企业电子邮件入侵攻击(BEC)是一种常见的网络攻击形式,依靠社会工程等取得受害者信任从而进行的网络攻击。犯罪分子使用具有欺骗性或已经遭到入侵的帐户冒充受信任的来源,向员工、业务合作伙伴或客户发送有针对性的电子邮件。收件人往往无法发现其中的异常,从而采取行动,将敏感信息或资金直接交到犯罪分子手中。
美国联邦调查局报告数据显示,BEC袭击造成的损失总计24亿美元。远超勒索软件的损失,占2021年所有网络安全损失的35%。企业员工必须了解BEC是什么,如何识别它以及可以采取哪些应对措施等。
01
BEC常用攻击策略
BEC 攻击主要包括以下四种常用策略:
-
域欺骗: 攻击者利用电子邮件身份验证系统中的漏洞(或缺少漏洞)来使电子邮件看起来像是来自受信任域;
-
显示名称欺骗: 攻击者修改发件人的姓名以显示收件人认识的人。有时是一个权威人士,但也可以是受害者信任的任何人(内部或外部);
-
类似域:攻击者注册的域与企业的域混淆性地相似,并冒充品牌或受信任的个人。例如,攻击者可能会将公司的 domain.com 换成 acompanydomain.com;
-
被盗用的帐户: 攻击者使用各种策略(如社交工程和网络钓鱼)来访问用户的电子邮件凭据,并使用受感染的帐户发起BEC攻击。攻击者还可能使用来自受信任供应商的受感染帐户来欺骗客户和业务合作伙伴,从而将供应链转变为另一个威胁媒介。我们经常看到供应商冒充和被入侵的供应商帐户在一次攻击中被联合使用。
在BEC欺诈消息的内容中经常出现以下几个主题:
-
任务和诱饵: 攻击者使用简单、看似良性的问题或请求来识别、验证和软化潜在目标。他们可能会寻求挖掘更多信息,确认电子邮件地址有效,或者看看目标是否容易成为猎物;
-
工资单重定向: 攻击者以员工身份向人力资源或工资单部门发送电子邮件,并要求更改其直接存款银行信息。此更改会将员工的工资路由到不良行为者的帐户;
-
发票欺诈: 攻击者冒充或破坏内部来源或供应商,并要求将付款路由到新帐户。
02
如何识别 BEC
BEC攻击很难被发现,因为它们看起来就像普通的商业电子邮件一样。它们并不总是包含URL或附件,这使得它们很难用传统的安全工具检测到。但是,员工可以留意出现问题的信号,并采取措施验证请求。这些步骤可以包括亲自或通过其他通信渠道(如电话)联系发件人。
-
拼写错误: 拼写错误应提示您的用户仔细查看电子邮件并确保请求有效;
-
改变常规程序: 要求突然更改程序的电子邮件,尤其是涉及财务或私人公司数据的电子邮件,应始终受到怀疑;
-
银行或财务要求: 员工应始终仔细检查更改银行或工资单信息的请求;
-
邮件内容紧迫性: 紧迫感也应该为您的员工树立一个危险信号。攻击者利用紧迫感来引起收件人的情绪反应;
-
将鼠标悬停在发件人显示名称上:仔细查看发件人电子邮件地址,看看它是否是一个相似的域。当用户回复电子邮件时,请始终检查并查看回复电子邮件是否与发件人字段中的电子邮件一致。
03
降低风险的方法
员工可以通过以下几种方式帮助企业抵御 BEC 攻击:
●在线发布个人信息时要小心。攻击者通常会研究目标,以使其冒充更具说服力;
●不要信任任何发件人。始终注意冒名顶替者。如有疑问,请咨询安全团队;
●始终使用其他方法验证金钱或信息请求,以确保它们确实来自正确的发件人。
相关阅读
原文始发于微信公众号(安全牛):安全牛课堂 | 企业如何应对电子邮件入侵攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论