互联网已成为公司与客户之间互动的驱动力,而电子邮件仍然是最常用的正式商务交流工具。 不幸的是,这也是交换信息和敏感数据最脆弱的方式。 电子邮件很容易受到网络钓鱼和垃圾邮件的攻击,其中商业电子邮件破坏(BEC)会造成严重的经济损失和声誉损害。
我们正处于数字和技术的转型期,它颠覆了经济,改变了社会结构。 人工智能的最新发展和大流行后的挑战促使企业加强其在线影响力,并在未知领域寻求新机遇。 与此同时,网络犯罪分子也在策划新的阴谋,以实施破坏性的诈骗和延缓进展。
本文探讨了 BEC 欺诈问题,并提供了保护企业免受网络攻击的建议。 让我们直接进入正题!
目录
- 什么是商业电子邮件泄密?
- BEC 攻击如何运作?
- 商业电子邮件失密示例
- BEC 攻击类型的电子邮件最常针对哪些人?
- 商业电子邮件加密诈骗有哪些类型?
- BEC 攻击与典型的网络钓鱼电子邮件有何不同?
- 为什么必须防止商业电子邮件泄密?
- 如何防止商业电子邮件泄密?
- 中了 BEC 骗局怎么办?
- 商业电子邮件破坏统计
什么是商业电子邮件泄密?
商业电子邮件破坏是一种网络攻击,欺诈者假冒公司高管或员工,诱骗组织内的个人采取有利于攻击者的行动。 BEC 攻击通常涉及电子邮件通信,可导致企业遭受重大经济损失。
BEC 攻击如何运作?
攻击者首先通过社交工程、公共网站或数据窃取等各种手段收集目标组织的信息,如员工姓名、职位和电子邮件地址。
接下来,攻击者会欺骗或冒充组织内的合法电子邮件账户,如高级主管或首席执行官。 他们通常会创建一个与真实电子邮件地址相似的电子邮件地址,使用收件人可能会忽略的细微变化或拼写错误。
此外,攻击者还利用社交工程技术操纵受害者采取预期行动。 他们可能会利用收件人的信任、权威或紧迫感来增加成功的机会。 例如,攻击者可以自称是首席执行官,要求向特定的欺诈性银行账户紧急电汇,以进行时间敏感的商业交易。
欺诈者最古老但最有效的伎俩之一,就是在目标心中植入欺骗和紧迫感。 他们可能会使用 “机密”、”紧急 “或 “绝密 “等字眼来增加可信度,以迫使收件人绕过标准安全程序。
可以接触财务信息或有权发起交易的员工尤其容易受到商业电子邮件泄露诈骗的侵害。 这些人可以是财务或会计部门的人员,也可以是负责管理供应商关系的员工。 目的是说服他们转移资金、披露敏感信息或更改付款指示。
商业电子邮件失密示例
商业电子邮件破坏攻击是无情的。 无论您是本地企业还是大型跨国公司,除非采取所有预防措施并提高网络安全意识,否则谁也无法避免下一次大规模攻击。 然而,相互信任是人类的天性,下面的例子就很好地说明了这一点:
Facebook 和谷歌惨败
在堪称史上最响亮的社交工程攻击中,Evaldas Rimasauskas 及其同伙说服谷歌和 Facebook 员工向一个虚假账户支付制造商真正提供的商品和服务发票,骗取了这两家大型科技公司 1 亿多美元。
如果 BEC 诈骗可以在这个层面上发生,那么可以想象,在员工缺乏网络安全意识和警惕性的情况下,企业的其他部分有多容易受到影响。 BEC 攻击造成的成本和损失在一个日历年里高达数十亿美元。
丰田加入 BEC 受害者俱乐部
2019 年,汽车行业的知名企业丰田公司遭受了价值 3700 万美元的商业电子邮件破坏攻击。 这一事件凸显了即使是大公司在面对网络威胁时的脆弱性。
尽管涉案金额巨大,但犯罪分子还是成功骗过了丰田欧洲子公司的一名员工,在未被发现的情况下成功转移了资金。 批评者认为,鉴于丰田公司的规模和影响力,它本应提高警惕,及时发现这种普遍骗局的迹象。
波多黎各政府向骗子转账数百万美元
2020 年初波多黎各发生 6.4 级强烈地震后,波多黎各政府中了一个狡猾的 BEC 骗局,后果不堪设想。
这次不幸事件的主角是波多黎各工业发展公司的财务总监鲁文-里维拉。 他无意中将260 多万美元 转入了一个欺诈性银行账户。
里维拉的收件箱中收到了一封电子邮件,据称是通知他与汇款支付相关的银行账户发生了变化,从而揭穿了这一阴谋。 这封邮件之所以特别阴险,是因为它的来源–波多黎各就业退休系统一名员工的电子邮件账户被泄露。 里维拉并不知道,这条看似无害的信息只不过是骗子们精心设计的一个骗局。
三名员工被停职,等待进一步调查他们可能参与的事件。 幸亏联邦调查局及时冻结了这些不义之财,包括公共养老基金。
BEC 攻击类型的电子邮件最常针对哪些人?
BEC 攻击通常针对参与金融交易的个人或组织。 主要目标通常是会计、财务人员或工资人员。
BEC 攻击者经常假冒首席执行官、首席财务官或高级管理人员,利用他们的权威和影响力。 他们之所以盯上这些人,是因为他们通常能接触到公司资金,并能授权进行重大交易。
参与采购或采购活动的员工,如采购官员或采购员,也很容易成为经常的受害者,因为骗子往往假装供应商要求转账。 人力资源人员也很容易受到 BEC 诈骗的侵害,因为他们存储着敏感的员工信息,包括社会保险号、银行账户详情或个人数据。
最后,”商业电子邮件破坏 “骗局可能会以 IT 管理员为目标,在未经授权的情况下访问电子邮件账户或破坏内部系统。 通过入侵这些账户,他们可以监控通信、拦截敏感信息或从可信来源发送欺诈性电子邮件。
BEC 攻击具有很强的适应性,攻击者不断改进其战术。 组织内任何能够接触到财务资源或宝贵数据的人都可能成为目标。 因此,无论组织的规模和定位如何,商业电子邮件中病毒防护都应成为每个组织的重中之重。
商业电子邮件加密诈骗有哪些类型?
BEC 骗局包括攻击者用来欺骗个人和组织的各种策略。 以下是一些常见的 BEC 诈骗类型:
- 首席执行官欺诈:在这种骗局中,攻击者假冒高级管理人员,通常是首席执行官或其他有权力的管理人员,向员工发送电子邮件,指示他们紧急付款或向指定账户转账。 这些电子邮件看似合法,通常包括高管的姓名、签名和通过社交工程获取的个人信息。
- 虚假发票计划:欺诈者以与供应商或销售商进行定期交易的企业为目标。 他们拦截合法发票并修改银行账户信息,将付款转入他们的欺诈银行账户。 篡改后的发票往往看起来与原始发票一模一样,因此很难被发现。
- 冒充律师:在这里,骗子冒充律师或法律代表。 他们为涉及商业交易、诉讼、兼并和收购的个人发送电子邮件。 这些邮件通常声称有机密事项需要紧急处理,例如向一个指定账户转账,用于结算或支付法律费用。
- 员工假冒:攻击者伪装成企业员工,发送电子邮件索取敏感信息,如员工记录、W-2 表或财务数据。 他们可能会冒充人力资源人员、工资发放人员或同事。
- 账户泄露:在这种情况下,攻击者会在未经授权的情况下访问员工的电子邮件账户。 他们通过监控来收集信息,识别正在进行的金融交易,然后发送欺诈性电子邮件来转移资金或更改支付指令。
BEC 攻击与典型的网络钓鱼电子邮件有何不同?
商业电子邮件失密与网络钓鱼有许多相似之处。 网络钓鱼电子邮件和 BEC 攻击都涉及欺骗性电子邮件。 典型的网络钓鱼攻击旨在诱骗个人泄露个人信息,而 BEC 攻击则以企业为目标,试图欺骗员工采取有利于网络犯罪分子的行动。
BEC 攻击更加复杂。 在 BEC 攻击中,网络犯罪分子试图冒充组织内的某个人,如首席执行官、经理或可信赖的供应商,欺骗员工向欺诈账户进行电汇,共享公司敏感信息,甚至更改账户详细信息。
为什么必须防止商业电子邮件泄密?
BEC 攻击会给组织带来巨大的经济损失。 攻击者往往假冒高级管理人员或可信赖的业务合作伙伴,诱骗员工进行电汇或披露敏感的财务信息。
此外,BEC 诈骗还会损害公司的声誉。 如果客户、合作伙伴或利益相关者得知企业缺乏适当的安全措施和意识,就会削弱他们对企业保护敏感信息能力的信任和信心。 声誉的丧失会导致客户忠诚度下降、商业机会减少,以及难以吸引新客户。
BEC 攻击还可能暴露敏感数据和个人信息,导致严重的法律和监管后果。 个人身份信息 (PII) 外泄可能导致法律诉讼、经济处罚,并对受外泄影响的个人造成损害。 预防商业电子邮件失密可帮助企业最大限度地降低数据失窃的风险,并恪守保护客户隐私的承诺。
如何防止商业电子邮件泄密?
如您所见,BEC 攻击正日益频繁地席卷全球,因此必须从一开始就发现它们。 以下是五种有效的企业电子邮件泄密解决方案,可防止未来的攻击。
1.了解敌人及其阴谋
如果犯罪分子实施了大规模诈骗,他们看起来就像天才,但粗心大意的员工却应该承担所有的责任。 大多数 BEC 都依赖于相同的基本策略和操纵手段,因此在学习了常见的 BEC 策略后,检测它们应成为第二天性。
最大的红旗就是虚假的紧迫感。 攻击者通常冒充高管、主管或总会计师,通过向受害者发送欺骗性电子邮件,敦促他们汇款以完成业务交易,从而要求支付发票款项。 这里有一个典型的例子:
嗨,本、
我正在和[Company Name] 见面。 我们的上一张发票似乎是打到了他们的旧账户上。 如果您没有他们新账户的详细信息,我在下面提供了这些信息。 请现在就付款,这样我就可以告诉他们已经完成了。
账号:94567868900
分类代码45-20-30 谢谢!
Andrew, CAO of[Your Company Name].
似乎很有说服力,对吗? 但让他们露出马脚的是错误的域名。在回复和汇款之前,您一定要核对发件人的地址。 乍一看,这条信息来自一个可信的域名,但它被稍加改动,让你措手不及。 因此,假地址可以拼成 @micr0soft.com 或 @microsott.com,而不是 @microsoft.com。
另一种常见的 BEC 策略是冒充供应商。 这涉及骗子欺骗公司的一家供应商。 这种攻击比较棘手,因为发件人的详细信息是正确的,交易看起来也是合法的。 坏消息是,骗子已经侵入了供应商的电子邮件账户。 好消息是,您可以通过仔细核对供应商的账号来防止欺诈,因为它与通常的账号不同。 如果感觉不对劲,请打电话联系公司,要求他们确认交易。
2.教育员工识别 Bec 攻击
如果没有适当的网络安全意识和 BEC 诈骗培训,您迟早会成为受害者。 员工必须熟练掌握网络钓鱼电子邮件,并充分认识到这些攻击的巨大风险和影响。 定期进行网络钓鱼演习,提醒员工核实电子邮件的真实性,尤其是那些可疑的电子邮件。 以下是他们应该注意的事项:
- 信息的语气。 如果情况紧急,他们应退后一步,仔细检查电子邮件地址和内容。
- 发件人信息与电子邮件地址不符。
- 拼写错误、错别字和语法错误。
- 未经请求的链接和附件。
3.使用强密码并启用双因素身份验证
密码政策确保所有用户使用强密码(即至少 12 个字符,包括大小写字母、数字和特殊字符)。 双因素身份验证(2FA)是一个额外的安全层,可防止在密码泄露的情况下未经授权访问电子邮件账户。
4.掌握技术。 通过反欺诈措施保护您的电子邮件
防范电子邮件攻击的最有效方法之一是安装安全电子邮件网关(SEG)。 这种设备或软件可以监控电子邮件活动,阻止垃圾邮件、恶意软件和病毒进入收件箱。 SEG 还可以检测和阻止网络钓鱼域名,您还可以添加 BEC 中使用的常见关键字,并将其标记为可疑域名。
另一项安全措施是使用SPF、DKIM 和DMARC 等电子邮件验证方法。
- 通过发件人策略框架 (SPF),您可以添加 DNS 记录,授权可以代表您的域名发送电子邮件的 IP 地址。
- DKIM 是DomainKeys Identified Mail的缩写,与 SPF 一起用于检测伪造电子邮件。 DKIM 会对您的外发电子邮件进行签名,以便收件人验证其合法性。
- DMARC(基于域的消息验证、报告和一致性)。 DMARC 使用 SPF 和 DKIM 验证协议来验证从组织域发送的电子邮件。
5.使用 S/MMIME 证书加密电子邮件和文件
电子邮件证书遵循 S/MIME(安全/多用途互联网邮件扩展)标准,提供身份验证和完整性。
S/MIME 可对所有发出的电子邮件进行端到端加密,并通过确认发件人身份和确保邮件内容未被篡改来阻止电子邮件欺骗企图。
有了 S/MIME,传输就不再是纯文本,也不再容易受到中间人攻击。 最重要的是,S/MIME 证书与现代电子邮件客户端兼容,并符合 FDA ESG 标准。 您可以从 SSL Dragon 获取 S/MIME 证书。 我们为各种规模的个人和公司提供选择。
中了 BEC 骗局怎么办?
哦,不,你可能回复了一封 BEC 电子邮件。 先别慌! 您应该这样做
- 如果贵公司制定了 BEC 安全协议,请按照培训指南执行。
- 立即通知 IT 部门。
- 致电银行,要求他们暂停所有交易
- 查看账户对账单,查找可疑活动。
- 向有关当局报告事件。 在美国,请联系当地的联邦调查局外地办事处报案。
商业电子邮件破坏统计
下面是一些让你不寒而栗的统计数据:
- 2022 年,联邦调查局共记录了 21,832起与 BEC 有关的投诉,估计造成的损失超过 27 亿美元。
- 与前一时期相比,全球暴露于 BEC 欺诈的损失大幅增加了 65%。
- 只有2.1% 的已知攻击是由员工向安全团队报告的
- 2020 年,65% 的组织面临 BEC 攻击
- 在社会工程入侵事件中,27%是借口攻击造成的,其中大部分是 BEC 攻击造成的
- 每五名员工中就有一人上当受骗并回复可疑邮件。
- 最常见的 BEC 诈骗是发票或付款欺诈。
- 在 2021 年,电汇 BEC 攻击请求的平均金额为 72,000 美元,而最大损失达到了 999,600 美元。
最终想法
只要互联网还存在,商业电子邮件破解骗局就会一直存在。 他们如此成功的主要原因是,人性容易被操纵,容易采取隐蔽的策略。 BEC 更注重心理而非技术。 他们遵循的是一个行之有效的蓝图,在很大程度上依赖于粗心大意、服从权威和缺乏网络安全意识。
我们向您展示了如何在为时已晚之前识别和预防 BEC 诈骗。 现在轮到你采取行动了,无论何时打开新邮件,你都要执行这些措施,以确保电子邮件的一般安全。