联邦调查局IC3报告：2021年电子邮件造成的财务损失创历史新高

美国联邦调查局互联网犯罪投诉中心（IC3）的最新年度互联网犯罪报告的主要组成部分包括商业电子邮件欺诈（BEC）和电子邮件帐户欺诈（EAC）。根据报告显示这些攻击给相关的企业和消费者造成了24亿美元的损失。这一数字比2020年报告的18亿美元大幅增加。而对于美国公众来说，就意味着由于BEC、EAC造成的财务损失也创下历史新高。这些骗局占去年所有报告的网络犯罪所造成相关财务损失的近35%——同比增长了28%。

2021年，网络犯罪受害者向IC3报告了创纪录数量的投诉——847376起。这些攻击所造成的潜在损失超过69亿美元。虽然全年提交的投诉数量仅增长了7%，但2021年报告的网络犯罪事件损失总额却增加了64%，高于2020年的42亿美元。以下就是IC3最新《互联网犯罪报告》中的一些关键发现，以及基于这些研究报告所形成的对网络犯罪趋势观察的一些分析：

电子邮件欺诈继续主导财务损失

2021年，IC3收到了19,954起关于BEC、EAC诈骗的投诉。正如上文所述，与这些事件相关的损失总额接近24亿美元。每封电子邮件欺诈所造成的平均损失从96,373美元上升到120,074美元，同比增长近25%。虽然勒索软件攻击继续占据网络犯罪头条新闻，但BEC和EAC在2021年与网络犯罪相关的财务损失中所占比例仍然是占最大份额（35%）。据IC3报道，去年因勒索软件造成的损失总额为49,207,908美元。然而，2021年该中心归因于BEC和EAC诈骗的财务损失是该数字的49倍。

图1：BEC/EAC仍然是所有网络犯罪类型中最大的财务损失（来源：联邦调查局IC3的2021年“互联网犯罪报告”）

图2：2021年，电子邮件欺诈攻击造成的财务损失增加了28%（来源：联邦调查局IC3的2021年“互联网犯罪报告”）

IC3的数据从另一方面也突出了BEC、EAC骗局的目标有多高——尽管与其他类型的网络攻击相比，他们进行攻击的次数较低，但BEC、EAC给受害者造成的财务损失可能很大。《互联网犯罪报告》指出，去年就这些骗局提出的投诉数量仅比2020年增加了3%。然而，BEC/EAC诈骗造成的财务损失在2021年增加了28%，导致每起事件的平均损失同比增长25%。

BEC通过创新欺诈策略得到不断发展

2021年的《互联网犯罪报告》指出，随着欺诈者的方法变得更加复杂，BEC/EAC已经进行了演变。报告称，这些诈骗过去主要涉及通过简单黑客入侵或欺骗商业和个人电子邮件帐户，以及向欺诈性银行账户发送电汇付款的请求，恶意行为者使用被盗的供应商电子邮件发送W-2欺诈（年度工资总结表）、房地产欺诈、礼品卡诈骗等。但现在，欺诈者正在使用虚拟会议诈骗和欺骗商业领袖的电子邮件来发起欺诈性电汇。

在当今使用的所有BEC变体中，Proofpoint观察到，由于涉及企业对企业（B2B）付款，供应商发票欺诈往往造成了最大的财务损失。我们的研究表明，几乎所有组织（98%）都受到来自供应商领域的威胁。

攻击者通过使用供应商冒充或泄露的帐户，利用这些供应商值得信赖的业务合作伙伴来推进他们的计划。尽管有这种趋势愈发愈烈，但是Proofpoint发现，大多数组织都缺乏对BEC/EAC所造成风险的预见性。

在新冠肺炎大流行期间，网络欺诈飙升了280%

自2020年初开始的新冠肺炎大流行期间，对网络钓鱼诈骗和相关技术（如钓鱼、短信钓鱼和域名欺骗）的投诉数量飙升了280%。《互联网犯罪报告》指出，对各种网络钓鱼诈骗的投诉占去年向该中心报告的所有网络犯罪投诉的38%。

如图3所示，在过去五年中，这种威胁类型的事件数量一直在上升，在过去两年中也显著上升。从2020年到2021年，网络钓鱼/钓鱼/短信诈骗事件数量增长了34%。与此同时，其他四大类型的网络犯罪——勒索、身份盗窃、个人数据泄露和拖缴欠款——自2017年以来一直停滞不前。

图3：与前五年相比，2021年前五大犯罪类型。（来源：联邦调查局IC3的2021年“互联网犯罪报告”）

过去几年，网络钓鱼和相关技术的显著增长表明，威胁行为者正在继续利用人性中的脆弱性。因此，各组织应该了解其人员风险，并实施必要的控制措施，因为电子邮件仍然是头号威胁载体。

勒索软件在2021年出现爆炸性增长

IC3的数据显示，2021年勒索软件事件数量继续上升，受害者向该中心报告了3729起事件，同比增长51%。2021年归因于勒索软件攻击所造成的财务损失（超过4900万美元）比2020年高出69%。

然而，请记住，根据IC3，2021年的财务损失受人为因素影响很大，因为它不包括工资、档案、设备或补救服务的损失。4900万美元的数字仅代表企业和消费者向IC3报告的内容，而不包括向联邦调查局外地办事处报告的直接报告。这表明2021年勒索软件事件和相关损失的真实数量可能要高得多。

《互联网犯罪报告》还指出，勒索软件策略和技术在2021年继续发展，这表明勒索软件威胁行为者的技术日益成熟，勒索软件对全球组织的威胁也在增加。IC3表示，去年勒索软件事件的前三个初始感染载体是网络钓鱼电子邮件、远程桌面协议（RDP）和软件漏洞。

随着勒索软件相关事件的增加以及机会主义威胁行为者越来越多地参与提供恶意软件，各组织应当未雨绸缪并投资于预防。在攻击链的早期阶段保护电子邮件渠道和阻止威胁是抵御勒索软件的最有效方法。

联邦调查局的IC3报告强调了以人为本的安全方法的重要性。

今天，许多攻击者严重依赖社会工程来激活和推进竞选活动并为之奠定基础——他们一直都将具体的个人作为目标。IC3的最新《互联网犯罪报告》中的调查结果强调各组织应采取以人为本、多层次的平台方法来打击网络威胁者的违法行为。

Proofpoint可以通过集成的威胁保护平台帮助相关组织降低安全风险，该平台可阻止针对员工的电子邮件和云威胁。该平台还提供了对内部人员风险的预见性，并有助于培训用户更好地抵御当今的高级威胁。