79个国家、1万7千余名受害者、23亿美元。这就是快速成长的所谓企业电子邮件攻击(Business Email Compromise, BEC) 2013年到2015年之间的数字。它是一种具有高度针对性的鱼叉式钓鱼,其目标并不只是窃取个人信息,而是直接窃取资金。而事实证明,它非常有效。
这种攻击的基本概念非常简单,也很让人担心:
攻击者假装成企业高管,向财务部门发送邮件。邮件内容要求员工向某个特定账户转账,但其实际上是攻击者的账户。
从某种程度上来讲,这种攻击基于社会工程学和对公司的了解程度。所有这些信息都很容易在社交网络上找到。如果企业目前正在向新的地理区域进行扩张,而企业在内部又确实使用CEO和CFO的名字,那么向那个区域转账的要求就不会过于出乎意料。
趋势科技近期分析了CEO诈骗中的诈骗发送者和接收人。最流行的发送者是CEO,占31%,其后是主席,占17%。最流行的接收人是CFO,其比例略大于40%,然后则是财务部门主管,比例略低于10%。电子邮件标题基本上都很简单,以和忙碌的高管可能的发信风格相贴近:“转账”、“紧急”、“要求”都是最常见的标题。
以上就是最简单的CEO诈骗。
除此以外,趋势还总结了两种未来的变种,并将其称为“假发票诈骗”和“账户攻击”。在这两种诈骗中,攻击者首先入侵员工的电子邮件帐户。前一种诈骗通常与那些拥有国外客户的企业有关,攻击者要求客户对某个新的银行账户进行转账,也就是攻击者的。后一种诈骗中,攻击者会将假发票发送给能在受入侵员工联系人列表上的多个客户。
CEO诈骗中不一定需要恶意软件,而是可能完全依赖于钓鱼邮件中的社会工程学手段。在它的变种攻击中,则需要首先入侵相关员工的电子邮件账户。趋势科技分析了已知的一些诈骗事件,并总结称:“大多数BEC诈骗中使用的恶意软件都是随处可以买到的变种,也就是说,可以通过非常便宜的价格在网络上买到它们。有些恶意软件最多只用50美元就可以买到,还有些更加便宜,甚至是免费。”
任何包含键盘记录器的恶意软件都能方便地在用户输入时记录下电子邮件密码,或者恶意软件也可以选择访问浏览器存储的密码。Rapid7公司安全研究主管Tod Beardsley评论称:“我们经常会建议人们将密码存储在专用的密码管理软件中,比如KeePass、1Passowrd、LastPass。通常的浏览器都不具备合适的访问控制,因此黑客很容易从它们的数据库中拿到密码。”
CEO诈骗的解决方案很简单也很明显,但显然,它的效果并不怎么样。可以使用技术来降低恶意软件感染的可能性,扫描发出的电子邮件。然而,仅使用技术是不足的,也不能够阻止那些基于社会工程学的诈骗。
如今,模拟钓鱼攻击已经被证明是提升员工安全意识非常有效的手段。有些培训活动对于“钓”C级高管总是有点犹豫。BEC诈骗证明,所有员工,从新进员工到CEO本人,都应该进行员工安全意识训练,比如模拟钓鱼。
本文转自d1net(转载)
