商务电子邮件妥协 101

商务电子邮件妥协101 这些攻击是如何工作的 ， 为什么它们持续存在 ， 以及你能做些什么来防止它们。 引言 ATO和BEC的构成主要类型的BEC欺诈 保护您的企业 结论 SpyCloud的独特之处 Introduction 商务电子邮件根据联邦调查局的互联网犯罪投诉中心 (IC3) ，妥协 (BEC)2020年超过18亿美元，平均每个事件约为93,000美元。为了更好地理解这一数字，单次银行抢劫的平均损失大约为$3,000例如，BEC诈骗可能在新闻头条上的关注度不如勒索软件，但多年来一直是许多攻击中最一致且最常见的途径之一。 BEC（商务电子邮件欺诈）计划之所以成功，是因为它们利用了让人们成为优秀员工的特质。对于某些职位的人员来说，接收有关转账请求、重新路由付款或共享敏感财务信息的电子邮件是日常工作的一部分。问题在于，辨别真实邮件与欺诈者冒充的邮件之间的差异并非总是那么容易。如果非法请求实际上来自可信发件人的电子邮件，会怎样呢？This 互联网犯罪损失2020源于 BEC 攻击 被称为帐户接管(ATO) ， 它通常是成功的 BEC 攻击的前兆。一旦 ATO 开始 ， 这是一个社会操纵的问题。 了解如何在脆弱时期利用人类行为 (即全球的开始 疫情或经济衰退）的背景下，诈骗者得以更加大胆地行动，目标不再仅限于大型企业，还包括高管。任何人都可能成为目标——进而成为受害者。组织如何保护自己免受这一植根于人类本性的难题影响？正如本文将探讨的，尽管问题存在于“键盘与椅子之间”，但这并不意味着无法预防。. ATO 与 BEC 攻击的解剖学 为了让你理解为何BEC欺诈如此成功，请考虑一下平均每天有多少封电子邮件落在你的收件箱中。现在，请思考一下有多少封电子邮件每个人您组织每天收到的电子邮件。如果您的整个组织每年接收1百万封电子邮件，即使其中仅占0.1%的邮件是不合法的并且成功通过了过滤器，这将留下1,000个潜在的骗局等待被接收者激活。 公正地说，陷入BEC骗局并不总是员工或受害者轻信的结果。在许多情况下，这始于一次成功的社会工程攻击，在此过程中，犯罪分子通过获取受害者的账户凭据完全冒充合法公司高管、网络管理员、员工或第三方供应商的身份。获取这些凭据比你想象的要容易。得益于强大的暗网市场，犯罪分子只需利用之前被泄露网站上重复或相似的密码，即可轻松访问现有账户。他们耐心地观察关键公司员工和供应商的活动趋势，直到对何时、何地以及如何行动以产生最大影响并从他们的BEC欺诈中获得最大收益有了把握。 随着暗网中被盗凭证变得更加易得，合法电子邮件账户被攻破的能力也随之增强。这使得商业电子邮件欺诈（BEC）发展成了更为复杂且个性化定制的攻击手段。在2020年，IC3 看到更多 BEC 受害者针对不同类型的诈骗活动进行定向攻击：勒索、技术支持、情色诈骗以及在家工作的诈骗等。在这类场景中，受害者会向攻击者提供敏 感的个人身份信息（PII）和财务信息，这些信息随后被用于开设银行账户，并接收被盗取的企业电汇（BEC）资金。这些资金随后会被转移到加密货币账户或礼品卡中，这两种方式都难以（如果不是不可能的话）追踪。 网络钓鱼 BEC 攻击通常分为两类 ：（ 带有包含恶意链接和 / 或附件的电子邮件或文本) 和 ，社会工程 更常见的是 ，在疫情高峰期，激增的BEC尝试提供了将两种攻击类型结合的威力的例子。在纯粹的社会工程攻击中，受害者通常会受到看似高级同事的模糊但紧迫问题的“调教”（“今天在办公室吗？能帮我一个忙...”）。一旦建立了信任关系，犯罪分子就会提出紧迫的要求，并可能通过直接存款、支付或礼品卡等方式请求资金分配，也可能询问银行细节。这类攻击尤其难以检测；最无害的类型通常是直接的电子邮件或短信形式，不包含任何可疑的链接或附件。正因为如此，它们往往绕过传统的电子邮件网关保护或直接到达未监控的短信。在疫情期间，犯罪者利用了社会工程手法，通过在钓鱼邮件中利用COVID-19信息。这些邮件可能会要求供应商提供信息（“由于疫情，我们正在更换计费软件，需要您的最新付款信息。”）或者要求员工打开包含恶意软件的链接或附件（“员工需要查看我们的更新后的COVID-19办公协议。”）。 BEC 攻击命令 识别目标 + 获取访问权限 一旦罪犯确定了受害者组织 ， 他们凭证填充 使用 ATO 或为了获取目标对象（理想情况下应为具有决 策权的人士）的电子邮件账户访问权限。通过电子邮件冒充高管会使商业电子邮件欺诈（Business Email Compromise, BEC）更容易实施，因为员工倾向于信任并迅速响应来自高层管理人员的消息。 拦截通信 + 监控交易 犯罪分子现在的目标是观察合法的电子邮件活动而不被发现或听见。通常，他们会设置账户内的自动转发规则。这使得攻击者能够偷偷监视目标，并监控与合作伙伴或供应商之间的通信，特别是涉及到财务交易的通信。 凭证填充攻击的图示。 受害者杜普 以目标的身份扮演，犯罪者积极地介入电子邮件对话。其目的是让受害者相信犯罪者就是他们所冒充的身份。犯罪者可以同时针对不同的实体进行多线程的欺诈对话。 拿着钱跑 攻击者篡改电汇或财务交易细节，将支付款项转向自己，并移至下一个受害组织。 BEC 诈骗的主要类型 CEO 电子邮件欺诈 冒充高管是BEC攻击中较为有效的方法之一，原因有二：首先，员工的人性使他们立即遵从高管的要求，而高管们恰好与其他人在密码卫生习惯上一样容易疏忽。实际上，根据SpyCloud 研究， 133, 927 名 C 级财富 1000 高管的凭据可在暗网上出售。 在CEO电邮欺诈案例中，攻击者会冒充一家公司的CEO或其他高管，试图说服各级员工处理未经授权的电汇或共享机密税务信息。 你有时间吗 ？ 我在开会 ， 有我需要你处理一些事情. 通常，CEO欺诈邮件是社会工程攻击的一种形式，但有时会演变成针对性钓鱼攻击。在这种情况下，攻击者冒充CEO要求员工点击看似合法的链接。这一手段在疫情初期尤为盛行。 一次给我发一份通知 ， 供参考。 谢谢, 威廉 用于实施 CEO 欺诈的电子邮件示例。 攻击者可以指示邮件接收者将资金转移到由威胁行为者控制的代理账户。或者，他们可以在邮件中放置一个链接，该链接通导向攻击者控制的钓鱼页面。示例 ： “我们鼓励您登录并审查我们公司更新的 COVID - 19 办公协议。 “攻击者还可能操纵较低级别员工代表高管发起银行转账，或者在组织内部进行调整，以使欺诈性电汇更难被发现。 供应商电子邮件妥协 尽管与CEO电邮欺诈的概念相似，供应商电邮妥协（VEC）是一种针对供应商通讯的商业电子邮件欺诈（BEC），利用了供应商间的沟通方式。虚假发票骗局 控制付款 ， 通常以在典型的VEC场景中，犯罪分子会利用供应商电子邮件或业务系统来观察交易处理流程。他们收集发票结构和通信习惯的信息。这些细节使他们能够在不引起怀疑的情况下与受害者进行沟通。 虽然任何类型的 BEC 骗局的财务影响都可能很大 ， 但 VEC 的风险要高得多 ， 净平均 $125, 000。根据美国证券交易委员会2018 年 ， 至少有 9 家上市公司因此类骗局被骗走了 1 亿美元。 虚假发票方案FBI 名单作为最常见的商业电子邮件欺诈（BEC）骗局类型之一。这类攻击通常针对企业财务部门的工作人员。狡猾的攻击者会篡 改合法发票上的银行账户号码，但不会改变发票的其他部分，这使得难以察觉其欺诈性。无论以何种方式发生，虚假发票计划都涉及使用钓鱼邮件冒充会计、供应商或两者。 保护您的企业 ： 解决人类攻击表面 抵御利用复杂社会工程学手段的阴谋计划并非易事。专家一致认为，在任何组织的安全策略中，人类可能是最薄弱的一环，尤其是考虑到密码管理不佳的现象普遍存在。当密码重复使用员工的工作账户和个人账户之间存在冲突时，已经在数据泄露中暴露的凭证成为了商务电子邮件攻击（BEC）活动中可利用的目标。员工无意间帮助组织内的攻击者注意到公司的计费系统、供应商，甚至员工的沟通风格，从而在发起攻击前做好了准备。作为安全团队，你能主动采取哪些措施来遏制这一趋势呢？ 清晰和持续的教育 持续的培训项目使你团队中最薄弱环节成为抵御网络攻击的人类防火墙。以易于访问的方式强化学习，例如公司范围内的网络安全聊天渠道或维基百科。当你遇到商务电子邮件诈骗（BEC）尝试时，分享具体实例，并在定期的安全操作“办公时间”中让员工提问。 监控暴露的员工凭据 2020 年 ， BEC 成本 两个因素使得BEC（商务电子邮件欺诈）容易发生：一是犯罪论坛上可获取的被盗用凭证数量巨大，二是我们习惯性的密码重用。SpyCloud的用户泄露凭证数据库显示，密码重用的终身平均比率达到了57%——并且，60% 密码重复使用率 对于2020年收集的违规行为。问题只会变得更糟。了解您员工凭证是否已被泄露并要求他们进行密码重置的能力至关重要。NIST 指南是保持电子邮件帐户安全的关键预防措施。 增加从 2020 年第一季度的 54, 000美元增加到第二季度的 80, 183 美元， 占上一年所有损失的一半 ， 占网络保险索赔的大部分。 知道哪些供应商是可疑的 广泛影响的商务电子邮件欺骗（BEC）欺诈后果不容小觑。当第三方电子邮件账户遭到破坏时，犯罪分子能够监控电子邮件通信并从一家企业链接到另一家，建立起联系。实际上，近年来一些最大的数据泄露事件都是由于第三方账户被攻破导致的，比如2013年零售商塔吉特（Target）系统遭HVAC供应商凭证泄露攻击的事件，塔吉特只是其中之一；还有超过...56%许多组织报告成为第三方造成的违规行为的受害者。 您的业务并非独立存在，网络安全策略也不应将其视为孤岛。监测供应商和合作伙伴的凭证泄露情况——甚至更好，采取主动措施来防范此类风险。帮助他们补救你在帮助他们 ， 就像你在帮助自己一样。 Conclusion 商业电子邮件欺诈比一般的网络犯罪更具挑战性。更糟糕的是，它无处不在，且成本不会减少。在2020年，商业电子邮件欺诈（BEC）的成本达到了增加从2020年第一季度的$54,000增长至第二季度的$80,183，仅在上一年的所有损失中占到了一半，并且占据了大部分的网络保险索赔。 为了防止成为受害者，组织必须保持高度警觉，识别BEC欺诈和其他攻击，这一点至关重要。除了员工教育和主动监控之外，每个人都可以采取日常措施： 1. **加强密码管理**：确保使用强密码，并定期更改密码。鼓励使用一次性密码或双因素认证以增加安全性。2. **警惕异常行为**：培训员工识别不寻常的通信模式、请求或邮件内容，比如突然要求转账、更改付款信息等。 3. **更新安全软件**：保持操作系统、防病毒软件和其他安全工具的最新状态，及时修补安全漏洞。4. **实施数据备份策略**：定期备份重要数据，确保在不要与未知共享登录凭据从来没有 遭受攻击时能够快速恢复。5. **建立应急响应计划**：制定详细的应对计划，包括或可疑的提供者 (有第三方需要您的登录凭据的正当理由) 。 在发现安全事件时的步骤和责任分配，以及如何通知所有相关方。对电子邮件和短信中可能包含实际域名拼写错误的 6. **限制敏感信息访问权限**：仅授权给真正需要这些信息的人员，减少潜在的风险点。7. **进行定期安全审计**：定期评估系统的安全状况，超链接保持警觉，并不要点击可疑链接。 查找并修复潜在的安全风险。8. **提高意识培训**：持续进行安全意识培训，确保所 有员工了解最新的威胁和防范措施。9. **使用安全电子邮件过滤器**：部署技术来过滤垃圾 邮件和恶意链接，减少直接接触BEC攻击的机会。 10. **建立内部举报机制**：鼓励员工报告可疑活动， 验证电子邮件地址（确保发送者的电子邮件地址看起来与来源相匹配）。\n与供应商个人联系以获取更新后的付款详情。\n为每个在线登录实施多因素认证并使用唯一的密码，