BEC詐騙橫行,企業(yè)員工如何防釣魚?
目前而言,勒索軟件攻擊可能是企業(yè)和機(jī)構(gòu)面臨的最新威脅,但其實(shí)它只能算企業(yè)和機(jī)構(gòu)必須警惕的威脅之一,另一個(gè)更為突出的應(yīng)該就非商業(yè)電郵詐騙(BEC)莫屬了。
BEC詐騙
從字面上看,BEC還真不容易理解,到Google搜一下,首先看到的竟然是FBI的定義。引用FBI給的圖,基本就能明白BEC詐騙的意思了。
它是一種具有高度針對(duì)性的魚叉式釣魚,通過(guò)冒充決策者的郵件,來(lái)下達(dá)與資金、利益相關(guān)的指令,其目標(biāo)并不只是竊取個(gè)人信息,而是直接竊取資金。
近期趨勢(shì)
一般情況下,受害者是這樣遭受BEC詐騙的:收到一封包含釣魚鏈接的電子郵件,點(diǎn)擊鏈接后,會(huì)下載運(yùn)行惡意軟件。惡意軟件會(huì)自動(dòng)收集受害者的密碼和財(cái)務(wù)賬號(hào)信息等。
目前發(fā)現(xiàn)的BEC詐騙主要有以下四種類型:
類型1:偽造郵件、電話,要求轉(zhuǎn)賬到另一個(gè)賬戶;
類型2:高管的email被盜用,像財(cái)務(wù)部門發(fā)送資金申請(qǐng)的郵件;
類型3:?jiǎn)T工email被盜用,向所有聯(lián)系人發(fā)送付款要求;
類型4:詐騙者冒充律師來(lái)處理機(jī)密或時(shí)間緊急的事件,或資金轉(zhuǎn)移。這種形式會(huì)給受害者帶來(lái)心里壓力,通常發(fā)生在工作日快結(jié)束時(shí),或財(cái)務(wù)機(jī)構(gòu)快關(guān)門時(shí)。
BEC攻擊者可以針對(duì)任何人發(fā)起攻擊,尤其偏好那些存在國(guó)際商業(yè)合作的企業(yè),因?yàn)樗麄兘?jīng)常需要進(jìn)行電匯付款,且往往款項(xiàng)數(shù)額龐大。攻擊者的目標(biāo)主要集中在美國(guó)、英國(guó)以及澳大利亞等國(guó)家,但是偶爾也會(huì)針對(duì)其他國(guó)家發(fā)起攻擊(如比利時(shí)Crelan銀行和奧地利飛機(jī) 零件制造商 FACC 等)。
符合上述條件的企業(yè)應(yīng)該盡早的教育自己公司的員工,尤其是公司的財(cái)務(wù)人員,如何正確地防范此類安全威脅,避免不必要的損失。因?yàn)樵诔^(guò)40%的商業(yè)電郵詐騙案中,都是針對(duì)目標(biāo)企業(yè)的首席財(cái)務(wù)官發(fā)送釣魚郵件并誘導(dǎo)其進(jìn)行資產(chǎn)轉(zhuǎn)移。財(cái)務(wù)總監(jiān)以及財(cái)務(wù)控制人員 等也在釣魚攻擊之列:
BEC詐騙變化趨勢(shì)顯示:今年早些時(shí)候BEC詐騙數(shù)量呈飆升趨勢(shì);攻擊者開始關(guān)注員工的工資單信息;安全意識(shí)培訓(xùn)公司KnowBe4的新任首席財(cái)務(wù)官通過(guò)確定什么是所謂的BEC釣魚郵件,成功挫敗了此類攻擊。
釣魚郵件中的請(qǐng)求,看起來(lái)像是公司的CEO發(fā)送的。此類釣魚郵件首先傳遞給公司的財(cái)務(wù)控制人員,但是事實(shí)上該財(cái)務(wù)人員并不具備訪問(wèn)工資信息的權(quán)限,隨后該人員將請(qǐng)求郵件轉(zhuǎn)發(fā)給公司的首席財(cái)務(wù)官。
趨勢(shì)科技的研究人員表示,員工們應(yīng)該格外警惕這些看似由公司CEO,總裁或總經(jīng)理發(fā)送的,要求進(jìn)行緊急電匯的電子郵件。
這些電子郵件的主題通常是較為簡(jiǎn)單和模糊不清的,多數(shù)只有一個(gè)詞組成,例如 “Transfer(轉(zhuǎn)發(fā))” “Request(請(qǐng)求)” “Urgent(緊急)” 等。
這些郵件可以由真正的公司CEO的電子郵件賬號(hào)發(fā)出,而這個(gè)過(guò)程需要鍵盤記錄程序或后門程序的幫忙,或只是將其偽造成CEO的電子郵箱賬號(hào)的樣子。
BEC詐騙者通常利用大量的可用工具來(lái)準(zhǔn)備和實(shí)施攻擊活動(dòng):
截止目前,BEC詐騙者已經(jīng)從全球17000多家組織獲取超過(guò)23億美元的資金,而且,這僅僅是目前我們所得知的而已,不排除有相關(guān)受害者沒(méi)有通知當(dāng)局關(guān)于詐騙的信息。因?yàn)閾?dān)心攻擊事件曝光后會(huì)對(duì)公司的信譽(yù)造成無(wú)法挽救的影響。
通過(guò)詐騙行為獲取的高額回報(bào)可能讓這種詐騙行為在短期內(nèi)終止的可能性變得微乎其微。
因此,企業(yè)應(yīng)該將更多的精力投注于員工安全意識(shí)培訓(xùn)中,相關(guān)保護(hù)措施如下:
建立入侵檢測(cè)系統(tǒng),標(biāo)記那些長(zhǎng)得和自己公司郵件很相似的郵件(abc_company.com 和 abc-company.com);
記錄那些和真實(shí)公司域名長(zhǎng)得類似的山寨域名;
涉及到資金交易時(shí),多方面校驗(yàn):電話,或多封郵件確認(rèn);
了解客戶的習(xí)慣,包括所需資金的總數(shù),以及每筆轉(zhuǎn)賬背后的原因;
仔細(xì)檢查每一個(gè)關(guān)于轉(zhuǎn)賬的email,特別是那些不按常理出牌的;
拓展閱讀:10家專注網(wǎng)絡(luò)釣魚培訓(xùn)的公司
1. PhishMe
PhishMe公司的釣魚模擬、訓(xùn)練和報(bào)告平臺(tái)目前在全球范圍內(nèi)擁有超過(guò)800家企業(yè)客戶,包括其中有近一半的客戶是財(cái)富100強(qiáng)的企業(yè),這些企業(yè)客戶采用他們的工具和服務(wù)來(lái)積極的讓數(shù)千名員工在模擬條件下檢測(cè)和報(bào)告網(wǎng)絡(luò)釣魚攻擊的威脅。
PhishMe公司還提供了一款網(wǎng)絡(luò)釣魚事件響應(yīng)平臺(tái),能夠針對(duì)網(wǎng)絡(luò)釣魚郵件更快的響應(yīng),進(jìn)行自動(dòng)并優(yōu)先的報(bào)告發(fā)送;而他們的另一項(xiàng)威脅情報(bào)服務(wù),則能夠幫助安全威脅分析人員通過(guò)診斷他們所看到的網(wǎng)絡(luò)釣魚活動(dòng)以驗(yàn)證外部威脅。
此外,PhishMe公司還提供了十幾款免費(fèi)的培訓(xùn)模版,以交互式的PDF文件格式或符合SCORM兼容的文件格式,可以通過(guò)一家企業(yè)客戶的學(xué)習(xí)管理系統(tǒng)運(yùn)行。
2. PhishLabs
PhishLabs的客戶包括了排名美國(guó)前五大金融機(jī)構(gòu)的其中四家、全球排名前25的金融機(jī)構(gòu)的其中七家、領(lǐng)先的社交媒體和求職網(wǎng)站、以及頂級(jí)的醫(yī)療保健企業(yè)、零售商、保險(xiǎn)和科技公司。
PhishLabs公司的創(chuàng)始人兼首席執(zhí)行官約翰·拉科建議說(shuō):
“讓模擬場(chǎng)景盡可能的真實(shí)。如果您希望您企業(yè)的員工們能夠及時(shí)發(fā)現(xiàn)并報(bào)告真實(shí)世界的網(wǎng)絡(luò)安全攻擊,那么,您的模擬測(cè)試絕對(duì)需要能夠反映他們最有可能在真實(shí)世界的所看到的網(wǎng)絡(luò)攻擊。”
3. IronScales
IronScales公司為企業(yè)客戶提供網(wǎng)絡(luò)釣魚模擬和游戲化的企業(yè)員工安全意識(shí)培訓(xùn)。
根據(jù)從約60多家企業(yè)所收集到的數(shù)據(jù)顯示,其結(jié)果是,網(wǎng)絡(luò)釣魚郵件的點(diǎn)擊率將明顯降低,而員工向安全管理人員轉(zhuǎn)發(fā)網(wǎng)絡(luò)釣魚郵件的比例比之前增長(zhǎng)了200%。
4. MediaPr
Mediapro公司為企業(yè)客戶提供培訓(xùn)和鞏固方案,以及自適應(yīng)的網(wǎng)絡(luò)釣魚模擬器。該公司的客戶包括微軟、T-Mobile、Expedia、思科、甲骨文、波音公司、萬(wàn)豪酒店、Costco和其他財(cái)富500強(qiáng)企業(yè)。
MediaPro Holdings, LLC公司的董事總經(jīng)理史蒂夫·康拉德表示:
“并非所有的網(wǎng)絡(luò)釣魚活動(dòng)都是一樣的,而且也不應(yīng)該是一樣的。您企業(yè)將需要使用不同的模式,來(lái)測(cè)試發(fā)送復(fù)雜程度完全不同的網(wǎng)絡(luò)釣魚郵件,而那些不同的模式會(huì)產(chǎn)生不同的效果。而如果一而再,再而三的發(fā)送相同或類似的 網(wǎng)絡(luò)釣魚郵件,您郵件的最終用戶所顯示的網(wǎng)絡(luò)釣魚報(bào)告將是:郵件的點(diǎn)擊率固然會(huì)大幅下降,但這并不會(huì)幫助您實(shí)現(xiàn)您最初的測(cè)試目標(biāo)。”
5. KnowBe4
KnowBe4擁有面向安全意識(shí)培訓(xùn)的解決方案和旨在加強(qiáng)日常用戶教育的模擬網(wǎng)絡(luò)釣魚平臺(tái)。這家總部位于佛羅里達(dá)州克利爾沃特的公司在過(guò)去三年的增長(zhǎng)率達(dá)到了2528%,2015年銷售額680萬(wàn)美元。公司在INC 5000上總分排名第139位。世界頭號(hào)黑客大神凱文·米特尼克是KnowBe4公司的首席黑客官。
KnowBe4公司也提供了一款免費(fèi)的釣魚安全測(cè)試。該公司還提供一次性的免費(fèi)電子郵件曝光檢查,以幫助確定企業(yè)雇員的電子郵件地址是否被暴露于公眾。
6. Wombat
Wombat公司聲稱擁有1000多家企業(yè)客戶,并提供自動(dòng)化的網(wǎng)絡(luò)釣魚測(cè)試和培訓(xùn)模塊服務(wù)。
該公司是在這個(gè)領(lǐng)域最早的供應(yīng)商之一,于2008年由卡內(nèi)基·梅隆大學(xué)的一個(gè)研究項(xiàng)目發(fā)展而來(lái)。此后,該公司繼續(xù)專注于研究,并定期推出有關(guān)網(wǎng)絡(luò)釣魚的趨勢(shì)和培訓(xùn)效果的研究報(bào)告。例如, Wombat公司與安全研究中心Ponemon Institute進(jìn)行合作,以確定平均執(zhí)行程序?qū)е铝?7倍投資的回報(bào)。
7. Inspired eLearning
該公司為其客戶提供了反網(wǎng)絡(luò)釣魚訓(xùn)練,以幫助企業(yè)客戶的員工時(shí)刻將保持網(wǎng)絡(luò)安全放在首位。該公司的客戶包括富蘭克林鄧普頓投資公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集團(tuán)(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美國(guó)農(nóng)業(yè)部(the USDA)和ABB。
其PhishProof產(chǎn)品可作為一款完全托管的服務(wù),而該公司的專家設(shè)計(jì)團(tuán)隊(duì)則提供部署評(píng)估和培訓(xùn),或作為軟件即服務(wù)模型,可通過(guò)在線軟件的形式在幾分鐘內(nèi)用于創(chuàng)建和部署評(píng)估。
8. Blackfin
Blackfin Security公司是賽門鐵克的下屬子公司,該公司提供網(wǎng)絡(luò)釣魚模擬和培訓(xùn)服務(wù)。網(wǎng)絡(luò)安全意識(shí)培訓(xùn)可以被集成整合到在線的網(wǎng)絡(luò)釣魚模擬評(píng)估即時(shí)培訓(xùn),或者企業(yè)用戶也可以根據(jù)他們的日程來(lái)安排適合他們的后續(xù)培訓(xùn)。
此外,該公司還提供了針對(duì)社會(huì)工程、惡意軟件、物理安全、和使用公共WiFi網(wǎng)絡(luò)的培訓(xùn)模塊,以及其他一般的安全議題。
9. PhishLine
PhishLine公司不僅支持反釣魚測(cè)試,還將目標(biāo)瞄準(zhǔn)了更廣泛的社會(huì)工程攻擊,包括短信、電話、甚至是“不小心丟失”的U盤。
今年早些時(shí)候,PhishLine公司為基于第三方的計(jì)算機(jī)市場(chǎng)推出了培訓(xùn)材料,包括數(shù)以百計(jì)的釣魚模板,自定義的登陸頁(yè)面,風(fēng)險(xiǎn)評(píng)估調(diào)查和多語(yǔ)種的安全培訓(xùn)內(nèi)容。
除了訓(xùn)練和模擬服務(wù),該公司還提供測(cè)量工具,使得企業(yè)用戶可以跟蹤他們的計(jì)劃是否成功。例如,其中的一款測(cè)量工具可用于游戲化,是基于風(fēng)險(xiǎn)的評(píng) 分工具。企業(yè)用戶可以在這里設(shè)置訓(xùn)練成績(jī),進(jìn)而可以對(duì)員工個(gè)人,部門或其他團(tuán)體的評(píng)分進(jìn)行比較,或?qū)ζ髽I(yè)內(nèi)部或外部的評(píng)分基準(zhǔn)進(jìn)行定制。
10. InfoSec Institute
這家公司最出名的是他們的企業(yè)安全培訓(xùn)、新兵訓(xùn)練營(yíng)和認(rèn)證計(jì)劃。
他們還提供了交互式的安全意識(shí)在線培訓(xùn)模塊。他們的SecurityIQ產(chǎn)品結(jié)合了基于計(jì)算機(jī)的安全意識(shí)培訓(xùn)和一款基于云的網(wǎng)絡(luò)釣魚模擬器服務(wù)。企業(yè)用戶可以設(shè)置自動(dòng)的項(xiàng)目,隨著時(shí)間的推移為其雇員發(fā)送網(wǎng)絡(luò)釣魚測(cè)試,或提醒雇員報(bào)名參加他們的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。
