上周五（12月29日），一位名為Olusegun Samson Adejorin的尼日利亞黑客因詐騙馬里蘭州和紐約州的兩個慈善組織在加納被捕，并面臨與商業電子郵件泄密 (BEC) 攻擊有關的指控。

根據美國聯邦大陪審團的八項指控，Adejorin 面臨的指控包括電信欺詐、嚴重身份盜竊和未經授權訪問受保護的計算機，這些行為與針對馬里蘭州兩家慈善組織的攻擊有關，該攻擊導致美國一家慈善組織損失超過 750 萬美元。

Adejorin竊取數百萬，將面臨最高20年刑期

美國司法部（DoJ）在本周發布的一份公告中提到，Adejorin 的詐騙計劃最早始于 2020 年 6 月至 8 月期間，他不僅冒充員工還非法訪問了員工的電子郵件賬戶。

Adejorin 冒充某慈善機構員工，要求為其提供投資服務的另一家慈善機構中提取大筆資金，而為了順利完成超過 10000 美元的取款流程，Adejorin 使用從該員工賬戶中竊取的憑證，從需要批準交易的員工賬戶中發送了電子郵件。

此外，美國司法部還補充稱：作為該計劃的一部分，Adejorin 還涉嫌購買了一種用于竊取電子郵件登錄憑證的憑證收集工具。他注冊了欺詐性域名，然后將欺詐性電子郵件藏在了員工的郵箱中一個不顯眼的位置。

通過這種方式，Adejorin 成功誘騙慈善機構人員將 750 萬美元轉入其銀行賬戶中，轉賬的慈善組織在整個過程中并未察覺到異常，以為是將這些款項存入了該員工的合法銀行賬戶中。

根據法律規定，Adejorin 因電信詐騙罪將面臨最高 20 年的刑期，因未經授權訪問受保護計算機罪將面臨 5 年的刑期，因嚴重身份盜竊罪將面臨 2 年的強制刑期。

美國司法部的公告還指出，惡意注冊和使用域名的刑期可延長 7 年。

近年來，商業郵件欺詐 (Business Email Compromise, BEC)攻擊在流行性和創新性方面都得到了發展。BEC 欺詐各不相同，但它們一般都有一個共同點，就是瞄準那些擁有金融控制權的工作人員（無論其是在大型或小型組織中），然后對其實施有針對性的魚叉式網絡釣魚攻擊。

BEC 攻擊也稱為 CEO 欺詐，嚴重的會造成重大經濟損失。去年夏天，美國聯邦調查局的一份報告指出，商業電子郵件泄露已造成數十億美元的損失。

面對此類攻擊，可采取的合理防御措施包括：實施多因素身份驗證，以減少未經授權訪問賬戶的可能性；使用電子郵件過濾來檢測和阻止網絡釣魚企圖；建立一個驗證程序，以支持電匯請求，并使用第二通信渠道。比如，當收到可疑的消息，通知你更改銀行賬戶信息時，可以與合作伙伴取得聯系進行確認，這樣能避免很多不必要的損失。