老話說，授人以魚不如授人以漁。但如今，黑客甚至都不用網絡釣魚就能入侵商業電子郵件賬戶了。

[[252237]]

FBI今年早些時候發布的一份警報中顯示，2013年10月以來，商業電子郵件入侵(BEC)和電子郵件賬戶侵害(EAC)共造成了120億美元的損失。傳統上，社會工程和入侵技術是攻擊者染指商業電子郵件賬戶和誘騙人們轉賬到騙子所控賬戶的常見方式。這些方法是這么執行的：

1. 社會工程和電子郵件欺詐

攻擊者運用社會工程方法假扮成公司同事或商業合作伙伴，發送要求轉賬或獲取信息的虛假請求。因為攻擊者事先花費精力篩選出合適的受害者并注冊幾乎可以假亂真的域名，這些社工電子郵件非常具有說服力，乍看之下跟真的出自同事或供應商之手一樣。

2. 接管賬戶

攻擊者用信息竊取型惡意軟件和鍵盤記錄器劫持公司電子郵件賬戶，然后用這些被盜賬戶向同事、會計部門和供應商發送虛假請求。他們還可以修改郵箱規則，轉發受害者的郵件到自己的郵箱，或者讓已發送郵件列表中不顯示攻擊者發出的郵件。

這些技術在相當一段時間里給攻擊者帶來了莫大利益。但如今又出現了新的更加敏捷的入侵商業電子郵件賬戶的方法。犯罪論壇上提供的被盜憑證，第三方暴露的憑證，以及錯誤配置的備份及文件共享服務揭示的憑證，讓通過BEC獲利變得更加容易了。電子郵件收件箱不僅僅被用于要求轉賬，也被攻擊者用于盜取賬戶中存儲的金融相關信息，或者向其他雇員索要敏感信息。隨著BEC門檻的降低，以及此類詐騙變現方式的增多，BEC所致損失可能會持續上升，甚至加速上升。

新的BEC方法是如何運作的：

1. 購買訪問權

犯罪論壇上共享和售賣賬戶的現象很常見，財務部門和CEO/CFO的電子郵箱也不例外。獲取郵箱權限的工作甚至還可以外包給網絡黑客，他們會以收益提成或固定價格的方式從公司憑證上盈利。(起價甚至會低到150美元)。

2. 從以往被黑的憑證中尋找機會

人們常會在多個賬戶上重復使用口令。一項研究中，某第三方數據泄露存儲庫中就暴露出超過3.3萬個財務部門電子郵件地址，其中83%都有相關聯的口令。因為很多財務部門電子郵件賬戶的郵箱和口令組合已經被泄，網絡罪犯可從中找到大量機會。

3. 搜索錯誤配置的文件存檔

收件箱，尤其是財務部門和CEO/CFO的郵件收件箱，充滿財務相關信息，比如合同掃描件、采購訂單、工資及稅單。這些信息可被用于詐騙或在論壇和黑市上重復售賣。殘酷的現實是，根本無需深入暗網，公網上就有很多免費的敏感數據。公司雇員和承包商有時候會貪圖方便而以不安全的方式存檔電子郵件。僅一項調查就發現，因為未經身份驗證或配置錯誤的文件存儲，包含“發票”、“支付”或“采購訂單”的1250萬封電子郵件存檔和5萬封電子郵件暴露在了公網上。

無論攻擊者使用何種BEC欺詐方法，以下7種安全措施都有助于緩解這一風險。

• 更新安全意識培訓項目內容，納入BEC場景。這應是新員工培訓的一部分，但如今還需針對該場景進行特別培訓。
• 將BEC納入應急響應計劃，就像你將勒索軟件和破壞性惡意軟件歸入事件響應/業務連續性計劃中一樣。
• 與轉賬應用供應商合作建立大額轉賬手動控制機制和多人授權方式。
• 監視已暴露的憑證。不僅僅是財務部門電子郵件，所有用戶賬戶都要監視。多因子身份驗證可以增加攻擊者執行賬戶接管操作的難度。
• 對高管數字蹤跡執行持續評估。可以從使用谷歌Alerts跟蹤與他們相關的新Web內容開始。
• 防止電子郵件存檔被公開。對服務器消息塊(SMB)、異地備份和文件傳輸協議(FTP)之類的服務，各自采用唯一的強口令，禁用來賓或匿名訪問，并用防火墻屏蔽掉面向互聯網的端口。如果服務必須放在互聯網上或者不能設置口令，那就設置白名單，只將明確允許訪問該資源的IP納入該白名單。
• 關注將電子郵件備份在網絡附加存儲(NAS)設備上的承包商帶來的風險。用戶應設置口令并禁用來賓/匿名訪問，選擇默認安全的NAS設備。理想狀態下，公司企業應提供家用NAS硬盤使用風險的培訓，并拿出備份解決方案，以便承包商和雇員不用在自己家里備份設備。

因為公司企業為黑客獲取郵件中有價值信息打開了方便之門，BEC正變得越來越有利可圖。但只要人員、過程和技術到位，公司企業還是可以緩解這一風險。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文