如今，黑客甚至都不用網(wǎng)絡釣魚就能入侵商業(yè)Email賬戶了。

2013年10月以來，商業(yè)Email入侵(BEC)和Email賬戶侵害(EAC)共造成了120億美元的損失。傳統(tǒng)上，社會工程和入侵技術(shù)是攻擊者染指商業(yè)Email賬戶和誘騙人們轉(zhuǎn)賬到騙子所控賬戶的常見方式。

1、社會工程和Email欺詐
攻擊者運用社會工程方法假扮成公司同事或商業(yè)合作伙伴，發(fā)送要求轉(zhuǎn)賬或獲取信息的虛假請求。因為攻擊者事先花費精力篩選出合適的受害者并注冊幾乎可以假亂真的域名，這些社工電子郵件非常具有說服力，乍看之下跟真的出自同事或供應商之手一樣。

2、接管賬戶
攻擊者用信息竊取型惡意軟件和鍵盤記錄器劫持公司Email賬戶，然后用這些被盜賬戶向同事、會計部門和供應商發(fā)送虛假請求。他們還可以修改郵箱規(guī)則，轉(zhuǎn)發(fā)受害者的郵件到自己的郵箱，或者讓已發(fā)送郵件列表中不顯示攻擊者發(fā)出的郵件。

這些技術(shù)在相當一段時間里給攻擊者帶來了莫大利益。但如今又出現(xiàn)了新的更加敏捷的入侵商業(yè)Email賬戶的方法。犯罪論壇上提供的被盜憑證，第三方暴露的憑證，以及錯誤配置的備份及文件共享服務揭示的憑證，讓通過BEC獲利變得更加容易了。電子郵件收件箱不僅僅被用于要求轉(zhuǎn)賬，也被攻擊者用于盜取賬戶中存儲的金融相關(guān)信息，或者向其他雇員索要敏感信息。隨著BEC門檻的降低，以及此類詐騙變現(xiàn)方式的增多，BEC所致?lián)p失可能會持續(xù)上升，甚至加速上升。

新的BEC方法是如何運作的：

1、購買訪問權(quán)
犯罪論壇上共享和售賣賬戶的現(xiàn)象很常見，財務部門和CEO/CFO的Email也不例外。獲取郵箱權(quán)限的工作甚至還可以外包給網(wǎng)絡黑客，他們會以收益提成或固定價格的方式從公司憑證上盈利。

2、從以往被黑的憑證中尋找機會
人們常會在多個賬戶上重復使用口令。因為很多財務部門Email賬戶的郵箱和口令組合已經(jīng)被泄，網(wǎng)絡罪犯可從中找到大量機會。

3、搜索錯誤配置的文件存檔
收件箱，尤其是財務部門和CEO/CFO的郵件收件箱，充滿財務相關(guān)信息，比如合同掃描件、采購訂單、工資及稅單。這些信息可被用于詐騙或在論壇和黑市上重復售賣。根本無需深入暗網(wǎng)，公網(wǎng)上就有很多免費的敏感數(shù)據(jù)。公司雇員和承包商有時候會貪圖方便而以不安全的方式存檔電子郵件。

無論攻擊者使用何種BEC欺詐方法，以下7種安全措施都有助于緩解這一風險。

1、更新安全意識培訓項目內(nèi)容，納入BEC場景。這應是新員工培訓的一部分，但如今還需針對該場景進行特別培訓。

2、將BEC納入應急響應計劃，就像你將勒索軟件和破壞性惡意軟件歸入事件響應/業(yè)務連續(xù)性計劃中一樣。

3、與轉(zhuǎn)賬應用供應商合作建立大額轉(zhuǎn)賬手動控制機制和多人授權(quán)方式。

4、監(jiān)視已暴露的憑證。不僅僅是財務部門Email，所有用戶賬戶都要監(jiān)視。多因子身份驗證可以增加攻擊者執(zhí)行賬戶接管操作的難度。

5、對高管數(shù)字蹤跡執(zhí)行持續(xù)評估。可以從使用谷歌Alerts跟蹤與他們相關(guān)的新Web內(nèi)容開始。

6、防止電子郵件存檔被公開。對服務器消息塊(SMB)、異地備份和文件傳輸協(xié)議(FTP)之類的服務，各自采用唯一的強口令，禁用來賓或匿名訪問，并用防火墻屏蔽掉面向互聯(lián)網(wǎng)的端口。如果服務必須放在互聯(lián)網(wǎng)上或者不能設(shè)置口令，那就設(shè)置白名單，只將明確允許訪問該資源的IP納入該白名單。

7、關(guān)注將電子郵件備份在網(wǎng)絡附加存儲(NAS)設(shè)備上的承包商帶來的風險。用戶應設(shè)置口令并禁用來賓/匿名訪問，選擇默認安全的NAS設(shè)備。理想狀態(tài)下，公司企業(yè)應提供家用NAS硬盤使用風險的培訓，并拿出備份解決方案，以便承包商和雇員不用在自己家里備份設(shè)備。

ice

收藏 海報分享