近日，美国联邦调查局（FBI）下属互联网犯罪投诉中心 (IC3) 发表了《2021年互网络犯罪报告》。2021年内三大互联网犯罪是：网络钓鱼诈骗、不付款/不交付诈骗和个人数据泄露；受害者因商业电子邮件泄露诈骗、投资欺诈，以及浪漫和信任诈骗而损失的钱财最多。

如上图所示：商业电子邮件泄露诈骗，导致至少 2395,953,296 美元的损失；投资欺诈，至少诓骗了 1455,943,193 美元；浪漫和信任诈骗，则骗走了956,039,740 美元。

这份最新年度互联网犯罪报告的主要组成部分包括如下两个部分

第一 商业电子邮件欺诈（BEC）
第二 电子邮件帐户欺诈（EAC）。

根据报告显示这两项攻击给相关的企业和消费者造成了 24 亿美元的损失。

报告期提到如下的案例，中国公司圣象集团有限公司下属子公司美国HomeLegendLLC公司成为一起电信欺诈的受害者，肇事者入侵该公司租用的微软公司365邮箱系统，伪造假电子邮件冒充该公司管理层成员，伪造供应商文件及邮件路径，实施诈骗，涉案金额约356.9万美元(折合人民币2275.49万元)。

这一数字比 2020 年报告的 18 亿美元大幅增加。而对于美国公众来说，就意味着由于 BEC、EAC 造成的财务损失也创下历史新高。这些骗局占去年所有报告的网络犯罪所造成相关财务损失的近 35% ——同比增长了 28%。

2021 年，网络犯罪受害者向 IC3 报告了创纪录数量的投诉—— 847376 起。这些攻击所造成的潜在损失超过 69 亿美元。虽然全年提交的投诉数量仅增长了 7%，但 2021 年报告的网络犯罪事件损失总额却增加了 64%，高于 2020 年的 42 亿美元。以下就是 IC3 最新《互联网犯罪报告》中的一些关键发现，以及基于这些研究报告所形成的对网络犯罪趋势观察的一些分析：

电子邮件欺诈继续主导财务损失

2021 年，IC3 收到了 19,954 起关于 BEC、EAC 诈骗的投诉。正如上文所述，与这些事件相关的损失总额接近 24 亿美元。每封电子邮件欺诈所造成的平均损失从 96,373 美元上升到 120,074 美元，同比增长近 25%。虽然勒索软件攻击继续占据网络犯罪头条新闻，但 BEC 和 EAC 在 2021 年与网络犯罪相关的财务损失中所占比例仍然是占最大份额（35%）。据 IC3 报道，去年因勒索软件造成的损失总额为 49,207,908 美元。然而，2021 年该中心归因于 BEC 和 EAC 诈骗的财务损失是该数字的 49 倍。

图 1：BEC/EAC 仍然是所有网络犯罪类型中最大的财务损失（来源：联邦调查局 IC3 的 2021 年 " 互联网犯罪报告 "）

图 2：2021 年，电子邮件欺诈攻击造成的财务损失增加了 28%（来源：联邦调查局 IC3 的 2021 年 " 互联网犯罪报告 "）

IC3 的数据从另一方面也突出了 BEC、EAC 骗局的目标有多高——尽管与其他类型的网络攻击相比，他们进行攻击的次数较低，但 BEC、EAC 给受害者造成的财务损失可能很大。《互联网犯罪报告》指出，去年就这些骗局提出的投诉数量仅比 2020 年增加了 3%。然而，BEC/EAC 诈骗造成的财务损失在 2021 年增加了 28%，导致每起事件的平均损失同比增长 25%。

BEC 通过创新欺诈策略得到不断发展

2021 年的《互联网犯罪报告》指出，随着欺诈者的方法变得更加复杂，BEC/EAC 已经进行了演变。报告称，这些诈骗过去主要涉及通过简单黑客入侵或欺骗商业和个人电子邮件帐户，以及向欺诈性银行账户发送电汇付款的请求，恶意行为者使用被盗的供应商电子邮件发送 W-2 欺诈（年度工资总结表）、房地产欺诈、礼品卡诈骗等。但现在，欺诈者正在使用虚拟会议诈骗和欺骗商业领袖的电子邮件来发起欺诈性电汇。

在当今使用的所有 BEC 变体中，Proofpoint 观察到，由于涉及企业对企业（B2B）付款，供应商发票欺诈往往造成了最大的财务损失。我们的研究表明，几乎所有组织（98%）都受到来自供应商领域的威胁。

攻击者通过使用供应商冒充或泄露的帐户，利用这些供应商值得信赖的业务合作伙伴来推进他们的计划。尽管有这种趋势愈发愈烈，但是 Proofpoint 发现，大多数组织都缺乏对 BEC/EAC 所造成风险的预见性。

在新冠肺炎大流行期间，网络欺诈飙升了 280%

自 2020 年初开始的新冠肺炎大流行期间，对网络钓鱼诈骗和相关技术（如钓鱼、短信钓鱼和域名欺骗）的投诉数量飙升了 280%。《互联网犯罪报告》指出，对各种网络钓鱼诈骗的投诉占去年向该中心报告的所有网络犯罪投诉的 38%。

如图 3 所示，在过去五年中，这种威胁类型的事件数量一直在上升，在过去两年中也显著上升。从 2020 年到 2021 年，网络钓鱼 / 钓鱼 / 短信诈骗事件数量增长了 34%。与此同时，其他四大类型的网络犯罪——勒索、身份盗窃、个人数据泄露和拖缴欠款——自 2017 年以来一直停滞不前。

图 3：与前五年相比，2021 年前五大犯罪类型。（来源：联邦调查局 IC3 的 2021 年 " 互联网犯罪报告 "）

过去几年，网络钓鱼和相关技术的显著增长表明，威胁行为者正在继续利用人性中的脆弱性。因此，各组织应该了解其人员风险，并实施必要的控制措施，因为电子邮件仍然是头号威胁载体。

勒索软件在 2021 年出现爆炸性增长

IC3 的数据显示，2021 年勒索软件事件数量继续上升，受害者向该中心报告了 3729 起事件，同比增长 51%。2021 年归因于勒索软件攻击所造成的财务损失（超过 4900 万美元）比 2020 年高出 69%。

然而，请记住，根据 IC3，2021 年的财务损失受人为因素影响很大，因为它不包括工资、档案、设备或补救服务的损失。4900 万美元的数字仅代表企业和消费者向 IC3 报告的内容，而不包括向联邦调查局外地办事处报告的直接报告。这表明 2021 年勒索软件事件和相关损失的真实数量可能要高得多。

《互联网犯罪报告》还指出，勒索软件策略和技术在 2021 年继续发展，这表明勒索软件威胁行为者的技术日益成熟，勒索软件对全球组织的威胁也在增加。IC3 表示，去年勒索软件事件的前三个初始感染载体是网络钓鱼电子邮件、远程桌面协议（RDP）和软件漏洞，以及SPF漏洞。

随着勒索软件相关事件的增加以及机会主义威胁行为者越来越多地参与提供恶意软件，各组织应当未雨绸缪并投资于预防。在攻击链的早期阶段防止面向企业邮箱的网络钓鱼攻击，保护电子邮件渠道和阻止威胁是抵御勒索软件的最有效方法。