根據Verizon的數據泄漏報告，2023年商業郵件欺詐(BEC)攻擊占社交工程攻擊的一半以上！網絡犯罪分子不僅在增加攻擊數量，而且在偽造和仿冒郵件方面變得更加老練和自動化。

如今，隨著生成式人工智能的快速武器化，BEC攻擊威脅正爆炸式增長。網絡犯罪分子不僅擅長用AI編寫極具說服力的釣魚電子郵件，而且還能逃避傳統電子郵件安全工具的檢測，大規模地提高攻擊的覆蓋范圍和復雜性。

2024年，隨著BEC攻擊激增，網絡安全團隊和業務經理需要認識到，技術防御只能在一定程度上減輕風險。常見的電子郵件安全防御技術包括從反欺騙技術 (如DMARC和SPF) 到行為分析和其他威脅檢測，以及多因素身份驗證 (MFA) 和強大的身份和訪問管理等保護措施。然而，為了建立有效的縱深防御，企業需要分層實施威脅情報，人員導向的業務和技術政策，才能將風險降至最低。

為了避免財務損失，首席信息安全官 (CISO) 們應與法律團隊一起制定全面的BEC政策文檔來提高用戶的抗攻擊能力，以下是專家推薦的 BEC 防護政策的八個要點：

一、可接受的使用規則

企業在業務和技術層面設置的首要規則類別是員工訪問電子郵件和其他業務系統時的可接受使用標準，以阻止BEC攻擊。Britton表示，可接受使用政策 (AUP) 是提供基于政策的BEC風險保護的最低要求。

AUP包括常規的安全最佳實踐，并應特別關注網絡釣魚和BEC防范指南，后者的內容包括：不得點擊可疑文件附件或鏈接、不向第三方泄露敏感信息、仔細檢查發票支付和工資單變更請求以及報告可疑攻擊等。

二、確定安全意識培訓的頻率

與AUP一樣，安全意識培訓也應作為入職培訓的一個關鍵部分由BEC政策規定。但是，政策也應規定員工在企業工作期間需定期進行培訓。由于網絡犯罪分子的策略不斷發展，企業應至少每四到六個月進行一次復習和更新。企業可以考慮能夠幫助自動執行這些培訓課程的工具。

安全意識培訓更新不僅提供了寶貴的安全威脅提醒和如何識別不同階段的BEC攻擊的強化教學內容，還可以提供一個重要的學習場所，讓員工了解這些攻擊技術自上次培訓以來發生了哪些變化。Embroker 商業和網絡保險公司的首席保險官 David Derigiotis 表示：“企業需要通過安全意識培訓計劃定期向員工更新不斷發展的 BEC 威脅和策略，模擬測試和其他審計也需要成為這些定期更新的一部分。”

三、強制性BEC特定事件響應計劃

企業董事會和首席執行官應要求CISO在其事件響應(IR)計劃中包含針對BEC的程序，

公司應制定政策要求安全團隊定期更新這些IR計劃并測試其效果。企業在事件響應的所有階段計劃都有法律專家參與，法律部門尤其應該參與內部和外部利益相關方溝通事件，以確保企業在BEC攻擊發生時不會增加其法律責任。

Culhane Meadows合伙人Reiko Feaver表示：“任何違規都可能帶來法律責任，因此最好在違規之前進行討論，并盡可能多地提前制定預案。”

Feaver建議BEC政策文件應規定法律部門成為威脅建模團隊的一部分，分析不同類型BEC攻擊的潛在影響，以便將法律專業觀點納入響應計劃中。她說：“此外，泄露或暴露的有關商業伙伴、客戶、人員等的信息，包括機密信息，可能產生法律后果，這也應該在制定IRP和實際應對實際違規行為時加以考慮。”

四、禁止共享企業結構圖和其他運營細節的規則

BEC詐騙者通常會利用對組織內部運作的了解來針對特定員工進行帳戶接管攻擊，向受害者提出可信的請求，或者設計出非常令人信服的社會工程方法。

SafeGuard Cyber首席技術官兼首席產品官Stephen Spadaccini表示：“企業應該將組織結構圖和其他詳細信息從公司網站上刪除。黑客可能用這些信息來實施有針對性的網絡釣魚詐騙的職位描述；避免在社交媒體網站上發布詳細的個人信息，這些信息會落入那些準備實施個性化社交工程騙局的人的手中。”

五、 發票和財務交易協議

防止BEC造成巨大損失的關鍵策略與技術無關，重點是建立一個堅不可摧的業務標準和流程來處理發票和觸發財務交易。

Fortra首席信息安全官Chris Reffkin表示：“這意味著將縱深防御應用于整個企業的業務實踐，而不僅僅是網絡安全。例如，如果通過電子郵件收到更改付款信息的請求，那么業務流程的響應是什么？”

理想情況下，這些政策應要求所有付款都追溯到經過驗證的收款人姓名、地址和付款說明的已批準發票。KnowBe4的防御專家Roger Grimes建議：“任何臨時付款請求都必須在付款發出之前進行正式審查。要求所有付款指令更改在批準之前使用合法途徑進行驗證。”

值得注意的是，強力政策可以消除攻擊者對員工（社工攻擊）施加的緊迫感和恐懼感，尤其是攻擊者冒充高管或上司提出異常請求時。強有力的政策能夠保護嚴格按規章辦事，“不聽話”的員工。

六、高風險變更和交易的帶外驗證

對于發票和財務交易政策，企業應特別注意如何驗證和批準高風險交易和財務賬戶變更。Qmulos合規策略副總裁Igor Volovich表示：“實施嚴格的財務交易和數據請求驗證流程至關重要。這是抵御BEC攻擊的關鍵防御措施，確保對每個請求進行徹底審查。將這些流程嵌入到日常運營中可以形成強大的防御機制。”

企業為BEC設置后盾的一個重要方法是確保通過電子郵件觸發的任何高風險事件都通過某種帶外驗證流程（可以是電話、通過安全系統或短信）進行跟進。

DarkTower首席執行官Robin Pugh強調：“這是最重要的政策之一。切勿僅根據電子郵件請求更改付款/銀行詳細信息。每當通過電子郵件請求付款信息或銀行信息變更時，應制定一項政策，要求收件人始終通過語音使用受信任的聯系方式聯系請求人。” Pugh表示，為高風險交易添加第二位審批人也可進一步降低風險并減少內部威脅。

OpenText Cybersecurity的威脅情報高級經理Troy Gill警告說，攻擊者會潛伏在被入侵的電子郵件箱中，等待付款活動發生時伺機介入。即使聯系人通過電子郵件提供了合法文件，也應該用帶外驗證進行補充。Gill解釋說：“在許多情況下，攻擊者會篡改以前發送的合法文件，將收款賬號替換為（攻擊者控制的）賬戶。因此，至關重要的是，所有更改必須在電子郵件線程之外確認。”

七、請求登記流程

對于某些組織來說，要求臨時帶外電話呼叫的政策可能不夠嚴格，不足以降低BEC風險。TrustNet首席信息安全官兼創始人Trevor Horwitz解釋說，將驗證策略提升到新水平的一個策略是建立一個內部安全的“請求寄存器”，通過該寄存器，每個交換或更改敏感信息的請求都將通過該寄存器。

“由于來自外部欺騙電子郵件和內部受損電子郵件來源的雙重威脅，預防BEC需要采取廣泛的策略。我們倡導一種受金融服務領域“積極支付”欺詐預防啟發的新穎戰略。”Horowitz說道。“這項政策要求對所有敏感信息交換和變更采用輔助方法進行積極驗證，包括收款人、銀行信息、應收賬款和員工數據。該機制包括一個內部安全的“請求寄存器”，可確保在任何信息交換或修改之前進行積極驗證。”

通過這一政策和方法，每個敏感請求都會在集中式系統中注冊，然后通過第二個因素獲得批準，無論是電話、一次性密碼 (OTP) 還是硬件安全密鑰（例如FIDO2）。霍洛維茨告訴CSO：“用戶經過培訓，可以在泄露信息或進行更改之前通過此寄存器驗證敏感請求。”

八、開放式匯報機制

企業制定政策、文化和流程時需側重開放式匯報機制，讓員工能夠輕松報告異常請求事件，即使判斷錯誤也無需擔心懲罰。Feaver說：“重要的是要確保員工不怕報告可疑事件。報告得越早，就越容易解決，但害怕的員工可能不愿意承認錯誤。”

企業需要建立報告可疑事件的文檔步驟和機制，并嘗試獎勵阻止錯誤而不是懲罰錯誤。Gill說：“為了增加激勵措施，我建議為成功識別和阻止BEC攻擊嘗試的人建立獎勵制度，例如獎池或禮品卡。這將有助于培養防御思維和零信任心態，他們需要知道如何安全地做到這一點。”