由于 BEC 攻擊依賴于社會工程，傳統(tǒng)的安全軟件并不總能抵御它們。商業(yè)電子郵件泄露 (BEC) 是所有企業(yè)，尤其是中小型 (SMB) 企業(yè)都面臨的快速增長的網(wǎng)絡(luò)安全威脅。FBI 的互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 在其2020 年互聯(lián)網(wǎng)犯罪報(bào)告中報(bào)告稱，他們在當(dāng)年在美國收到了 19,369 起商業(yè)電子郵件泄露 (BEC) 投訴，調(diào)整后損失超過 18 億美元。

BEC 攻擊主要使用電子郵件，但可以使用 SMS 消息、語音郵件消息甚至電話進(jìn)行。BEC 攻擊之所以引人注目，是因?yàn)樗鼈儑?yán)重依賴所謂的“社會工程”技術(shù)，這意味著它們對人們使用詭計(jì)和欺騙手段。

BEC 攻擊可能非常有效，任何人都可能成為它們的受害者，無論多么豐富或復(fù)雜。2020 年 2 月，電視創(chuàng)業(yè)真人秀節(jié)目“鯊魚坦克”的美國女商人、投資者和評委芭芭拉·科科倫（ Barbara Corcoran ）在 BEC 騙局中幾乎損失了近 40 萬美元。幸運(yùn)的是，快速行動使她能夠追回這筆錢。但 FBI 的統(tǒng)計(jì)數(shù)據(jù)顯示，并不是每個人都這么幸運(yùn)。

因?yàn)?BEC 攻擊嚴(yán)重依賴社會工程，傳統(tǒng)的安全軟件并不總能抵御它們。這意味著您和您的員工在防范它們方面發(fā)揮著重要作用——以及為什么了解 BEC 攻擊是什么以及它們是如何工作的很重要。

BEC 攻擊的工作原理

雖然 BEC 攻擊可以通過多種方式展開，但它們都可以歸結(jié)為一個簡單的公式。攻擊者將試圖通過冒充員工信任的人來說服員工向攻擊者匯款。

攻擊者通常會嘗試以兩種方式疊加賠率。首先，他們試圖讓他們選擇冒充的人相信他們的攻擊。其次，他們試圖營造一種緊迫感，以便目標(biāo)受害者不太可能質(zhì)疑交易，也不太可能遵循可能被騙的適當(dāng)付款渠道。

有時，攻擊者會巧妙地將這兩種策略結(jié)合起來以達(dá)到最大效果。

例如，我們見過的一種 BEC 攻擊涉及員工從 CEO 或其他高級管理人員那里收到一條緊急信息，說他們需要該員工支付過期發(fā)票或?yàn)榫o急公司活動獲取禮品卡。離開。這些可以是電子郵件或短信，但攻擊者甚至使用深度偽造技術(shù)來模仿語音郵件消息和電話。2019 年，一名高管在此類攻擊中損失了 220,000 歐元（約合 243,000 美元），因?yàn)楣粽呤褂蒙疃葌卧旒夹g(shù)冒充其 CEO。

在另一種類型的 BEC 攻擊中，攻擊者使用虛假和被盜用的電子郵件帳戶來說服員工他們正在與合法供應(yīng)商打交道。攻擊者可能會與目標(biāo)受害者交換幾封電子郵件，以說服她或他他們是真正的供應(yīng)商，然后向他們發(fā)送假發(fā)票。這就是對芭芭拉·科科倫的攻擊是如何進(jìn)行的。

第三種 BEC 攻擊針對公司工資單。在這些情況下，攻擊者冒充員工，并試圖讓公司工資人員將員工的直接存款信息更改為他們自己的銀行賬戶。這些攻擊更微妙，需要更多時間，但可能非常有效。

在幾乎所有情況下，BEC 攻擊者的目標(biāo)都是通過以下兩種方式之一獲取資金：電子資金轉(zhuǎn)賬（包括加密貨幣）或禮品卡。雖然使用禮品卡進(jìn)行此類攻擊可能令人驚訝，但攻擊者發(fā)現(xiàn)這是一種轉(zhuǎn)移和洗錢的簡單方法。

如何保持免受 BEC 攻擊

BEC 攻擊確實(shí)是使用當(dāng)前技術(shù)的老式欺詐攻擊：我們在電子郵件或語音郵件出現(xiàn)之前很久就看到了這種類型的騙局。因?yàn)檫@些不是基于技術(shù)的攻擊，這意味著基于技術(shù)的解決方案不會像對抗勒索軟件那樣有效地對抗這些攻擊。例如，一封制作精良的 BEC 電子郵件很難讓安全軟件與合法電子郵件區(qū)分開來，尤其是當(dāng)它來自您信任的人的真實(shí)（但已被泄露）帳戶時。

這意味著防范 BEC 攻擊需要關(guān)注兩件事：您和您的員工。

首先，讓您和您的員工了解 BEC 攻擊。當(dāng) CEO 突然發(fā)來一封意想不到的電子郵件時，你和你的員工應(yīng)該學(xué)會保持懷疑：“我需要你為今天的生日派對買 5,000 美元的禮品卡，把數(shù)字發(fā)給我，不要告訴任何人”。防止這些攻擊還有很長的路要走。

其次，加強(qiáng)驗(yàn)證支付請求的重要性，以及遵守既定規(guī)則支付賬單、更改直接存款信息以及購買和發(fā)送禮品卡的重要性。例如，讓員工知道他們應(yīng)該打電話給員工或供應(yīng)商要求付款。確保他們知道使用您存檔的號碼，并在執(zhí)行其他任何操作之前驗(yàn)證發(fā)票或請求是否合法。

強(qiáng)調(diào)即使請求似乎來自貴公司的高層，員工仍然需要驗(yàn)證。攻擊者試圖說服目標(biāo)受害者對這些攻擊保密，以增加他們成功的機(jī)會，并利用員工不愿質(zhì)疑當(dāng)權(quán)者。明確表示員工可以而且應(yīng)該在這種情況下提出問題。

最終，BEC 攻擊之所以成功，是因?yàn)楣粽咂垓_了受害者，讓他們相信他們的欺騙行為。雖然 BEC 攻擊使用技術(shù)，但它們實(shí)際上只是對古老的欺詐和詐騙的現(xiàn)代轉(zhuǎn)折。因此，挫敗它們需要適應(yīng)這些舊欺詐行為的新方式。

好消息是，通過適當(dāng)?shù)呐嘤?xùn)、教育并遵循適當(dāng)?shù)恼吆统绦颍梢源鞌∵@些攻擊。您只需要花時間讓自己和您的員工了解這些騙局的存在、它們的運(yùn)作方式以及處理付款請求的正確方法——無論它們是如何交付的。