上周五（12月29日），一位名为Olusegun Samson Adejorin的尼日利亚黑客因诈骗马里兰州和纽约州的两个慈善组织在加纳被捕，并面临与商业电子邮件泄密 (BEC) 攻击有关的指控。

根据美国联邦大陪审团的八项指控，Adejorin 面临的指控包括电信欺诈、严重身份盗窃和未经授权访问受保护的计算机，这些行为与针对马里兰州两家慈善组织的攻击有关，该攻击导致美国一家慈善组织损失超过 750 万美元。

Adejorin窃取数百万，将面临最高20年刑期

美国司法部（DoJ）在本周发布的一份公告中提到，Adejorin 的诈骗计划最早始于 2020 年 6 月至 8 月期间，他不仅冒充员工还非法访问了员工的电子邮件账户。

Adejorin 冒充某慈善机构员工，要求为其提供投资服务的另一家慈善机构中提取大笔资金，而为了顺利完成超过 10000 美元的取款流程，Adejorin 使用从该员工账户中窃取的凭证，从需要批准交易的员工账户中发送了电子邮件。

此外，美国司法部还补充称：作为该计划的一部分，Adejorin 还涉嫌购买了一种用于窃取电子邮件登录凭证的凭证收集工具。他注册了欺诈性域名，然后将欺诈性电子邮件藏在了员工的邮箱中一个不显眼的位置。

通过这种方式，Adejorin 成功诱骗慈善机构人员将 750 万美元转入其银行账户中，转账的慈善组织在整个过程中并未察觉到异常，以为是将这些款项存入了该员工的合法银行账户中。

根据法律规定，Adejorin 因电信诈骗罪将面临最高 20 年的刑期，因未经授权访问受保护计算机罪将面临 5 年的刑期，因严重身份盗窃罪将面临 2 年的强制刑期。

美国司法部的公告还指出，恶意注册和使用域名的刑期可延长 7 年。

近年来，商业邮件欺诈 (Business Email Compromise, BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同，但它们一般都有一个共同点，就是瞄准那些拥有金融控制权的工作人员（无论其是在大型或小型组织中），然后对其实施有针对性的鱼叉式网络钓鱼攻击。

BEC 攻击也称为 CEO 欺诈，严重的会造成重大经济损失。去年夏天，美国联邦调查局的一份报告指出，商业电子邮件泄露已造成数十亿美元的损失。

面对此类攻击，可采取的合理防御措施包括：实施多因素身份验证，以减少未经授权访问账户的可能性；使用电子邮件过滤来检测和阻止网络钓鱼企图；建立一个验证程序，以支持电汇请求，并使用第二通信渠道。比如，当收到可疑的消息，通知你更改银行账户信息时，可以与合作伙伴取得联系进行确认，这样能避免很多不必要的损失。