丰田汽车座椅供应商向BEC诈骗者支付3700万美元

• 8月份丰田纺织公司向BEC诈骗者支付了3700万美元，并且现在披露了这一事件。
• 演员在攻击内部电子邮件地址后，通过社交工程欺骗了一名员工。
• 到目前为止，丰田已经有一个非常动荡的网络安全年，有多次破坏，勒索软件攻击，现在是BEC骗局。

丰田纺织上周宣布，他们已经成为BEC（商业电子邮件妥协）攻击的受害者，因此遭受了40亿日元的损失。这相当于约3700万美元，因此对于该实体而言，这是一笔相当大的资金。在公告详情中，诈骗者针对该公司的欧洲子公司，并提供丰田员工接受和处理的欺诈性付款指示。事实上，该公司在经历并试图收回泄露的资金后不久就注意到了该交易的潜在风险，但该要求尚未得到批准。

该事件发生在2019年8月14日，该攻击的基础是针对单个员工的社会工程。尽管该员工可能会对发生的事情感到遗憾，但他/她应该采取措施事先确认付款请求的有效性。正如我们过去所讨论的那样，BEC诈骗通常是通过一个之前被演员妥协的内部电子邮件地址进行的。这可能使得区分合法请求和诈骗消息变得特别困难。但是，有一些保护措施可以纳入，丰田纺织似乎在这方面缺乏。

例如，可以识别欺诈性消息并警告接收者的自动诈骗检测和警报系统应该是这种规模的公司的明智之举。内部访问电子邮件帐户的双因素身份验证也应该是防止导致数百万损失的超越的一个很好的步骤。最后，培训员工如何识别骗局的迹象以及如何使用保护工具是整个情况的关键。只要公司继续低估这些基本的反BEC措施，行动者将继续加大力度从中获取大量现金。

到目前为止，丰田没有一个良好的网络安全年。早在二月份，该汽车制造商的澳大利亚分支机构宣布对他们的系统进行勒索软件攻击，但告诉公众他们成功地管理了这一事件而没有损害任何客户数据。然而，4月份，日本，越南和泰国发生了多起丰田数据泄露案的故事，受影响的客户数量达到惊人的310万。暴露的数据是敏感的，包括姓名，地址，电子邮件等。这些攻击背后的黑客是国家支持的网络间谍组织，如APT32。