商业电子邮件泄露 (BEC)发生在网络犯罪分子通过电子邮件帐户泄露敏感数据以获取经济利益来欺骗组织时。FBI 研究表明, BEC 是目前成本最高的数字犯罪,远远超过勒索软件,在 2021 年造成 4920 万美元的受害者损失。BEC 也称为电子邮件帐户泄露 (EAC) 或“电子邮件中的人”诈骗。
商业电子邮件妥协如何运作?
网络犯罪分子可以使用多种技术进行 BEC 诈骗,包括直接入侵电子邮件帐户和社会工程技术。
BEC的两种常用方法包括:
键盘记录
网络犯罪分子使用键盘记录器来获得对合法电子邮件帐户的未经授权的访问。这种类型的间谍软件可以通过记录击键、读取剪贴板数据或从用户设备截取屏幕截图来监控和记录用户的密码。
例如:
1.网络犯罪分子向毫无戒心的员工发送包含键盘记录器间谍软件 的网络钓鱼电子邮件。
2.员工将网络钓鱼诈骗误认为是合法下载,并在不知不觉中将键盘记录恶意软件安装到他们的设备上。
3.网络犯罪分子使用键盘记录器记录用户的电子邮件密码。
4.网络犯罪分子现在可以访问员工的电子邮件帐户,并直接通过受感染的帐户进行网络攻击。
鱼叉式网络钓鱼
网络犯罪分子使用欺骗性电子邮件从员工或组织获取机密信息。网络犯罪分子经常利用鱼叉式网络钓鱼攻击来破坏个人身份信息 (PII)和受保护的健康信息 (PHI)。
例如:
1.网络犯罪分子通过域欺骗冒充企业电子邮件帐户,例如 john.smith@piedpiper.com(Pied Piper 的合法员工 John Smith 的电子邮件地址)→ john.smith@peidpiper.com(网络犯罪分子的欺骗电子邮件地址).
2.网络犯罪分子使用伪造的电子邮件地址或被黑帐户向同一组织的另一名员工发送电子邮件,要求提供机密信息。
3.该员工将拼写错误的电子邮件地址误认为是 John Smith 的电子邮件地址,并在不知情的情况下将敏感的公司数据泄露给网络犯罪分子以响应电子邮件。
4.网络犯罪分子使用这些泄露的数据进行网络攻击。
网络犯罪分子试图使用这些技术获取的确切信息取决于他们进行的 BEC 诈骗的类型。
商业电子邮件泄露的类型
BEC 诈骗有 5 种主要类型,如下所示。
1. 伪造发票计划:网络犯罪分子冒充组织的供应商或供应商,通常通过欺骗性电子邮件帐户。诈骗者向组织发送欺诈性发票,要求向不熟悉的银行账户付款。
2. CEO 欺诈:通常称为“行政欺诈”,这种骗局发生在网络犯罪分子侵入 CEO 或高管级别员工的电子邮件帐户时。黑客冒充员工,然后要求财务部门向一个不熟悉的银行账户付款。
3. 账户泄露:网络犯罪分子侵入员工的电子邮件账户,并从其地址簿向供应商发送欺诈性发票,要求向不熟悉的银行账户付款。
4. 冒充律师:网络犯罪分子冒充律师或其他法律专业人士,并以紧急事件为幌子联系员工。网络犯罪分子通知员工迅速而谨慎地采取行动,迫使受害者将资金转移到一个不熟悉的银行账户以立即解决问题。?
5. 数据盗窃:网络犯罪分子侵入相关部门(例如 HR)的员工电子邮件帐户,以获取其他员工的个人身份信息 (PII),从而为更具破坏性的攻击提供情报。
BEC 诈骗者主要依靠人为错误漏洞来实现其恶意目标。组织应将员工教育与额外的安全措施结合起来,以有效防御 BEC。
如何防御商业电子邮件入侵攻击
以下防御策略有助于减少组织中 BEC 攻击的发生。
教育员工
安全意识培训计划对于确保员工能够在数据泄露发生之前识别 BEC 尝试至关重要。组织必须培训员工仔细检查所有请求敏感数据的电子邮件,无论是内部的还是外部的。如有疑问,员工应始终在回复可疑电子邮件之前寻求建议。以下是员工在收到敏感数据的电子邮件请求时应考虑的潜在 BEC 尝试的常见迹象。
1.来自同事(包括 CEO 和高级管理人员)的异常电子邮件请求。当诈骗者使用鱼叉式网络钓鱼策略时,他们通常会提出无意义的请求,例如,CEO 要求提供员工的个人工资单详细信息。
2.语言使用不当。例如,使用蹩脚的英语、拼写和语法问题、语言中的语调不一致,例如在随意语言和正式语言之间转换。
3.字体类型、字体大小或电子邮件格式不一致。例如,电子邮件正文使用两种不同的字体大小。
4.发件人的电子邮件地址中的错别字或不同的格式。例如,john.smith @piedpiper.com → john.smith@peidpiper.com,john.smith@piedpiper.com → johnsmith@piedpiper.com。
5.不遵循通常协议的请求。组织遵循特定的付款流程,无论其紧迫性如何。不遵循这些流程的要求立即电汇的电子邮件可能会引起关注。
6.要求保持通信私密。诈骗者经常要求收件人保持两方之间的电子邮件交互,以尽量减少外部审查和怀疑。
实施多因素身份验证 (MFA)
多重身份验证 (MFA)为员工的设备和帐户增加了一层额外的数据保护。MFA 确保用户在访问他们的电子邮件帐户和其他存储敏感信息的应用程序之前充分识别自己。
这种身份验证方法通常将密码/pin 与其他验证要求(例如生物识别)结合使用。如果网络犯罪分子破坏了第一行身份验证,他们就不太可能绕过其他身份验证方法。
防止电子邮件域名抢注
Typosquatting是一种黑客技术,它利用用户拼错组织的域名。如果诈骗者成功劫持了拼写错误的 URL,他们可以使用电子邮件中的域名仿冒域名冒充受害者组织的发件人。
组织可以通过注册与他们自己的域名相似或可能被误认为是他们自己的域名来帮助防止 BEC 诈骗者进入此入口点。例如,piedpiper.com 可以注册 peidpiper.com、p1edpiper.com、pied-piper.com 等。
实施电子邮件验证
电子邮件验证方法可以帮助过滤、阻止和报告可疑电子邮件,甚至在 BEC 到达员工的收件箱之前就阻止它。常见的电子邮件验证方法包括:
1.发件人策略框架 (SPF) 过滤:确保传入的电子邮件来自他们声称的域。
2.DomainKeys Identified Mail (DKIM):添加加密签名以验证所有外发电子邮件并验证传入电子邮件。
3.基于域的消息身份验证、报告和一致性 (DMARC):利用 SPF 过滤和 DMARC,并围绕对未经身份验证的电子邮件采取的操作提供报告和指导,例如,发送到垃圾邮件文件夹,完全拒绝。
制定有效的安全控制
强大的网络安全控制使网络犯罪分子更难破坏组织的系统。组织必须满足其监管要求,例如PCI DSS、HIPAA和FISMA。遵守公认的安全框架,包括NIST 网络安全框架、NIST 800-53和ISO 27000 系列,还有助于组织确保其网络安全符合国际标准。
限制个人信息的公开展示
网络犯罪分子可以利用开源情报策略在未来的攻击中发现社会工程计划的重要信息。例如,他们可以在 LinkedIn 等社交媒体网站上轻松找到员工姓名、职位和联系方式。员工应注意他们的社交媒体隐私设置,并避免在线共享过多的公开身份信息 (PII)。
如何从 BEC 骗局中恢复
如果您的组织已成为 BEC 的受害者,那么时间至关重要。联邦调查局概述了以下步骤:
步骤 1. 立即联系您的金融机构,并要求他们联系骗子提供的金融机构。
第 2 步。在您当地的 FBI 外地办事处报告犯罪。
步骤 3. 向FBI 的互联网犯罪投诉中心 (IC3) 提出投诉。
美国以外的国家/地区应按照上述步骤 1. 进行操作,然后联系其地方当局了解后续步骤的详细信息。
