近年来,商业电子邮件妥协(BEC)攻击的流行度和创新度都在增长。BEC骗局千差万别,但大体上都有一个共同点:无论是大型组织还是小型组织,都以拥有财务控制权的人为目标,然后进行有针对性的鱼叉式钓鱼攻击。最常用的策略是电子邮件帐户接管或欺骗,欺诈者冒充目标的同事或老板,有时甚至是首席执行官、供应商,甚至是另一个部门的高级职位。BEC攻击很容易得逞,因为诈骗者通常会谨慎选择目标,例如可靠的商业伙伴或公司的首席执行官。2018年,FBI报告称,该公司的业务因BEC攻击损失了超过30亿美元的资金。此外,BEC攻击正变得越来越复杂,其目标是利用关键管理人员更广泛地访问公司资源和更大的支付权限。然后,攻击者试图说服受害者向他们转移资金,或更改现有金融交易的细节以使自己受益。根据Proofpoint2019年的一份研究报告,2018年第四季度,针对每个目标组织的BEC攻击次数同比增长了476%。同时,Mimecast也在其刊物《2019年电子邮件安全年度报告》中指出,假冒攻击和BBEC攻击增长了67%,73%的受害组织遭受了直接损失。商业电子邮件欺诈每次攻击的净收入至少是勒索软件的17倍。因为BEC攻击造成的损害不是系统攻击、停机或生产力损失。反而带来了直接的损失。从技术上讲,商业邮件欺诈是一种技术含量相对较低的金融欺诈形式,它以最小的风险为诈骗者提供高回报。在这篇文章中,我们将了解企业电子邮件攻击诈骗的工作原理,以及如何预防它们。企业电子邮件攻击有多严重?商业电子邮件攻击是2019年经济损失最大的互联网犯罪,并且呈上升趋势。根据FBI的统计数据,平均而言,勒索软件每次事件的成本约为4,400美元,2019年总计约900万美元。相比之下,BEC造成的损失约为勒索软件造成损失的17倍,每次事件约75,000美元,总经济损失超过17亿美元。在FBI记录的2019年因互联网犯罪造成的所有经济损失(总计约35亿美元)中,BEC约占总数的50%。什么是企业电子邮件攻击?商务邮件攻击正是攻击者一般诱骗第三方向他转账的一种诈骗方式。电子邮件攻击首先入侵或欺骗高管或高级管理人员的电子邮件帐户,这些人能够授权其他员工(例如财务或应付账款员工)进行转账。骗局的第一部分通常涉及有针对性的网络钓鱼(又名鱼叉式网络钓鱼)攻击或通过键盘记录器窃取凭据。例如,C-Suite高管可能会成为网络钓鱼攻击的目标,该攻击会安装远程访问木马(RAT)以获取凭据和其他有用的业务信息。该账户随后被用于指示其他员工完成来自虚假供应商的转账请求。例如,C-Suite高管的欺骗或劫持帐户可用于发送内容类似于以下内容的内部电子邮件:由于攻击者需要说服受害者完成汇款请求,因此需要进行社会工程.或者,社会工程学也可用于窃取密码以及破解或欺骗初始帐户。如何缓解BEC?如上所述,为了完成商业电子邮件攻击,必须存在三个相互关联的元素:电子邮件、人员和汇款。1.确认转移考虑到以上所有情况,贵公司应始终通过电子邮件以外的方式确认转移请求,例如通过电话或通过已知的合法业务号码(未在电子邮件中提供)或通常的聊天方式工作软件(如Slack),但最好亲自验证转移请求。理想情况下,您的公司应该有双重确认转账的政策,这样更安全。此外,要求不要通过电子邮件以外的任何方式发起汇款请求(电子邮件本身几乎不是一种机密的通信方式)应该引起您的怀疑。2.启用多重身份验证。保护用户的电子邮件帐户免受攻击也应该是您的首要任务。虽然并不完美,但双因素身份验证(2FA)和多因素身份验证(MFA)将阻止大多数帐户接管尝试。在某些用例中,Yubikey(一种小型USB设备)等硬件安全密钥值得考虑。3.如何检测恶意电子邮件避免恶意电子邮件攻击的策略是防御策略的第三个部分,也是绝对关键的部分,长期以来,电子邮件一直是攻击者最喜欢的攻击媒介。据估计,80%到95%的企业电子邮件攻击是通过电子邮件传递的,因此这绝对是您需要集中精力的地方。除了攻击者使用电子邮件的实际文本内容进行欺骗外,电子邮件还有两个主要的技术风险:恶意附件和链接。(1)缓解恶意附件的策略在商业电子邮件攻击中,攻击者可能会使用附件来运行可执行代码,这些代码可能会安装RAT病毒,以便安装键盘记录程序、后门程序和其他后开发工具,以帮助窃取凭据和有用数据,如联系人和以前的电子邮件通信。BEC攻击者通常会花一些时间分析他们的受害者,以便尽可能令人信服地编写社会工程成功工作的文章。因此,重要的是要查看一系列用于防止加载项执行代码的选项。附件过滤可以通过多种方式帮助减轻代码执行,例如,电子邮件扫描软件可用于更改附件的文件格式,使其无法执行隐藏代码。虽然这在一定程度上可能有效,但它的缺点是可能会阻止用户使用需要以原始格式编辑或返回的文档执行常见的业务任务。鉴于这种影响,用户可能会非常抵制这种形式的预防。更好的解决方案是使用内容解除和重建(CDR)来解构附件并删除有害内容。这样做的好处是预防效率高,可以满足用户常用业务处理的需要,因为流程在用户层面是透明的。(2)处理宏、压缩文件和白名单禁用或限制宏也是一个聪明的主意,因为许多攻击利用MicrosoftOffice的VBA脚本语言来调用C2服务器并下载恶意负载。另外,请确保您的电子邮件扫描软件可以正确处理压缩文件。如果压缩文件没有完全解压缩文件,则可以绕过一些简单的扫描引擎。众所周知,攻击者会将压缩文件附加到其他文件,例如图像,而某些安全软件可能会忽略这一点。另外,要小心或避免使用扩展白名单文件,因为攻击者可以通过重命名具有不可执行文件扩展名的可执行文件来绕过此类白名单规则。如果必须将附件列入白名单,请至少使用一种通过文件输入(扫描文件以检查其格式)的白名单策略来避免最简单的绕过。(3)处理链接并验证发件人对于包含恶意链接的电子邮件,一些组织使用的一种缓解策略是抑制电子邮件中的超链接,使其无法点击。这迫使用户将链接复制并粘贴到浏览器中,这是一个有意识的过程,让用户有机会停下来思考他们在做什么。但是,同样的问题是,每当安全性影响生产力和便利性时,您就会遇到用户抵制。这种安全措施有两个缺点,不方便和容易出错,因为引入延迟仍然不能保证用户不会访问该链接,所以请谨慎实施此策略。处理电子邮件时要考虑的另一个因素是对发件人进行身份验证,例如通过DMARC和SPF/DKIM。这些技术可以帮助标记虚假的发件人身份。但是,当帐户属于组织的合法成员但已被攻击者破坏时,此措施可能无济于事。SPF:验证发件人的IP地址以防止邮件欺诈。DKIM:验证电子邮件签名信息以防止电子邮件欺诈和电子邮件反向传播。MDARC:基于SPF/DKIM,根据真实发件人的声明进行真实性验证和异常报告。DMARC(Domain-basedMessageAuthentication,Reporting&Conformance)是txt记录之一。它是一种基于现有SPF和DKIM协议的可扩展电子邮件认证协议。其核心思想是邮件的发件人通过一个特定的方法(DNS)公开指明其将使用的发送服务器(SPF),并对发送邮件的内容(DKIM)进行签名,而邮件的收件人检查是否收到的邮件来自发件人授权的服务器,检查签名是否有效。对于未通过上述检查的邮件,收件人将按照发件人指定的策略进行处理,如直接放入垃圾箱或拒收。从而有效识别和拦截欺诈邮件和钓鱼邮件,保障用户个人信息安全。最后,通过使用AI驱动的安全解决方案武装您的端点,确保您的端点免受恶意附件和恶意链接的侵害,该解决方案可以在恶意代码尝试执行时检测并阻止它,而不管其来源:文件或非文件、链接或宏。总结验证传输和启用多因素身份验证是阻止诈骗者进行商业电子邮件攻击的一种简单有效的方法。最重要的是,分层纵深防御方法一直是一种实用的防御技术。但抵御商业电子邮件攻击的最薄弱环节是生产力驱动的劳动力,他们有时会为了生产力而牺牲安全性。
