在智能設(shè)備高度互聯(lián)、企業(yè)采用混合辦公的時(shí)代,網(wǎng)絡(luò)威脅已成為滲透到企業(yè)運(yùn)行的方方面面。無(wú)論規(guī)模大小,各類機(jī)構(gòu)都會(huì)面臨來(lái)自網(wǎng)絡(luò)不法分子的威脅。更為重要的是,隨著遠(yuǎn)程辦公模式的采用和向基于云的 SaaS 應(yīng)用的遷移不斷增多,以入侵員工企業(yè)帳戶為目標(biāo)的攻擊也在日益提升。黑客可通過(guò)入侵帳戶訪問敏感數(shù)據(jù),并趁機(jī)進(jìn)一步攻擊其他員工以及供應(yīng)鏈相關(guān)的其他機(jī)構(gòu)。
攻擊傳播方法各不相同,但最常被利用的向量是電子郵件,后者可用作憑證收集網(wǎng)絡(luò)釣魚活動(dòng)的載體。近年來(lái),網(wǎng)絡(luò)釣魚的規(guī)模和復(fù)雜性普遍增長(zhǎng),從財(cái)務(wù)角度來(lái)看,最具破壞性的網(wǎng)絡(luò)釣魚形式是“商業(yè)電子郵件入侵”(BEC)。根據(jù) Check Point Research 的研究,憑證收集約占所有電子郵件攻擊的 15%,但卻最具經(jīng)濟(jì)破壞性。
什么是“商業(yè)電子郵件入侵”?
商業(yè)電子郵件入侵 (BEC) 是一種網(wǎng)絡(luò)釣魚,攻擊者使用看似合法的電子郵件地址,誘騙員工進(jìn)行下一步操作。該電子郵件地址看似為真實(shí)地址,但可能缺少一個(gè)字母,或者來(lái)自免費(fèi)的郵件帳戶,而非公司域名。
最常見的 BEC 案例之一是商業(yè)報(bào)銷詐騙,即黑客偽裝成供應(yīng)商,通過(guò)看似真實(shí)的電子郵件地址提交虛擬報(bào)銷材料。電子郵件的收件人(可能是會(huì)計(jì)部門的工作人員)往往在沒有驗(yàn)證郵件來(lái)源真?zhèn)螘r(shí),就執(zhí)行報(bào)銷操作,從而造成企業(yè)財(cái)產(chǎn)損失。
另一種形式的 BEC 是“首席執(zhí)行官”詐騙,即攻擊者冒充企業(yè)高管,要求員工進(jìn)行電匯轉(zhuǎn)賬,或者在安全網(wǎng)絡(luò)之外共享敏感的公司數(shù)據(jù)。網(wǎng)絡(luò)犯罪分子會(huì)精心策劃騙局來(lái)讓受害者深信不疑。他們通常會(huì)使用相似的電子郵件地址,并仔細(xì)推敲措辭,使其在通信中“聽起來(lái)”更像“首席執(zhí)行官”。詐騙分子會(huì)以高管的口吻提出緊急請(qǐng)求,企圖利用收件人的緊迫感和畏懼心達(dá)成目的。
據(jù)美國(guó)聯(lián)邦調(diào)查局 (FBI) 的數(shù)據(jù)顯示,2022 年美國(guó)發(fā)生了超過(guò) 20,000 起 BEC 事件,損失總額高達(dá) 27 億美元,而這僅僅是報(bào)告數(shù)據(jù),實(shí)際數(shù)目可能更高。
BEC 3.0 的興起
近年來(lái),BEC 攻擊日趨復(fù)雜,僅在 2023 年前兩個(gè)月就發(fā)生了 4 萬(wàn)多起此類攻擊。
BEC 1.0 興起于新冠疫情期間,犯罪分子企圖利用新的分布式工作環(huán)境興風(fēng)作浪。相比傳統(tǒng)辦公環(huán)境,遠(yuǎn)程辦公員工更容易遭到網(wǎng)絡(luò)釣魚攻擊,而遠(yuǎn)程辦公模式也創(chuàng)造了更多冒充機(jī)會(huì)。在 BEC 1.0 中,電子郵件發(fā)件人偽裝成同事、合作機(jī)構(gòu)或知名品牌。
在一種最常見的攻擊形式中,黑客冒充企業(yè)管理者,指示員工為廠商購(gòu)買禮品卡。這些電子郵件大多都是純文本,這就需要用戶具有敏銳的洞察力或借助先進(jìn)的人工智能 (AI) 和機(jī)器學(xué)習(xí)才能識(shí)破。BEC 1.0 至今日依然存在,但隨著最終用戶的安全意識(shí)不斷提高,以及更多電子郵件安全層經(jīng)過(guò)優(yōu)化已能夠檢測(cè)出和阻止這些攻擊,此類攻擊的效果日益減弱。
在 BEC 2.0 中,電子郵件來(lái)自被入侵的帳戶。這些帳戶可能是同一公司內(nèi)的帳戶或是遭到入侵的合作伙伴帳戶,其中黑客假扮業(yè)務(wù)代表實(shí)施報(bào)銷詐騙,或竊取員工信息及其他敏感數(shù)據(jù)。這種形式的復(fù)雜性有所提高,因?yàn)樗褂玫氖潜蝗肭值暮戏ǖ暮献骰锇閹簟MǔG闆r下,攻擊者會(huì)從合作伙伴的現(xiàn)有郵件中尋找線索實(shí)施詐騙,或者先潛伏在合法對(duì)話中,等時(shí)機(jī)合適再劫持對(duì)話實(shí)施詐騙。
今年又迎來(lái)了第三波 BEC 攻擊。在 BEC 3.0 中,黑客從 QuickBooks、Zoom 或 SharePoint 等合法 SaaS 服務(wù)和網(wǎng)站發(fā)送真實(shí)通知。從表面上看,這些通信并無(wú)不法或可疑之處,因?yàn)樗鼈兪侵苯訌南嚓P(guān)網(wǎng)站發(fā)送的。
黑客甚至可以使用與受攻擊機(jī)構(gòu)相同或相似的名稱來(lái)讓偽裝看起來(lái)天衣無(wú)縫。為了實(shí)施攻擊,他們會(huì)在報(bào)銷材料或支付信息中添加一個(gè)電話號(hào)碼,該電話號(hào)碼指向一個(gè)虛擬的支持團(tuán)隊(duì),打過(guò)去之后就可能會(huì)被騙。Check Point Research 在 2023 年前兩個(gè)月檢測(cè)到了近 4 萬(wàn)起此類攻擊。
防范 BEC
防范 BEC 需要采取多重措施,包括采用先進(jìn)技術(shù)、開展員工培訓(xùn)以及實(shí)施嚴(yán)格的數(shù)據(jù)和支付策略。
安全意識(shí)
用戶必須制定并實(shí)施全面的員工培訓(xùn)計(jì)劃,使員工能夠快速識(shí)別并有效應(yīng)對(duì) BEC 威脅。員工需要仔細(xì)查看收到的電子郵件并鑒別其真實(shí)性。如果感覺不妥,則很可能存在貓膩。通過(guò)了解網(wǎng)絡(luò)犯罪分子采用的伎倆,員工能夠最大限度地降低 BEC 騙局帶來(lái)的風(fēng)險(xiǎn)。
自動(dòng)告警
反網(wǎng)絡(luò)釣魚防護(hù)是一道重要的防線,它采用復(fù)雜的人工智能 (AI) 算法來(lái)理解電子郵件語(yǔ)言、上下文以及發(fā)件人和收件人之間的關(guān)系,并將調(diào)查結(jié)果與作為基線的郵件數(shù)據(jù)進(jìn)行比較。人工智能可以檢測(cè)到不匹配的發(fā)件人地址、泄露的電話號(hào)碼和書寫風(fēng)格的變化等危險(xiǎn)信號(hào) — 多種人工智能模型可幫助識(shí)別攻擊跡象。在《2023 年第二季度 Forrester Wave?:企業(yè)電子郵件安全》報(bào)告中,Check Point Harmony Email & Collaboration解決方案被評(píng)為行業(yè)領(lǐng)導(dǎo)者。該解決方案Check Point 不僅提供內(nèi)聯(lián) CAPES(云原生、支持 API 的電子郵件安全防護(hù))部署選項(xiàng)(適用于 Microsoft 365 和 Google Workspace),同時(shí)還為 Teams、SharePoint、Slack 及 Dropbox 等通信和協(xié)作應(yīng)用提供全面保護(hù)。
多重身份驗(yàn)證
最后,實(shí)施嚴(yán)格的數(shù)據(jù)和支付策略至關(guān)重要,這些策略應(yīng)要求對(duì)資金轉(zhuǎn)賬或數(shù)據(jù)共享進(jìn)行多重驗(yàn)證。通過(guò)實(shí)施上述措施,企業(yè)可以提高防御能力,確保發(fā)票和敏感信息送達(dá)預(yù)期接收者,同時(shí)降低遭遇 BEC 攻擊的風(fēng)險(xiǎn)。
