由于 BEC 攻擊依賴(lài)于社會(huì )工程，傳統的安全軟件并不總能抵御它們。商業(yè)電子郵件泄露 (BEC) 是所有企業(yè)，尤其是中小型 (SMB) 企業(yè)都面臨的快速增長(cháng)的網(wǎng)絡(luò )安全威脅。FBI 的互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 在其2020 年互聯(lián)網(wǎng)犯罪報告中報告稱(chēng)，他們在當年在美國收到了 19,369 起商業(yè)電子郵件泄露 (BEC) 投訴，調整后損失超過(guò) 18 億美元。

BEC 攻擊主要使用電子郵件，但可以使用 SMS 消息、語(yǔ)音郵件消息甚至電話(huà)進(jìn)行。BEC 攻擊之所以引人注目，是因為它們嚴重依賴(lài)所謂的“社會(huì )工程”技術(shù)，這意味著(zhù)它們對人們使用詭計和欺騙手段。

BEC 攻擊可能非常有效，任何人都可能成為它們的受害者，無(wú)論多么豐富或復雜。2020 年 2 月，電視創(chuàng )業(yè)真人秀節目“鯊魚(yú)坦克”的美國女商人、投資者和評委芭芭拉·科科倫（ Barbara Corcoran ）在 BEC 騙局中幾乎損失了近 40 萬(wàn)美元。幸運的是，快速行動(dòng)使她能夠追回這筆錢(qián)。但 FBI 的統計數據顯示，并不是每個(gè)人都這么幸運。

因為 BEC 攻擊嚴重依賴(lài)社會(huì )工程，傳統的安全軟件并不總能抵御它們。這意味著(zhù)您和您的員工在防范它們方面發(fā)揮著(zhù)重要作用——以及為什么了解 BEC 攻擊是什么以及它們是如何工作的很重要。

BEC 攻擊的工作原理

雖然 BEC 攻擊可以通過(guò)多種方式展開(kāi)，但它們都可以歸結為一個(gè)簡(jiǎn)單的公式。攻擊者將試圖通過(guò)冒充員工信任的人來(lái)說(shuō)服員工向攻擊者匯款。

攻擊者通常會(huì )嘗試以?xún)煞N方式疊加賠率。首先，他們試圖讓他們選擇冒充的人相信他們的攻擊。其次，他們試圖營(yíng)造一種緊迫感，以便目標受害者不太可能質(zhì)疑交易，也不太可能遵循可能被騙的適當付款渠道。

有時(shí)，攻擊者會(huì )巧妙地將這兩種策略結合起來(lái)以達到最大效果。

例如，我們見(jiàn)過(guò)的一種 BEC 攻擊涉及員工從 CEO 或其他高級管理人員那里收到一條緊急信息，說(shuō)他們需要該員工支付過(guò)期發(fā)票或為緊急公司活動(dòng)獲取禮品卡。離開(kāi)。這些可以是電子郵件或短信，但攻擊者甚至使用深度偽造技術(shù)來(lái)模仿語(yǔ)音郵件消息和電話(huà)。2019 年，一名高管在此類(lèi)攻擊中損失了 220,000 歐元（約合 243,000 美元），因為攻擊者使用深度偽造技術(shù)冒充其 CEO。

在另一種類(lèi)型的 BEC 攻擊中，攻擊者使用虛假和被盜用的電子郵件帳戶(hù)來(lái)說(shuō)服員工他們正在與合法供應商打交道。攻擊者可能會(huì )與目標受害者交換幾封電子郵件，以說(shuō)服她或他他們是真正的供應商，然后向他們發(fā)送假發(fā)票。這就是對芭芭拉·科科倫的攻擊是如何進(jìn)行的。

第三種 BEC 攻擊針對公司工資單。在這些情況下，攻擊者冒充員工，并試圖讓公司工資人員將員工的直接存款信息更改為他們自己的銀行賬戶(hù)。這些攻擊更微妙，需要更多時(shí)間，但可能非常有效。

在幾乎所有情況下，BEC 攻擊者的目標都是通過(guò)以下兩種方式之一獲取資金：電子資金轉賬（包括加密貨幣）或禮品卡。雖然使用禮品卡進(jìn)行此類(lèi)攻擊可能令人驚訝，但攻擊者發(fā)現這是一種轉移和洗錢(qián)的簡(jiǎn)單方法。

如何保持免受 BEC 攻擊

BEC 攻擊確實(shí)是使用當前技術(shù)的老式欺詐攻擊：我們在電子郵件或語(yǔ)音郵件出現之前很久就看到了這種類(lèi)型的騙局。因為這些不是基于技術(shù)的攻擊，這意味著(zhù)基于技術(shù)的解決方案不會(huì )像對抗勒索軟件那樣有效地對抗這些攻擊。例如，一封制作精良的 BEC 電子郵件很難讓安全軟件與合法電子郵件區分開(kāi)來(lái)，尤其是當它來(lái)自您信任的人的真實(shí)（但已被泄露）帳戶(hù)時(shí)。

這意味著(zhù)防范 BEC 攻擊需要關(guān)注兩件事：您和您的員工。

首先，讓您和您的員工了解 BEC 攻擊。當 CEO 突然發(fā)來(lái)一封意想不到的電子郵件時(shí)，你和你的員工應該學(xué)會(huì )保持懷疑：“我需要你為今天的生日派對買(mǎi) 5,000 美元的禮品卡，把數字發(fā)給我，不要告訴任何人”。防止這些攻擊還有很長(cháng)的路要走。

其次，加強驗證支付請求的重要性，以及遵守既定規則支付賬單、更改直接存款信息以及購買(mǎi)和發(fā)送禮品卡的重要性。例如，讓員工知道他們應該打電話(huà)給員工或供應商要求付款。確保他們知道使用您存檔的號碼，并在執行其他任何操作之前驗證發(fā)票或請求是否合法。

強調即使請求似乎來(lái)自貴公司的高層，員工仍然需要驗證。攻擊者試圖說(shuō)服目標受害者對這些攻擊保密，以增加他們成功的機會(huì )，并利用員工不愿質(zhì)疑當權者。明確表示員工可以而且應該在這種情況下提出問(wèn)題。

最終，BEC 攻擊之所以成功，是因為攻擊者欺騙了受害者，讓他們相信他們的欺騙行為。雖然 BEC 攻擊使用技術(shù)，但它們實(shí)際上只是對古老的欺詐和詐騙的現代轉折。因此，挫敗它們需要適應這些舊欺詐行為的新方式。

好消息是，通過(guò)適當的培訓、教育并遵循適當的政策和程序，您可以挫敗這些攻擊。您只需要花時(shí)間讓自己和您的員工了解這些騙局的存在、它們的運作方式以及處理付款請求的正確方法——無(wú)論它們是如何交付的。