如何免受商业电子邮件泄露 (BEC) 攻击

由于 BEC 攻击依赖于社会工程，传统的安全软件并不总能抵御它们。商业电子邮件泄露 (BEC) 是所有企业，尤其是中小型 (SMB) 企业都面临的快速增长的网络安全威胁。FBI 的互联网犯罪投诉中心 (IC3) 在其2020 年互联网犯罪报告中报告称，他们在当年在美国收到了 19,369 起商业电子邮件泄露 (BEC) 投诉，调整后损失超过 18 亿美元。

BEC 攻击主要使用电子邮件，但可以使用 SMS 消息、语音邮件消息甚至电话进行。BEC 攻击之所以引人注目，是因为它们严重依赖所谓的“社会工程”技术，这意味着它们对人们使用诡计和欺骗手段。

BEC 攻击可能非常有效，任何人都可能成为它们的受害者，无论多么丰富或复杂。2020 年 2 月，电视创业真人秀节目“鲨鱼坦克”的美国女商人、投资者和评委芭芭拉·科科伦（ Barbara Corcoran ）在 BEC 骗局中几乎损失了近 40 万美元。幸运的是，快速行动使她能够追回这笔钱。但 FBI 的统计数据显示，并不是每个人都这么幸运。

因为 BEC 攻击严重依赖社会工程，传统的安全软件并不总能抵御它们。这意味着您和您的员工在防范它们方面发挥着重要作用——以及为什么了解 BEC 攻击是什么以及它们是如何工作的很重要。

BEC 攻击的工作原理

虽然 BEC 攻击可以通过多种方式展开，但它们都可以归结为一个简单的公式。攻击者将试图通过冒充员工信任的人来说服员工向攻击者汇款。

攻击者通常会尝试以两种方式叠加赔率。首先，他们试图让他们选择冒充的人相信他们的攻击。其次，他们试图营造一种紧迫感，以便目标受害者不太可能质疑交易，也不太可能遵循可能被骗的适当付款渠道。

有时，攻击者会巧妙地将这两种策略结合起来以达到最大效果。

例如，我们见过的一种 BEC 攻击涉及员工从 CEO 或其他高级管理人员那里收到一条紧急信息，说他们需要该员工支付过期发票或为紧急公司活动获取礼品卡。离开。这些可以是电子邮件或短信，但攻击者甚至使用深度伪造技术来模仿语音邮件消息和电话。2019 年，一名高管在此类攻击中损失了 220,000 欧元（约合 243,000 美元），因为攻击者使用深度伪造技术冒充其 CEO。

在另一种类型的 BEC 攻击中，攻击者使用虚假和被盗用的电子邮件帐户来说服员工他们正在与合法供应商打交道。攻击者可能会与目标受害者交换几封电子邮件，以说服她或他他们是真正的供应商，然后向他们发送假发票。这就是对芭芭拉·科科伦的攻击是如何进行的。

第三种 BEC 攻击针对公司工资单。在这些情况下，攻击者冒充员工，并试图让公司工资人员将员工的直接存款信息更改为他们自己的银行账户。这些攻击更微妙，需要更多时间，但可能非常有效。

在几乎所有情况下，BEC 攻击者的目标都是通过以下两种方式之一获取资金：电子资金转账（包括加密货币）或礼品卡。虽然使用礼品卡进行此类攻击可能令人惊讶，但攻击者发现这是一种转移和洗钱的简单方法。

如何保持免受 BEC 攻击

BEC 攻击确实是使用当前技术的老式欺诈攻击：我们在电子邮件或语音邮件出现之前很久就看到了这种类型的骗局。因为这些不是基于技术的攻击，这意味着基于技术的解决方案不会像对抗勒索软件那样有效地对抗这些攻击。例如，一封制作精良的 BEC 电子邮件很难让安全软件与合法电子邮件区分开来，尤其是当它来自您信任的人的真实（但已被泄露）帐户时。

这意味着防范 BEC 攻击需要关注两件事：您和您的员工。

首先，让您和您的员工了解 BEC 攻击。当 CEO 突然发来一封意想不到的电子邮件时，你和你的员工应该学会保持怀疑：“我需要你为今天的生日派对买 5,000 美元的礼品卡，把数字发给我，不要告诉任何人”。防止这些攻击还有很长的路要走。

其次，加强验证支付请求的重要性，以及遵守既定规则支付账单、更改直接存款信息以及购买和发送礼品卡的重要性。例如，让员工知道他们应该打电话给员工或供应商要求付款。确保他们知道使用您存档的号码，并在执行其他任何操作之前验证发票或请求是否合法。

强调即使请求似乎来自贵公司的高层，员工仍然需要验证。攻击者试图说服目标受害者对这些攻击保密，以增加他们成功的机会，并利用员工不愿质疑当权者。明确表示员工可以而且应该在这种情况下提出问题。

最终，BEC 攻击之所以成功，是因为攻击者欺骗了受害者，让他们相信他们的欺骗行为。虽然 BEC 攻击使用技术，但它们实际上只是对古老的欺诈和诈骗的现代转折。因此，挫败它们需要适应这些旧欺诈行为的新方式。

好消息是，通过适当的培训、教育并遵循适当的政策和程序，您可以挫败这些攻击。您只需要花时间让自己和您的员工了解这些骗局的存在、它们的运作方式以及处理付款请求的正确方法——无论它们是如何交付的。