A股上市公司被骗近亿元背后 如何避免因BEC攻击引发的黑天鹅事件？

1月16日，某医药行业上市公司发布公告称，旗下全资子公司近期遭遇犯罪团伙电信诈骗，涉案金额约1170万欧元（约合人民币9176万元）。涉案金额占该企业2022年全年净利润7.15亿元的12.86%、占2023年前三季度净利润1.42亿元的64.78%。

对于此次“黑天鹅”事件，该企业称：“犯罪集团经过长时间的周密布局，以电信诈骗的形式实施诈骗行为。目前，公司正在全力协助警方侦办案件，争取最大限度避免损失。具体细节根据警方侦破案件需求，目前无法对外透露，以免影响案件侦破。”

面对这起电信诈骗案件，有大量网友认为匪夷所思，作为一家如此大体量的上市公司，为什么会对电信诈骗如此缺乏防范意识？网上猜测四起，称其为“第二个獐子岛”。有人怀疑是内外勾结转移掏空上市公司资产，也有观点认为可能涉嫌财务造假等等。

但实际上可能很多人不知道的是，近年来国内的上市公司遭遇诈骗的案例并不罕见。

据媒体报道，家居行业上市公司大亚圣象曾在2021年年报中披露，攻击者入侵了全资子公司美国HomeLegendLLC公司租用的微软公司365邮箱系统，伪造假电子邮件冒充该公司管理层成员，伪造供应商文件及邮件路径，实施诈骗，涉案金额约356.9万美元，折合人民币2275.49万元。

2020年11月5日，制造行业上市公司斯莱克公告称，全资子公司斯莱克国际有限公司近期遭遇犯罪团伙电信诈骗，导致银行账户内的205万余美元通过网络被骗取。

2020年6月23日，京投发展发布关于子公司重大事项的公告称，公司接到持股50%、由合作方负责操盘的子公司北京京投银泰置业报告，其财务人员遭遇犯罪团伙电信诈骗，导致银泰置业银行账户内的2670万元于2020年6月22日通过网络被骗取。

2020年6月16日，化工行业上市公司世龙实业公告称，近期因财务主管人员遭遇电信诈骗，导致公司银行账户内的298万元人民币通过网络被盗取。公司随后向江西省乐平市公安局报案，并收到该局的《立案决定书》，告知公司被诈骗一案，并予以立案侦查。

此外，还有多家拟上市公司披露的招股书显示，他们也曾遭遇电信诈骗。

一家已经终止IPO的公司公告显示，2020年10月因公司遭遇电信诈骗，导致公司银行账户内的300万元被盗取，公司已向所在地公安机关报案并获受理。2021年5月，公安局针对300万元诈骗款追回24万元，款项返还至公司。

而本次发生在医药行业的这一起电信诈骗案件中，涉案金额高达1170万欧元，堪称A股史上最大的一次电信诈骗案件。从过往A股遭遇电信诈骗的案例看，涉案资金追回难度极大。

安全419此前采访了解到，在业界针对企业的高级管理人员和财务人员的复杂电信欺诈通常被称为商业电子邮件欺诈（Business Email Compromise，BEC），这是一种社会工程学攻击，主要针对企业高级管理人员和财务人员，通常以财务欺诈和商业机密窃取为动机。据微软的统计数据显示，自2016年以来，BEC攻击已经导致超过260亿美元的损失。

据悉，BEC攻击在网络钓鱼攻击中的占比很高，从技术层面来看，因为此类攻击不依赖于恶意文件，而是通过社会工程学进行欺骗诱导，所需技术门槛相对较低。BEC攻击的经典攻击形式是先通过伪造电子邮件与目标员工建立联系，将电子邮件伪装成来自可信的人或组织。一旦建立信任，攻击者可能会直接要求受害者汇款或要求回复敏感信息。

正如上述某公司遭遇的电信诈骗案例，为增强欺骗性，攻击者通常还会将受害者引导至短信或即时通讯工具。经典的BEC攻击流程是“诱导财务人员加入QQ群”，攻击者将电子邮件伪造成银行官方邮箱，向企业财务人员批量投递“无害”的诱导加QQ邮件，一旦受害者加上QQ，就会被拉到一个有“领导”的诈骗群，然后由攻击者扮演的“领导”会命令“受害者”进行后续的转账汇款。

事实上，BEC攻击在原理上并不新鲜，并且这类社会工程邮件的骗局甚至已经流行了30多年。但是，BEC攻击为何能够让不法分子屡屡得手呢？

有业内专家指出，因为这些攻击来自信任的对象，且信件内容甚至是口吻都经过深度的伪造，导致受害者难以识别真假。其次，由于BEC攻击往往不携带可检测拦截的URL或恶意附件等攻击载荷，因而能轻易避开大多数传统的安全防护技术，让传统的邮件安全解决方案难以识别。

安全研究人员发现，近年来BEC攻击变得愈发复杂，一旦攻击者锁定目标组织，他们会采用身份窃取等技术手段，盗用受害者相关同事的电子邮件帐户，使用真实可信的邮箱来发送欺诈邮件。

此外，攻击者还会设置邮件转发规则，对关键人员与合作伙伴与供应商的往来邮件进行监视，伺机对涉及金融交易的邮件进行篡改，通过修改银行账号信息来诱导目标受害者完成转账。

近年来随着AI技术的不断进步，利用AI技术来进行深度伪造冒充他人的身份或声音，通过视频或语音的方式实施诈骗的行为也日益泛滥，为BEC攻击增添了新的潜在可能性。

AI深度伪造中常用到的两种技术是声音合成和AI换脸：

声音合成是一种利用计算机技术将文本或其他形式的信息转换为语音输出。声音合成可以分为两个步骤：文本分析和语音合成。文本分析是指将文本转换为语音合成所需的参数，如语调、节奏、重音等。语音合成是指根据参数生成语音信号。基于深度学习的声音合成方法可以利用神经网络来模拟人类发声器官和声道的结构和功能，从而生成逼真的语音。

在具体的案例中，骗子通过骚扰电话录音等来提取某人声音，获取素材后进行声音合成，从而可以用伪造的声音骗过对方。例如，某公司财务接到领导电话，要求立刻给供应商转款，并将转账信息以邮件形式发送，由于老板的口音十分逼真，该财务信以为真，在转款完成后发现被骗。

AI换脸是指利用计算机技术将一张人脸图像替换到另一张人脸图像上，并保持原图像中其他部分不变。AI换脸也可以分为两个步骤：人脸检测和人脸替换。人脸检测是指利用计算机视觉技术在图像中定位和标记出人脸区域和特征点。计算机视觉是指利用计算机技术模拟人类视觉系统对图像或视频进行分析和理解的科学技术。

人脸替换是指利用图像处理技术将源图像中的人脸区域替换为目标图像中的人脸区域，并保持原图像中其他部分不变。图像处理是指利用计算机技术对图像进行操作和变换的科学技术。

在具体的案例中，骗子首先分析公众发布在网上的各类信息，根据所要实施的骗术，通过AI技术筛选目标人群。在视频通话中再利用AI换脸，骗取信任后要求转账或借款。

作为一种基于人工智能技术应用和发展和产生的新型诈骗手段，AI赋予了网络犯罪分子更强大的欺诈能力，当这种技术手段与攻击者在BEC诈骗领域的经验相叠加后，便给企业网络安全带来了前所未有的挑战。

事实上，BEC攻击之所以难以防范，也是因为这种攻击侧重于社交工程，不涉及明显的恶意软件或外部链接，导致传统的邮件安全防护产品难以有限检出威胁。

我们认为，随着BEC攻击的欺诈手法不断演进，首先企业需要进行针对性的安全意识宣贯、培训，提升员工的安全意识，让员工能够在操作过程中对所有的邮件提高警惕，如果遇到可疑的群聊信息或邮件信息，要及时地在组织内部通报等等。

丈八网安CEO兼CTO王珩曾告诉安全419，“无论采用何种攻击方式，攻击者都需要通过企业自身业务或人员的脆弱点进行攻击尝试，企业的安全体系建设中，缺少的是贴近企业实际业务、符合企业人员安全素养的攻防演练及应急响应演练环节。通过构建起有效的日常安全演练机制，可以快速地发现业务系统和安全管理的脆弱点，让风险提前暴露出来，并针对可能存在的安全风险及时做好应对措施。”

事实证明，时至今日员工本身仍然是企业安全中最脆弱的一环，甚至大多数员工都没有见过什么是网络攻击，不了解网络攻击产生的影响对个人和对企业的影响有多大，更谈不上怎么去做好相应的防范措施。所以针对企业员工，让他们在一个模拟仿真环境中体验真实的安全事件，让威胁看得见、摸得到，并学会对威胁能够进行有效处置是最有效的安全意识教育形式。

安全419此前采访了解到，在业界，包括绿盟科技、红山瑞达、丈八网安在内的多家安全厂商，均能够提供员工安全意识教育培训类产品和服务。

丈八网安自主研发的“火天网境”系列新一代网络安全靶场产品，能够针对企业内部人员通过训、演、测、弈等多产品维度方式进行攻防技能训练、应急响应流程训练、安全意识培养以及安全应急响应等训练。

该产品依托自主可控的高仿真目标环境模拟引擎、全自动化任务裁决、智能化AI对手攻击模拟等业内领先技术，不仅能够对标企业实际业务环境进行高逼真度的仿真，还能对黑客的网络攻击行为进行深度的还原，可以全自动模拟出接近真实的邮件钓鱼、近源渗透、勒索软件等在企业中最容易发生的典型网络攻击事件，帮助企业在仿真环境中提前暴露自身业务系统的脆弱面，有效地开展应急响应演练、体验式安全常识培训，提升企业员工的安全意识，磨炼安全技能，让员工不再成为企业安全防护中最脆弱的一环，从根本上大幅提升企业面对网络安全风险整体的应对能力。

针对安全意识教育，绿盟在2023年9月发布了T-ONE CLOUD轻量化安全意识测评服务，能够结合客户网络环境、邮件使用习惯和特征，以热点事件为主题，精心构造极具迷惑性且含有恶意链接的邮件，模仿客户内部人员/部门向目标群体定向开展邮件钓鱼测试，进而评估客户内部人员信息安全意识，为后续安全培训、技术防护手段升级提供依据。

该测评服务主要结合Z-Boat蓝队平台、社工、合规咨询专家为服务赋能，提供包括钓鱼演练、安全意识测评服务等多项能力。Z-Boat是绿盟旗下一款红蓝对抗专用社工钓鱼武器化平台，具备APT、勒索、BEC等多场景威胁的模拟能力，覆盖钓鱼网站、钓鱼木马、水坑攻击等技战术功能。基于对实网攻击事件的跟踪研究，整合了多种新型钓鱼载荷生成和投递技术，为攻防人员提供有力支持，帮助企业全面评估网络安全防御的有效性。

红山瑞达是业内专注于网络安全意识教育领域的安全厂商，其网络钓鱼训练及威胁上报系统通过向单位员工推送典型的网络钓鱼样本，阶段性地观察被测试人员对于邮件中链接点击、钓鱼页面输入数据、下载文件等情况，对员工进行体验式、参与式、实战性的测评、训练。根据检测结果分析、评测员工网络安全意识状况，训练员工了解这些样本的攻击原理、危害性，教导员工识别、处置、防范钓鱼攻击，保护组织机构的网络空间安全。

系统还能够进一步针对恶意邮件（含病毒、木马、钓鱼等恶意内容的邮件）通过转发和上传把可疑邮件上报到系统的恶意邮件处理中心，进行判断、分析、统计、展示，并通过发布预警通告、分发处置工具等措施来管治风险，阻止APT攻击。

红山瑞达副总经理李翔表示，增强安全意识，无论是理论知识的培训还是模拟实战的演练，在企业中应当作为一种常态化的工作，贯穿在企业发展和安全建设的整个过程。

“针对员工的攻击普遍都是利用人的弱点，想要实现100%规避的可能性较低，而且人的弱点会有反复。员工可能会在接受教育、培训的那段时间内，在安全意识方面的确有提升，但若干时间之后，尤其是较长时间没有出现安全风险的情况下，他的安全意识极有可能会松懈，不良习惯也会再次出现。因此，增强员工安全意识这件事，要将它视作为一种‘慢性病’，要将培训、演练形成常态化，才能保障内部员工在安全意识水平方面尽可能巩固在较高水平，以降低企业面临相关安全风险的可能性。”