施”，現要求儘快付款，並轉到另一個賬戶。

《福布斯》也一直密切關注執法部門正在調查的BEC騙局。在FBI去年年底調查的一起特別嚴重的案例中，總部位於佛蒙特州的Encore可再生能源公司上了騙子的當，向冒充是老合夥人的騙子匯去了200萬美元。據《福布斯》看到的搜查令顯示，款項最終存入到了香港的銀行賬戶，不過在犯罪分子洗錢之前追查到並凍結住了這筆錢。