商务电子邮件妥协 101

商务电子邮件妥协101 这些攻击是如何工作的，为什么它们持续存在， 以及你能做些什么来阻止他们。 Introduction ATO与BEC的解剖学 BEC诈骗的主要类型 保护您的企业 Conclusion SpyCloud的差异 Introduction 根据联邦调查局的互联网犯罪投诉中心(IC3)，商务电子邮件 妥协(BEC)2020年超过18亿美元-平均每次事件为93,000美元。 从这个角度来看，一次银行抢劫的平均损失约为3,000美元。BEC骗局例如，可能不会成为勒索软件级别的头条新闻，但它们仍然是一个 多年来最一致和最常见的攻击途径。 互联网犯罪2020年亏损源于 BEC攻击 BEC计划之所以成功，是因为它们利用了使人们变得良好的品质员工。对于某些职位的人，收到电汇的电子邮件请求， 重新路由付款或共享敏感的财务信息是平均工作日的一部分。 问题是，说出真实的电子邮件和冒名顶替者的骗局之间的区别并不是 总是很容易。如果非法请求实际上来自受信任的发件人的电子邮件，该怎么办帐户，但帐户所有者不知道他们的凭据已被泄露？This 被称为账户接管 (ATO)，它通常是 成功的BEC攻击。一旦 ATO正在进行中，这是一个问题社会操纵。 了解如何利用 脆弱时期的人类行为时间(即全球的开始 大流行或经济衰退)允许 骗子变得更大胆，目标不仅仅是大 公司，但高管也是如此。任何人都可以成为目标-随后成为受害者。怎么能 组织保护自己免受问题的影响根植于我们作为人类的本性？ 本文的探索，只是因为问题的存在在“键盘和椅子”之间并不意味着 这是无法预防的. ATO与BEC的解剖学Attacks 为了让您了解为什么BEC诈骗如此成功，请考虑一下 平均每天都会出现在收件箱中。现在，考虑一下电子邮件的数量每个人在你的组织每天收到。如果您的组织作为一个整体每年收到100万封电子邮件 甚至只有0.1%的电子邮件是非法的，并通过过滤器，剩下1000封等待收件人激活的潜在骗局。 公平地说，加入BEC计划并不总是员工/受害者的轻信问题。在许多情况下，它始于成功的ATO 其中罪犯完全假定了合法公司高管、网络管理员、员工或第三方的身份- partyvendor通过获取受害者的帐户凭据。获得这些凭据比你想象的要容易。感谢一个健壮的黑暗的网络市场，犯罪分子可以简单地利用重复使用或类似的密码从以前被入侵的网站获得访问现有帐户。他们耐心等待，观察公司主要员工和供应商的活动和趋势，直到他们拥有 他们应该从BEC骗局中产生最大的影响和产生最大收益的感觉。 由于被盗凭证在暗网上变得更容易访问，因此有能力破坏合法的电子邮件帐户。 这使得BEC演变成更加复杂和个性化的攻击。在2020年，IC3看到了更多的BEC受害者针对不同类型的诈骗：勒索，技术支持，浪漫诈骗和在家工作诈骗等。在 在这些情况下，受害者向攻击者提供了一种形式的敏感个人识别(PII)和财务信息，这些信息然后用于创建银行帐户并接收被盗的BEC资金，这些资金后来被转移到加密货币帐户或礼物中卡，两者都很难（如果不是不可能）追踪。 BEC攻击通常分为两类：网络钓鱼（带有包含恶意链接和/或附件的电子邮件或文本）和，更常见的是，社会工程攻击。在大流行的高峰期，BEC尝试的激增提供了如何 在严格的“社会工程”攻击中，受害者经常被模糊地“修饰” 但是-可能是高级同事的紧急问题（“你今天在办公室吗？你能帮我一个 赞成……”)。一旦建立了融洽关系，罪犯就开始提出紧急请求，并可能通过直接募集资金分配存款，付款或礼品卡，并可能要求银行详细信息。这些攻击尤其难以检测；最无害的 类型以直接电子邮件或文本的形式出现，并且不包含任何可疑的链接或附件。因此，它们在很大程度上绕过传统的电子邮件网关保护或直接转到不受监控的短信。在大流行期间，犯罪分子使用 通过在网络钓鱼电子邮件中利用COVID-19来实现社会工程的各个方面。这些电子邮件可能会要求供应商提供信息 (“由于大流行，我们正在更换计费软件，需要您更新的付款信息。”)或要求员工打开包含恶意软件的链接或附件（“员工必须查看我们更新的COVID-19办公协议。”）。 123456 111111 足球qwertyuiop超人123qwe 跳跳虎 homas 乔治 zxcvbnf奶酪*#k切尔西 奥斯汀 马丁1234qwer安东尼 互联网 理查德鸡肉花生三星阿森纳怪物 暗黑破坏神初中 牛仔史酷比 cheste 红袜白兰地哈尔斯大 密码 1234567 猴子 123321 1qaz2wsx 杀手猎人阳光曲棍球混蛋 555555 玛吉阿曼达 biteme 12345678 龙 letmein野马7777777 trustno1ibluosvteyrou 护林员计算机 11111111 1夏5季9753 马修 泰勒秘密 锤子试验 qwerty123123 696969 123456789 棒球阴影 约旦 足球 f*#kme 丹尼尔米歇尔 詹妮弗 哈雷 2000 131313 爱 雷声 踏板车希萨瑟曼 测试100,000个密码 a访a问aaa 矩阵 f*#ker 银 bailey 特立独行猎鹰Steelers婴儿潮xxxxxx康柏 保时捷网球波士顿约翰尼骑士 iwantubigdaddy雷切尔 茉莉 捕苏鱼菲 q万a宝zx路sw 吹墨我菲 凝胶 starwajessicFreedo生姜 阿什利 扬基Willia梅林222222 q1w2e3： phoeni 牛仔约瑟夫布波 123123 紫色湖人 999999 q1w2e3r4：爱德华 o sgpfahrjkym摩贾根斯汀andrea 老鹰 老虎 史努比 欢迎烟熏梅利莎黄色 qwer1234123654 伦敦 米勒永远尼基塔坏男塔孩莎 花DTN 进入88 n ncc1701 f*#koff333333 巴尼 护林员 挡泥板 杀手 向导 季 古柯科拉 兔子 甘道夫 chris 8675309 麦迪逊密码 史蒂文 王子casperasdfasdf 苹果劳伦 qwaszx 库珀 55555 迈克乔纳森 咖啡 雅马哈奥利弗请 黄油塔克获胜者 z6z5z4z3z2z1詹安姆吉斯拉丰田 1老5虎9357 covid1 BEC攻击命令 识别目标+获取访问权限 一旦罪犯确定了受害者组织，他们使用ATO或凭证填充以获得对 所需目标的电子邮件帐户-理想情况下，目标是处于权威地位的人。冒充 高管通过电子邮件使BEC骗局更容易实现因为员工倾向于信任并迅速做出反应 来自C级的消息。 拦截通信+监控交易 罪犯现在的目标是观察合法 电子邮件活动没有被看到或听到。通常，他们在帐户中设置自动转发规则。这 允许攻击者偷偷地观察目标和 监控来自合作伙伴或供应商的通信，特别是那些涉及金融交流的。 凭证stuffing攻击的图示。 受害者杜普 面对目标的角色，罪犯积极地将自己插入电子邮件中谈话。这个想法是愚弄受害者相信罪犯是他们假装的人罪犯可以冒充一个实体与另一个实体进行多次平行对话。 拿着钱跑 攻击者修改电汇或金融交易详细信息，将付款路由到他们自己，并转移到下一个受害者组织。 BEC诈骗的主要类型 CEO电子邮件欺诈 冒充高管是更成熟的BEC方法之一，原因有两个-首先，这是员工的人类行为立即遵守高管的要求，高管碰巧和其他人一样犯有弱密码卫生罪。事实上， 根据SpyCloud的研究，133,927名C级财富1000高管的凭据可在暗网上出售。 https://Company.com 新供应商付款 威廉·英格拉姆<ceo@company.com>AlyssaPeters 1:08PM(8分钟前) 艾丽莎, 你有时间吗？我在开会，有我需要你处理一些事情. 我需要你支付86,500美元的国际电汇 到附加的帐户。这是一个新的供应商和付款到期今天。 一次给我写一份通知，供参考。谢谢, 威廉 在CEO电子邮件欺诈事件中，攻击者将冒充公司首席执行官或 其他高管试图说服 任何级别的员工进入处理未经授权的电汇或共享机密税务信息。 通常，CEO欺诈电子邮件是社交工程攻击，但他们有时 可以交叉成鱼叉式网络钓鱼。在这些实例，攻击者冒充CEO 要求员工点击一个看似 合法链接。这种策略很普遍在大流行开始的时候。 攻击者可以指示 用于实施CEO欺诈的电子邮件示例。 电子邮件将资金虹吸到威胁演员控制的骡子账户中。或者，他们可以在电子邮件中放置一个链接，导致攻击者- 受控网络钓鱼页面(示例：“我们鼓励您登录并审查我们公司更新的COVID-19fiCE协议。“). 攻击者还可能操纵较低级别的员工代表高管发起银行转账，或使某些从组织内部进行调整，以降低欺诈性电汇的可察觉性。 供应商电子邮件妥协 虽然在概念上与CEO电子邮件欺诈类似，但供应商电子邮件泄密(VEC)是一种利用供应商通信的BEC 控制付款，通常以虚假发票骗局。在典型的VEC场景中，犯罪分子会利用供应商电子邮件或 businesssystemstoobservehowtransactionsareprocessed.Theycollectinformationoninvoicestructuresandcommunication 这些细节使他们能够在不引起怀疑的情况下与受害者进行交流。 https://CompanyEmail.com FinanceAdmin 更新银行付款 Hi财务主管， 我们的付款有问题-请更新到此银行帐户 客户 用户名 更新信息 JohnSmith 嗨，客户， 密码 •••••• 请将您的付款提交给此更新的b 帐户... 同事 思想? 登录 嗨，同事， 你能告诉我你对这个PDF的看法吗？它有一个可执行文件，只是让它运行。 虽然任何类型的BEC骗局的财务影响都可能是巨大的，但VEC的赌注要高得多，净赚125,000美元平均。根据美国证券交易委员会2018年的数据，至少有9家上市公司被骗 因为这样的骗局，1亿美元。 FBI名单虚假发票方案作为BEC诈骗的顶级类型之一。这些攻击通常针对在业务的财务部门。精明的攻击者将更改合法发票的银行帐号，但将其余的 invoiceunchanged—makingitdifficulttodetectthatit'sfrauful.Howeverithappens,thefalseinvoiceschemeinvolvesusing 网络钓鱼电子邮件冒充会计师、供应商或两者。 保护您的企业：应对人类攻击表面 为利用复杂的社会工程方法的计划辩护说起来容易做起来难。专家们同意 人类很可能是任何组织安全状况中最薄弱的环节，特别是因为普遍存在穷人密码卫生。当密码在员工的工作和个人帐户之间重复使用时，已经 暴露在数据泄露中是公平的游戏，适用于BEC活动。员工不知不觉地使组织内部的攻击者要注意它的计费系统，供应商，甚至是员工的沟通风格，然后才发起一个活动。 你能作为一个安全团队积极地阻止潮流吗？ 清晰和持续的教育 持续的培训计划武装你最薄弱的环节，成为人类的防火墙。以一种容易获得的方式加强学习，例如作为公司范围内的网络安全聊天频道或wiki。当您遇到BEC尝试时，请分享它们的特定示例和 让人们在正常的SecOps“办公时间”提问。 2020年，BEC成本从增加 2020年第一季度54,000 美元 到第二季度的80,183 美元，并占 所有损失的一半前一年和 大多数网络 保险索赔。 监控暴露的员工凭据 有两个因素使BEC易于实施：大量可用的被盗凭证 在犯罪论坛上，以及我们习惯性的密码重用。SpyCloud的暴露用户数据库凭证显示出57％的密码重用率和60％的密码重用率 对于2020年收集的违规行为。问题只会变得更糟。知道哪个的能力您的员工的凭据已被暴露，并强制他们进行密码重置 遵守NIST指南是保持电子邮件帐户安全的关键预防措施。 知道哪些供应商是可疑的 BEC骗局的深远后果怎么强调都不为过。当第三方电子邮件帐户遭到入侵，