商务电子邮件妥协 101

妥协101 这些攻击是如何工作的，为什么它们持续存在，以及你能做些什么来阻止他们。 Introduction 根据联邦调查局的互联网犯罪投诉中心(IC3)，商务电子邮件妥协(BEC)2020年超过18亿美元-平均每次事件为93, 000美元。从这个角度来看，一次银行抢劫的平均损失约为3, 000美元。BEC骗局例如，可能不会成为勒索软件级别的头条新闻，但它们仍然是一个多年来最一致和最常见的攻击途径。 BEC计划之所以成功，是因为它们利用了使人们变得良好的品质员工。对于某些职位的人，收到电汇的电子邮件请求，重新路由付款或共享敏感的财务信息是平均工作日的一部分。问题是，说出真实的电子邮件和冒名顶替者的骗局之间的区别并不是总是很容易。如果非法请求实际上来自受信任的发件人的电子邮件，该怎么办帐户，但帐户所有者不知道他们的凭据已被泄露？This 互联网犯罪2020年亏损源于BEC攻击 被称为账户接管(ATO)，它通常是成功的BEC攻击。一旦ATO正在进行中，这是一个问题社会操纵。 了解如何利用脆弱时期的人类行为时间(即全球的开始大流行或经济衰退)允许骗子变得更大胆，目标不仅仅是大公司，但高管也是如此。任何人都可以成为目标-随后成为受害者。怎么能组织保护自己免受问题的影响根植于我们作为人类的本性？本文的探索，只是因为问题的存在在“键盘和椅子”之间并不意味着这是无法预防的. ATO与BEC的解剖学Attacks 为了让您了解为什么BEC诈骗如此成功，请考虑一下平均每天都会出现在收件箱中。现在，考虑一下电子邮件的数量每个人在你的组织每天收到。如果您的组织作为一个整体每年收到100万封电子邮件甚至只有0.1%的电子邮件是非法的，并通过过滤器，剩下1000封等待收件人激活的潜在骗局。 公平地说，加入BEC计划并不总是员工/受害者的轻信问题。在许多情况下，它始于成功的ATO其中罪犯完全假定了合法公司高管、网络管理员、员工或第三方的身份-party vendor通过获取受害者的帐户凭据。获得这些凭据比你想象的要容易。感谢一个健壮的黑暗的网络市场，犯罪分子可以简单地利用重复使用或类似的密码从以前被入侵的网站获得访问现有帐户。他们耐心等待，观察公司主要员工和供应商的活动和趋势，直到他们拥有他们应该从BEC骗局中产生最大的影响和产生最大收益的感觉。 由于被盗凭证在暗网上变得更容易访问，因此有能力破坏合法的电子邮件帐户。这使得BEC演变成更加复杂和个性化的攻击。在2020年，IC3看到了更多的BEC受害者针对不同类型的诈骗：勒索，技术支持，浪漫诈骗和在家工作诈骗等。在在这些情况下，受害者向攻击者提供了一种形式的敏感个人识别(PII)和财务信息，这些信息然后用于创建银行帐户并接收被盗的BEC资金，这些资金后来被转移到加密货币帐户或礼物中卡，两者都很难（如果不是不可能）追踪。 BEC攻击通常分为两类：网络钓鱼（带有包含恶意链接和/或附件的电子邮件或文本）和，更常见的是，社会工程攻击。在大流行的高峰期，BEC尝试的激增提供了如何在严格的“社会工程”攻击中，受害者经常被模糊地“修饰”但是-可能是高级同事的紧急问题（“你今天在办公室吗？你能帮我一个赞成……”)。一旦建立了融洽关系，罪犯就开始提出紧急请求，并可能通过直接募集资金分配存款，付款或礼品卡，并可能要求银行详细信息。这些攻击尤其难以检测；最无害的类型以直接电子邮件或文本的形式出现，并且不包含任何可疑的链接或附件。因此，它们在很大程度上绕过传统的电子邮件网关保护或直接转到不受监控的短信。在大流行期间，犯罪分子使用通过在网络钓鱼电子邮件中利用COVID - 19来实现社会工程的各个方面。这些电子邮件可能会要求供应商提供信息(“由于大流行，我们正在更换计费软件，需要您更新的付款信息。”)或要求员工打开包含恶意软件的链接或附件（“员工必须查看我们更新的COVID - 19办公协议。”）。 BEC攻击命令 识别目标+获取访问权限一旦罪犯确定了受害者组织，他们使用ATO或凭证填充以获得对所需目标的电子邮件帐户-理想情况下，目标是处于权威地位的人。冒充高管通过电子邮件使BEC骗局更容易实现因为员工倾向于信任并迅速做出反应来自C级的消息。 拦截通信+监控交易罪犯现在的目标是观察合法电子邮件活动没有被看到或听到。通常，他们在帐户中设置自动转发规则。这允许攻击者偷偷地观察目标和监控来自合作伙伴或供应商的通信，特别是那些涉及金融交流的。 受害者杜普 面对目标的角色，罪犯积极地将自己插入电子邮件中谈话。这个想法是愚弄受害者相信罪犯是他们假装的人罪犯可以冒充一个实体与另一个实体进行多次平行对话。 拿着钱跑 攻击者修改电汇或金融交易详细信息，将付款路由到他们自己，并转移到下一个受害者组织。 BEC诈骗的主要类型 CEO电子邮件欺诈 冒充高管是更成熟的BEC方法之一，原因有两个-首先，这是员工的人类行为立即遵守高管的要求，高管碰巧和其他人一样犯有弱密码卫生罪。事实上，根据SpyCloud的研究，133, 927名C级财富1000高管的凭据可在暗网上出售。 在CEO电子邮件欺诈事件中，攻击者将冒充公司首席执行官或其他高管试图说服任何级别的员工进入处理未经授权的电汇或共享机密税务信息。 通常，CEO欺诈电子邮件是社交工程攻击，但他们有时可以交叉成鱼叉式网络钓鱼。在这些实例，攻击者冒充CEO要求员工点击一个看似合法链接。这种策略很普遍在大流行开始的时候。 攻击者可以指示 电子邮件将资金虹吸到威胁演员控制的骡子账户中。或者，他们可以在电子邮件中放置一个链接，导致攻击者-受控网络钓鱼页面(示例：“我们鼓励您登录并审查我们公司更新的COVID - 19fiCE协议。“).攻击者还可能操纵较低级别的员工代表高管发起银行转账，或使某些从组织内部进行调整，以降低欺诈性电汇的可察觉性。 供应商电子邮件妥协 虽然在概念上与CEO电子邮件欺诈类似，但供应商电子邮件泄密(VEC)是一种利用供应商通信的BEC控制付款，通常以虚假发票骗局。在典型的VEC场景中，犯罪分子会利用供应商电子邮件或business systems to observe how transactions are processed. They collect information on invoice structures and communication这些细节使他们能够在不引起怀疑的情况下与受害者进行交流。 虽然任何类型的BEC骗局的财务影响都可能是巨大的，但VEC的赌注要高得多，净赚125, 000美元平均。根据美国证券交易委员会2018年的数据，至少有9家上市公司被骗因为这样的骗局，1亿美元。 FBI名单虚假发票方案作为BEC诈骗的顶级类型之一。这些攻击通常针对在业务的财务部门。精明的攻击者将更改合法发票的银行帐号，但将其余的invoice unchanged—making it difficult to detect that it 's frauful. However it happens, the false invoice scheme involves using网络钓鱼电子邮件冒充会计师、供应商或两者。 保护您的企业：应对人类攻击表面 为利用复杂的社会工程方法的计划辩护说起来容易做起来难。专家们同意人类很可能是任何组织安全状况中最薄弱的环节，特别是因为普遍存在穷人密码卫生。当密码在员工的工作和个人帐户之间重复使用时，已经暴露在数据泄露中是公平的游戏，适用于BEC活动。员工不知不觉地使组织内部的攻击者要注意它的计费系统，供应商，甚至是员工的沟通风格，然后才发起一个活动。你能作为一个安全团队积极地阻止潮流吗？ 清晰和持续的教育 持续的培训计划武装你最薄弱的环节，成为人类的防火墙。以一种容易获得的方式加强学习，例如作为公司范围内的网络安全聊天频道或wiki。当您遇到BEC尝试时，请分享它们的特定示例和让人们在正常的SecOps“办公时间”提问。 监控暴露的员工凭据 2020年，BEC成本从增加 2020年第一季度54, 000美元到第二季度的80, 183美元，并占所有损失的一半前一年和大多数网络保险索赔。 有两个因素使BEC易于实施：大量可用的被盗凭证在犯罪论坛上，以及我们习惯性的密码重用。SpyCloud的暴露用户数据库凭证显示出57％的密码重用率和60％的密码重用率对于2020年收集的违规行为。问题只会变得更糟。知道哪个的能力您的员工的凭据已被暴露，并强制他们进行密码重置遵守NIST指南是保持电子邮件帐户安全的关键预防措施。 知道哪些供应商是可疑的 BEC骗局的深远后果怎么强调都不为过。当第三方电子邮件帐户遭到入侵，犯罪分子能够监控电子邮件通信和连接从一个业务到下一个业务的点。事实上，最近一些最大的数据泄露事件内存是第三方账户泄露的结果，例如2013年的事件哪个零售商Target的系统通过HVAC供应商的受损凭证被破坏。Target只是一个例子；超过56％的组织报告成为违规行为的受害者这是由第三方造成的。 您的业务本身并不像一个孤岛，您的方法也不应该网络安全。监控供应商和合作伙伴的凭据暴露-甚至更好的是，帮助他们补救。你在帮助他们，就像你在帮助自己一样。 Conclusion 商务电子邮件妥协比一般的网络犯罪更具挑战性。更糟糕的是，它不会去任何地方，也不会变得更便宜。在2020年，BEC成本从2020年第一季度为54, 000美元，仅第二季度为80, 183美元，占上年度所有亏损的一半年和大多数网络保险索赔。 为了防止受害，至关重要的是组织保持高度警惕，以识别BEC骗局和其他攻击。超越员工教育和主动监控，每天都有每个人都可以采取的措施： Œ不与未知共享登录凭据或可疑的提供者(有从来没有a第三方要求的正当理由您的登录凭据)。Œ警惕电子邮件和文本中的超链接可能包含实际域的拼写错误名称，并且不要单击可疑链接。 ŒŒŒ验证电子邮件地址(确保发件人的电子邮件地址似乎与它来自谁相匹配)。亲自与供应商联系更新付款细节。实施多因素身份验证并使用每个在线登录的唯一密码，以保护反对账户接管。 员工ATO预防 保护您的组织由于以下原因导致的违规行为和BEC密码重用。了解更多L 请记住，一个被入侵的电子邮件帐户就是一个犯罪需要从你的生意中偷东西。 VIP卫士 保护您的最高风险来自目标高管账户接管。 了解更多L The SpyCloud Dierence Active Directory Guardian 自动检测和重置暴露的Windows帐户。 SpyCloud提供早期检测解决方案，可阻止ATO和BEC在它发生之前。我们的解决方案识别脆弱的员工和供应商帐户，通过检查他们的妥协世界上最大的重获违规资产数据库。自动补救可扩展您的保护工作，而无需需要额外的资源，确保您可以防止攻击任何规模的劳动力。保护暴露的帐户在犯罪分子有机会将其用于商业电子邮件之前妥协和其他有针对性的攻击。 了解更多L 第三方洞察监控第三方风险和共享数据以帮助补救。了解更多L 请参阅您的账户接管风险L 发现关联了多少个违规记录将您的电子邮件地址和您的域作为一旦你知道了，你就可以采取行动了。 消费者ATO预防 从帐户保护您的用户收购欺诈和未经授权购买。 了解更多L