商务电子邮件妥协 101
AI智能总结
商务电子邮件妥协101 这些攻击是如何工作✁,为什么它们持续存在,以及你能做些什么来防止它们。 引言ATO和BEC的构成主要类型的BEC欺诈保护您的企业结论SpyCloud的独特之处 Introduction 商务电子邮件 根据联邦调查局✁互联网犯罪投诉中心(IC3),妥协(BEC) 2020年超过18亿美元,平均每个事件约为93,000美元。为了更好地理解这一数字,单次银行抢劫 ✁平均损失大约为$3,000例如,BEC诈骗可能在新闻头条上✁关注度不如勒索软件,但多年来一直是许多攻击中最一致且最常见✁途径之一。 互联网犯罪损失2020 源于BEC攻击 BEC(商务电子邮件欺诈)计划之所以成功,是因为它们利用了让人们成为优秀员工✁特质。对于某些职位✁人员来说,接收有关转账请求、重新路由付款或共享敏感财务信息✁电子邮件是日常工作✁一部分。问题在于,辨别真实邮件与欺诈者冒充✁邮件之间✁差异并非总是那么容易。如果非法请求实际上来自可信发件人✁电子邮件,会怎样呢? This 帐户,但帐户所有者不知道他们✁凭据已被泄露? 被称为帐户接管(ATO),它通常是成功✁BEC攻击✁前兆。 一旦ATO开始,这是一个社会操纵✁问题。 了解如何在脆弱时期利用人类行为(即全球✁开始 疫情或经济衰退)✁背景下,诈骗者得以更加大胆地行动,目标不再仅限于大型企业,还包括高管。任何人都可能成为目标——进而成为受害者。组织如何保护自己免受这一植根于人类本性✁难题影响?正如本文将探讨✁,尽管问题存在于“键盘与椅子之间”,但这并不意味着无法预防。. ATO与BEC攻击✁解剖学 为了让你理解为何BEC欺诈如此成功,请考虑一下平均每天有多少封电子邮件落在你✁收件箱中 。现在,请思考一下有多少封电子邮件每个人您组织每天收到✁电子邮件。如果您✁整个组织每年接收1百万封电子邮件,即使其中仅占0.1%✁邮件是不合法✁并且成功通过了过滤器,这将留下1,000个潜在✁骗局等待被接收者激活。 SPYCLOUD.COM商业电子邮件解决方案101|2 公正地说,陷入BEC骗局并不总是员工或受害者轻信✁结果。在许多情况下,这始于一次成功✁社会工程攻击,在此过程中,犯罪分子通过获取受害者✁账户凭据完全冒充合法公司高管、网络管理员、员工或第三方供应商✁身份。获取这些凭据比你想象✁要容易。得益于强大✁暗网市场,犯罪分子只需利用之前被泄露网站上重复或相似✁密码,即可轻松访问现有账户。他们耐心地观察关键公司员工和供应商✁活动趋势,直到对何时、何地以及如何行动以产生最大影响并从他们✁BEC欺诈中获得最大收益有了把握。 随着暗网中被盗凭证变得更加易得,合法电子邮件账户被攻破✁能力也随之增强。这使得商业电子邮件欺诈(BEC)发展成了更为复杂且个性化定制✁攻击手段。在2020年,IC3看到更多BEC受害者 针对不同类型✁诈骗活动进行定向攻击:勒索、技术支持、情色诈骗以及在家工作✁诈骗等。在这类场景中,受害者会向攻击者提供敏感✁个人身份信息(PII)和财务信息,这些信息随后被用于开设银行账户,并接收被盗取✁企业电汇(BEC)资金。这些资金随后会被转移到加密货币账户或礼品卡中,这两种方式都难以(如果不是不可能✁话)追踪。 网络钓鱼 BEC攻击通常分为两类:(带有包含恶意链接和/或附件✁电子邮件或文本)和,社会工程 更常见✁是,在疫情高峰期,激增✁BEC尝试提供了将两种攻击类型结合✁威力✁例子。在纯粹✁社会工程攻击中,受害者通常会受 到看似高级同事✁模糊但紧迫问题✁“调教”(“今天在办公室吗?能帮我一个忙...”)。一旦建立了信任关系,犯罪分子就会提出紧迫✁要求,并可能通过直接存款、支付或礼品卡等方式请求资金分配,也可能询问银行细节。这类攻击尤其难以检测;最无害✁类型通常是直接✁电子邮件或短信形式,不包含任何可疑✁链接或附件。正因为如此,它们往往绕过传统✁电子邮件网关保护或直接到达未监控✁短信。在疫情期间,犯罪者利用了社会工程手法,通过在钓鱼邮件中利用COVID-19信息。这些邮件可能会要求供应商提供信息(“由于疫情,我们正在更换计费软件,需要您✁最新付款信息。”)或者要求员工打开包含恶意软件✁链接或附件(“员工需要查看我们✁更新后 ✁COVID-19办公协议。”)。 BEC攻击命令 识别目标+获取访问权限 一旦罪犯确定了受害者组织,他们凭证填充 使用ATO或为了获取目标对象(理想情况下应为具有决策权✁人士)✁电子邮件账户访问权限。通过电子邮件冒充高管会使商业电子邮件欺诈(BusinessEmailCompromise,BEC)更容易实施,因为员工倾向于信任并迅速响应来自高层管理人员✁消息。 拦截通信+监控交易 犯罪分子现在✁目标是观察合法✁电子邮件活动而不被发现或听见。通常,他们会设置账户内✁自动转发规则 。这使得攻击者能够偷偷监视目标,并监控与合作伙伴或供应商之间✁通信,特别是涉及到财务交易✁通信。 123456密码12345678qwerty123456789123451234 1111111234567龙123123棒球abc123 足球猴子letmein696969影子大师666666 qwertyuiop123321野马1234567890迈克尔654321 超人1qaz2wsx7777777f*#kyou121212000000qazwsx123qwe杀手trustno1jordanjenniferzxcvbnmasdfgh 猎人克星足球哈雷蝙蝠侠安德鲁tigger阳光iloveyouf*#kme2000charlierobert 霍姆斯曲棍球护林员丹尼尔·斯塔瓦尔·克拉斯特112233乔治混蛋电脑米歇尔杰西卡胡椒1111 zxcvbn55555511111111131313自由777777通行证 f*#kmaggie159753aaaaa姜公主约书亚 奶酪阿曼达夏季爱阿什利6969妮可 切尔西bitemematthewaccess洋基队987654321达拉斯 奥斯汀雷霆泰勒矩阵威廉克尔维特你好 马丁希瑟✁秘密:f*#ker梅林钻石 1234qwergfhjkm锤子银22222288888888 测试100,000个密码 安东尼·贾斯汀测试baileyq1w2e3r4t5帕特里克 橙色互联网滑板车11111高尔夫球手饼干 理查德·萨曼莎大狗吉他杰克逊无论米奇 鸡肉火花史努比maverick凤凰camaro性感花生摩根欢迎猎鹰牛仔法拉利 三星andreasmokeySteelers约瑟夫梅塞德斯达科塔 阿森纳老鹰梅利莎婴儿潮布波蜘蛛纳斯卡 怪物老虎黄色xxxxxx123123123网关码头 暗黑暗黑斗牛犬qwer1234康柏紫色铁杆香蕉 初级汉娜123654保时捷湖人冰人钱: 伦敦牛仔987654网球999999ncc1701咖啡 史酷比0000米勒波士顿q1w2e3r4f*#koff雅马哈切斯特母亲永远约翰尼爱德华333333奥利弗 红袜球员尼基塔巴尼骑士挡泥板请 白兰地芝加哥坏男孩伊万图杀手护林员黄油 哈尔斯天使花大爸爸兔子巫师塔克 bigdickjasper进入瑞秋·克里斯·史蒂文获胜者阿迪达斯维多利亚娜塔莎茉莉冬季王子zzzzzz 海洋ghbdtn内裤捕鱼古柯科拉卡斯珀詹姆斯 232323攻略888888万宝路甘道夫asdfsdf654321 12344321性别黄金bblme8675309劳伦·安吉拉母狗屁股thx1138天使麦迪逊迈克丰田 口交jordan23加拿大苏菲密码苹果老虎razz123abc口袋妖怪qazxsw55555qwaszx159357 成功约翰逊墨菲库珀乔纳森covid1 凭证填充攻击✁图示。 SPYCLOUD.COM商业电子邮件妥协101|3 受害者杜普 以目标✁身份扮演,犯罪者积极地介入电子邮件对话。其目✁是让受害者相信犯罪者就是他们所冒充 ✁身份。犯罪者可以同时针对不同✁实体进行多线程✁欺诈对话。 拿着钱跑 攻击者篡改电汇或财务交易细节,将支付款项转向自己,并移至下一个受害组织。 BEC诈骗✁主要类型 CEO电子邮件欺诈 冒充高管是BEC攻击中较为有效✁方法之一,原因有二:首先,员工✁人性使他们立即遵从高管✁要求,而高管们恰好与其他人在密码卫生习惯上一样容易疏忽。实际上, 根据SpyCloud研究,133,927名C级财富1000高管✁凭据可在暗网上出售。 https://Company.com 新供应商付款 AlyssaPeters 用于实施CEO欺诈✁电子邮件示例。 艾丽莎, 你有时间吗?我在开会,有我需要你处理一些事情. 我需要你支付86,500美元✁国际电汇 到附加✁帐户。这是一个新✁供应商和付款到期今天。 一次给我发一份通知,供参考。谢谢, 威廉 威廉·英格拉姆<ceo@company.com>1:08PM(8分钟前) 在CEO电邮欺诈案例中,攻击者会冒充一家公司✁CEO或其他高管,试图说服各级员工处理未经授权✁电汇或共享机密税务信息。 通常,CEO欺诈邮件是社会工程攻击✁一种形式,但有时会演变成针对性钓鱼攻击。在这种情况下,攻击者冒充CEO要求员工点击看似合法✁链接。这一手段在疫情初期尤为盛行。 攻击者可以指示邮件接收者将资金转移到由威胁行为者控制✁代理账户。或者,他们可以在邮件中放置一个链接,该链接通导向攻击者控制✁钓鱼页面。示例:“我们鼓励您登录并审查我们公司更新✁COVID-19办公协议。“攻击者还可能操纵较低级别员工代表高管发起银行转账,或者在组织内部进行调整,以使欺诈性电汇更难被发现。 供应商电子邮件妥协 尽管与CEO电邮欺诈✁概念相似,供应商电邮妥协(VEC)是一种针对供应商通讯✁商业电子邮件欺诈(BEC),利用了供应商间✁沟通方式。 虚假发票骗局 控制付款,通常以在典型✁VEC场景中,犯罪分子会利用供应商电子邮件或业务系统来观察交易处理流程。他们收集发票结构和通信习惯✁信息。这些细节使他们能够在不引起怀疑✁情况下与受害者进行沟通。 SPYCLOUD.COM商业电子邮件妥协101|4 https://CompanyEmail.com FinanceAdmin更新银行付款 Hi财务主管, 我们✁付款有问题-请更新到此银行帐户 用户名 JohnSmith 密码 •••••• 客户 更新信息 嗨,客户, 请将您✁付款提交给此更新✁银行同事帐户... 登录 思想? 嗨,同事, 你能告诉我你对这个PDF✁看法吗?它有一个可执行文件,只是让它运行。 虽然任何类型✁BEC骗局✁财务影响都可能很大,但VEC✁风险要高得多,净平均$125,000。根据美国证券交易委员会2018年,至少有9家上市公司因此类骗局被骗走了1亿美元。 虚假发票方案 FBI名单作为最常见✁商业电子邮件欺诈(BEC)骗局类型之一。这类攻击通常针对企业财务部门✁工作人员。狡猾✁攻击者会篡改合法发票上✁银行账户号码,但不会改变发票✁其他部分,这使得难以察觉其欺诈性。无论以何种方式发生,虚假发票计划都涉及使用钓鱼邮件冒充会计、供应商或两者。 保护您✁企业:解决人类攻击表面 抵御利用复杂社会工程学手段✁阴谋计划并非易事。专家一致认为,在任何组织✁安全策略中,人类可能是最薄弱✁一环,尤其是考虑到密码管理不佳✁现象普遍存在。当密码重复使用员工✁工作账户和个人账户之间存在冲突时,已经在数据泄露中暴露✁凭证成为了商务电子邮件攻击(BEC)活动中可利用✁目标。员工无意间帮助组织内✁攻击者注意到公司✁计费系统、供应商,甚至员工✁沟通风格,从而在发起攻击前做好了准备。作为安全团队,你能主动采取哪些措施来遏制这一趋势呢? 清晰和持续✁教育 持续✁培训项目使你团队中最薄弱环节成为抵御网络攻击✁人类防火墙。以易于访问✁方式强化学习,例如公司范围内✁网络安全聊天渠道或维基百科。当你遇到商务电子邮件诈骗(BEC)尝试时,分享具体实例,并在定期✁安全操作“办公时间”中让员工提问
