FBI:商业电邮欺诈损失增长至13亿美元

2018《互联网犯罪报告》显示,互联网犯罪事件的数量和所致损失均继续增长。2018年投诉量比2017年增长14.3%,达到351,937件。所致损失同比增长90.8%,从14.187亿美元增长至27.64亿美元。FBI互联网犯罪投诉中心(IC3)为互联网犯罪的受害者提供在线报告入口,并每年编撰一次《互联网犯罪报告》(ICR),成为互联网犯罪事实存储库,是美国司法机构可用的互联网犯罪细节与统计数据资料库。

最新一期的ICR于2019年4月22日发布。尽管当今时代每个人都有可能成为互联网犯罪的目标,但该报告却显示:60岁以上人群是互联网犯罪受害者的高发人群,其涉案损失也较高。相对于50-59岁人群中48,642名受害者被骗4.95亿美元,60岁以上人群有62,085名受害者,损失6.50亿美元。

报案率最高的犯罪类型是未支付/未交付型欺诈。未支付欺诈发生在货物已发出,但收家拒绝签收和支付的时候。为交付欺诈则是买家已支付货款,但卖家根本没有发货。2018年里,IC3收到来自65,116名受害者的此类投诉,相关损失高达183,826,809美元。

不过,商业电子邮件入侵(BEC)和电子邮件账户入侵(EAC)欺诈,才是互联网犯罪中导致经济损失最高的类型——20,373名受害者总共损失了12.98亿美元。BEC欺诈针对与国外供应商有合作的企业或经常电汇支付的公司。EAC与之类似,但针对的是个人用户。

BEC欺诈在2013年开始流行,当时被称为“假总统”和“假CEO”欺诈。在那个时候,CEO和首席财务官是BEC欺诈的惯常目标。攻击者首先入侵合法商业电子邮件账户,然后发出虚假指令或要求汇款到自己控制下的账户。

BEC和EAC均随着骗子技术的不断精进而演化发展。这些年来,骗子染指过个人电子邮件、供应商电子邮件,冒充过律师电子邮箱账户,索要W-2报税信息,还针对过房地产行业。

BEC在2018年有所增长的最新变种,是冒充机构人员要求收家购买多张礼品卡,或是出于个人原因,或是出于商业原因。为对抗BEC/EAC金融欺诈的增长,IC3于2018年2月成立了其资金恢复团队(RAT),旨在协调金融机构间的沟通,以期更好地冻结和撤回转向美国账户的虚假转账。2018年2月2日至2018年12月31日期间,RAT共处理了1,061起此类国内诈骗。这些骗局给受害者造成的总损失为2.571亿美元,但RAT找回了1.927亿美元,恢复率为75%。

2018年2月的一起早期案例中,IC3 RAT 收到纽约一名BEC欺诈受害者报案,涉案房地产交易中被黑电子邮件账户要求受害者向同样归属纽约的虚假银行账户转账5万美元。RAT联系了该银行的反欺诈部门和IC3,受害者与银行共同合作,资金完全追回到了受害者的账户。

紧随BEC/EAC之后排受害损失金额第二大的互联网犯罪类型是信任欺诈,18,493名受害者上报了362,500,761美元的损失。某种程度上,这是一种古已有之的信任骗局。骗子诱骗受害者觉得他们之间存在一种特殊的信任关系,然后说服受害者给他打钱或说出自己的金融信息,或者帮他洗钱。

2018年里流行程度占据次席的互联网犯罪形式是勒索。51,146名受害者为罪犯贡献了83,357,901美元。勒索相关的投诉相比2017年增长了242%。罪犯惯用的手法是威胁将给受害者造成物理或经济伤害,或者曝光敏感或涉案数据。

2018年2月7日,IC3将一起综合了勒索和DDoS攻击的威胁移交洛杉矶办事处。后续调查发现,该电子邮件威胁源自 Apophis Squad——臭名昭著的校园爆炸和企业DDoS勒索惯犯组织。

一年来,IC3提供了更多Apophis相关信息,就在一年后的2019年2月8日,Timothy Dalton Vaughn 和George Duke-Cohan 被联邦起诉。

值得注意的是,这并非全国犯罪统计数据,而仅仅是源自IC3所接互联网犯罪投诉的数据。真实的数据比之只多不少。以勒索软件为例,IC3的数据显示,1,493名受害者损失了总共3,621,857美元。但这一数据并未包含任何修复支出,也没有包含受害者并未报案而支付了赎金的情况。真正的勒索软件损失会高出很多。

2018《互联网犯罪报告》地址:

https://www.ic3.gov/media/annualreport/2018_IC3Report.pdf

上一篇:Google如何利用内容安全策略缓解Web漏洞

下一篇:对GDPR的六大常见误解