「交易款项上个月就已经汇给美国厂商了,一直没有收到货,今天打电话去问国外供应商,对方却说没有这笔交易!」位在竹科的这家科技公司,平时都是以电子邮件与国外供应商联系,多年来运作都很顺利,这次却出了大问题。总经理气急败坏,一开始以为对方没有诚信,于是调出当初往来的信件,因为有一笔订单,双方在价格上僵持不下,但有天对方突然说愿意接受较低的价格,但必须尽速汇款到某个帐户,公司以为生意成交了,不疑有他立刻汇了款,但一直没收到货,经双方多次确认,才惊觉遭诈骗。财务经理仔细比对,双方原来都用XXX@mycompany.com联系,后来降价讯息的邮件却是用相似的XXX@mycompony.com,一字之差让公司损失好几千万元。这样的手法,正是黑客精心布局,运用时间的紧迫性,所完成的企业电子邮件诈骗(Business
Email
Compromise,BEC)。公司的电子邮件早已被骇,而且黑客已潜伏了一段时间,知道双方正在洽谈合约,在看似一切都很合理的情况下,以假邮件方式诈骗得手。电子邮件是企业对客户、供应链沟通的主要管道,近两年BEC案件频传,手法也不断翻新,被骇的常是总经理、财务经理等主管,
就算事后察觉,汇出去的款项再也回不来了;更多企业因商誉考量,遇到了不敢声张,损失只能默默「吞下去」。其实企业使用电子邮件少说也有20年,为何这几年才出现不少企业电子诈骗案的「受灾户」?除因企业对电子邮件仰赖度提高,许多中小企业采用免费的电子邮件系统,管理上容易出现漏洞;就算是大型企业也可能因员工一时疏失,黑客就能得逞。而随着科技日新月异,黑客的诈骗手法也愈来愈创新。趋势科技台湾区及香港区总经理洪伟淦表示,新的科技对黑客来说也创造了新机会,包括现在很热的人工智慧(AI)、机器学习、区块链等应用,黑客一应俱全。黑客可以用AI发掘企业的漏洞,攻击速度比过去快上许多。企业常运用的深度学习(DeepLearning),黑客也有深度伪造(DeepFake),可将知名人物在网络上「换脸」,制造假新闻或恶作剧,不仅邮件可能用来诈骗,连视讯会议的对象都可能是假的。在众多威胁中,企业电子邮件因为对黑客来说成本最低,成功率高,可说是高性价比(CP)的生意,近来更是层出不穷。网擎资讯表示,黑客也有标准作业流程(SOP),包括先广发有钓鱼网站的信件,员工收到一封信箱已满提醒或订阅到期通知,信中附上连结,请员工进行续约。一旦有人「上钩」连进去网站,黑客即可通过
木马程式监看这位员工信箱的内容。这类电邮诈骗手法,还包括运用简单的邮件传输协议中缺乏寄件人身份验证机制,黑客可伪造寄件人地址或回覆的电子邮件地址,让企业以为是海外客户所发的信件,因时差因素未即时确认,钱汇出去后就再也回不来了。关注“新海外”
海外资讯一手掌握声明:本页面内容,旨在为满足广大用户的信息需求而免费提供,并非广告服务性信息。页面所载内容,仅供用户参考和借鉴。

澳门新普京下载 1

目前而言,勒索软件攻击可能是企业和机构面临的最新威胁,但其实它只能算企业和机构必须警惕的威胁之一,另一个更为突出的应该就非商业电邮诈骗(BEC)莫属了。

BEC诈骗

从字面上看,BEC还真不容易理解,到Google搜一下,首先看到的竟然是FBI的定义。引用FBI给的图,基本就能明白BEC诈骗的意思了。

澳门新普京下载 2

它是一种具有高度针对性的鱼叉式钓鱼,通过冒充决策者的邮件,来下达与资金、利益相关的指令,其目标并不只是窃取个人信息,而是直接窃取资金。

近期趋势

一般情况下,受害者是这样遭受BEC诈骗的:收到一封包含钓鱼链接的电子邮件,点击链接后,会下载运行恶意软件。恶意软件会自动收集受害者的密码和财务账号信息等。

目前发现的BEC诈骗主要有以下四种类型:

类型1:伪造邮件、电话,要求转账到另一个账户;

类型2:高管的email被盗用,像财务部门发送资金申请的邮件;

类型3:员工email被盗用,向所有联系人发送付款要求;

类型4:诈骗者冒充律师来处理机密或时间紧急的事件,或资金转移。这种形式会给受害者带来心里压力,通常发生在工作日快结束时,或财务机构快关门时。

澳门新普京下载,BEC攻击者可以针对任何人发起攻击,尤其偏好那些存在国际商业合作的企业,因为他们经常需要进行电汇付款,且往往款项数额庞大。攻击者的目标主要集中在美国、英国以及澳大利亚等国家,但是偶尔也会针对其他国家发起攻击(如比利时Crelan银行和奥地利飞机
零件制造商 FACC 等)。

符合上述条件的企业应该尽早的教育自己公司的员工,尤其是公司的财务人员,如何正确地防范此类安全威胁,避免不必要的损失。因为在超过40%的商业电邮诈骗案中,都是针对目标企业的首席财务官发送钓鱼邮件并诱导其进行资产转移。财务总监以及财务控制人员
等也在钓鱼攻击之列:

澳门新普京下载 3

BEC诈骗变化趋势显示:今年早些时候BEC诈骗数量呈飙升趋势;攻击者开始关注员工的工资单信息;安全意识培训公司KnowBe4的新任首席财务官通过确定什么是所谓的BEC钓鱼邮件,成功挫败了此类攻击。

钓鱼邮件中的请求,看起来像是公司的CEO发送的。此类钓鱼邮件首先传递给公司的财务控制人员,但是事实上该财务人员并不具备访问工资信息的权限,随后该人员将请求邮件转发给公司的首席财务官。

趋势科技的研究人员表示,员工们应该格外警惕这些看似由公司CEO,总裁或总经理发送的,要求进行紧急电汇的电子邮件。

这些电子邮件的主题通常是较为简单和模糊不清的,多数只有一个词组成,例如
“Transfer(转发)” “Request(请求)” “Urgent(紧急)” 等。

这些邮件可以由真正的公司CEO的电子邮件账号发出,而这个过程需要键盘记录程序或后门程序的帮忙,或只是将其伪造成CEO的电子邮箱账号的样子。

BEC诈骗者通常利用大量的可用工具来准备和实施攻击活动:

澳门新普京下载 4

截止目前,BEC诈骗者已经从全球17000多家组织获取超过23亿美元的资金,而且,这仅仅是目前我们所得知的而已,不排除有相关受害者没有通知当局关于诈骗的信息。因为担心攻击事件曝光后会对公司的信誉造成无法挽救的影响。

通过诈骗行为获取的高额回报可能让这种诈骗行为在短期内终止的可能性变得微乎其微。

因此,企业应该将更多的精力投注于员工安全意识培训中,相关保护措施如下:

建立入侵检测系统,标记那些长得和自己公司邮件很相似的邮件(abc_company.com
和 abc-company.com);

记录那些和真实公司域名长得类似的山寨域名;

涉及到资金交易时,多方面校验:电话,或多封邮件确认;

了解客户的习惯,包括所需资金的总数,以及每笔转账背后的原因;

仔细检查每一个关于转账的email,特别是那些不按常理出牌的;

拓展阅读:10家专注网络钓鱼培训的公司

1. PhishMe

澳门新普京下载 5

PhishMe公司的钓鱼模拟、训练和报告平台目前在全球范围内拥有超过800家企业客户,包括其中有近一半的客户是财富100强的企业,这些企业客户采用他们的工具和服务来积极的让数千名员工在模拟条件下检测和报告网络钓鱼攻击的威胁。

PhishMe公司还提供了一款网络钓鱼事件响应平台,能够针对网络钓鱼邮件更快的响应,进行自动并优先的报告发送;而他们的另一项威胁情报服务,则能够帮助安全威胁分析人员通过诊断他们所看到的网络钓鱼活动以验证外部威胁。

此外,PhishMe公司还提供了十几款免费的培训模版,以交互式的PDF文件格式或符合SCORM兼容的文件格式,可以通过一家企业客户的学习管理系统运行。

2. PhishLabs

澳门新普京下载 6

PhishLabs的客户包括了排名美国前五大金融机构的其中四家、全球排名前25的金融机构的其中七家、领先的社交媒体和求职网站、以及顶级的医疗保健企业、零售商、保险和科技公司。

PhishLabs公司的创始人兼首席执行官约翰·拉科建议说:

“让模拟场景尽可能的真实。如果您希望您企业的员工们能够及时发现并报告真实世界的网络安全攻击,那么,您的模拟测试绝对需要能够反映他们最有可能在真实世界的所看到的网络攻击。”

3. IronScales

澳门新普京下载 7

IronScales公司为企业客户提供网络钓鱼模拟和游戏化的企业员工安全意识培训。

根据从约60多家企业所收集到的数据显示,其结果是,网络钓鱼邮件的点击率将明显降低,而员工向安全管理人员转发网络钓鱼邮件的比例比之前增长了200%。

4. MediaPr

澳门新普京下载 8

Mediapro公司为企业客户提供培训和巩固方案,以及自适应的网络钓鱼模拟器。该公司的客户包括微软、T-Mobile、Expedia、思科、甲骨文、波音公司、万豪酒店、Costco和其他财富500强企业。

MediaPro Holdings, LLC公司的董事总经理史蒂夫·康拉德表示:

“并非所有的网络钓鱼活动都是一样的,而且也不应该是一样的。您企业将需要使用不同的模式,来测试发送复杂程度完全不同的网络钓鱼邮件,而那些不同的模式会产生不同的效果。而如果一而再,再而三的发送相同或类似的
网络钓鱼邮件,您邮件的最终用户所显示的网络钓鱼报告将是:邮件的点击率固然会大幅下降,但这并不会帮助您实现您最初的测试目标。”

5. KnowBe4

澳门新普京下载 9

KnowBe4拥有面向安全意识培训的解决方案和旨在加强日常用户教育的模拟网络钓鱼平台。这家总部位于佛罗里达州克利尔沃特的公司在过去三年的增长率达到了2528%,2015年销售额680万美元。公司在INC
5000上总分排名第139位。世界头号黑客大神凯文·米特尼克是KnowBe4公司的首席黑客官。

KnowBe4公司也提供了一款免费的钓鱼安全测试。该公司还提供一次性的免费电子邮件曝光检查,以帮助确定企业雇员的电子邮件地址是否被暴露于公众。

6. Wombat

澳门新普京下载 10

Wombat公司声称拥有1000多家企业客户,并提供自动化的网络钓鱼测试和培训模块服务。

该公司是在这个领域最早的供应商之一,于2008年由卡内基·梅隆大学的一个研究项目发展而来。此后,该公司继续专注于研究,并定期推出有关网络钓鱼的趋势和培训效果的研究报告。例如,
Wombat公司与安全研究中心Ponemon
Institute进行合作,以确定平均执行程序导致了37倍投资的回报。

7. Inspired eLearning

该公司为其客户提供了反网络钓鱼训练,以帮助企业客户的员工时刻将保持网络安全放在首位。该公司的客户包括富兰克林邓普顿投资公司(Franklin
Templeton
Investments)、ING、芝加哥商品交易所、塔塔集团(Tata)、RedBox、ADP、Jhnson
Controls、Bridgestone、美国农业部(the USDA)和ABB。

其PhishProof产品可作为一款完全托管的服务,而该公司的专家设计团队则提供部署评估和培训,或作为软件即服务模型,可通过在线软件的形式在几分钟内用于创建和部署评估。

8. Blackfin

Blackfin
Security公司是赛门铁克的下属子公司,该公司提供网络钓鱼模拟和培训服务。网络安全意识培训可以被集成整合到在线的网络钓鱼模拟评估即时培训,或者企业用户也可以根据他们的日程来安排适合他们的后续培训。

此外,该公司还提供了针对社会工程、恶意软件、物理安全、和使用公共WiFi网络的培训模块,以及其他一般的安全议题。

9. PhishLine

澳门新普京下载 11

PhishLine公司不仅支持反钓鱼测试,还将目标瞄准了更广泛的社会工程攻击,包括短信、电话、甚至是“不小心丢失”的U盘。

今年早些时候,PhishLine公司为基于第三方的计算机市场推出了培训材料,包括数以百计的钓鱼模板,自定义的登陆页面,风险评估调查和多语种的安全培训内容。

除了训练和模拟服务,该公司还提供测量工具,使得企业用户可以跟踪他们的计划是否成功。例如,其中的一款测量工具可用于游戏化,是基于风险的评
分工具。企业用户可以在这里设置训练成绩,进而可以对员工个人,部门或其他团体的评分进行比较,或对企业内部或外部的评分基准进行定制。

10. InfoSec Institute

澳门新普京下载 12

这家公司最出名的是他们的企业安全培训、新兵训练营和认证计划。

他们还提供了交互式的安全意识在线培训模块。他们的SecurityIQ产品结合了基于计算机的安全意识培训和一款基于云的网络钓鱼模拟器服务。企业用户可以设置自动的项目,随着时间的推移为其雇员发送网络钓鱼测试,或提醒雇员报名参加他们的网络安全意识培训。

【编辑推荐】

发表评论

电子邮件地址不会被公开。 必填项已用*标注