目前而言,勒索软件攻击可能是企业和机构面临的最新威胁,但其实它只能算企业和机构必须警惕的威胁之一,另一个更为突出的应该就非商业电邮诈骗(BEC)莫属了。
BEC诈骗
从字面上看,BEC还真不容易理解,到Google搜一下,首先看到的竟然是FBI的定义。引用FBI给的图,基本就能明白BEC诈骗的意思了。
它是一种具有高度针对性的鱼叉式钓鱼,通过冒充决策者的邮件,来下达与资金、利益相关的指令,其目标并不只是窃取个人信息,而是直接窃取资金。
近期趋势
一般情况下,受害者是这样遭受BEC诈骗的:收到一封包含钓鱼链接的电子邮件,点击链接后,会下载运行恶意软件。恶意软件会自动收集受害者的密码和财务账号信息等。
目前发现的BEC诈骗主要有以下四种类型:
类型1:伪造邮件、电话,要求转账到另一个账户;
类型2:高管的email被盗用,像财务部门发送资金申请的邮件;
类型3:员工email被盗用,向所有联系人发送付款要求;
类型4:诈骗者冒充律师来处理机密或时间紧急的事件,或资金转移。这种形式会给受害者带来心里压力,通常发生在工作日快结束时,或财务机构快关门时。
BEC攻击者可以针对任何人发起攻击,尤其偏好那些存在国际商业合作的企业,因为他们经常需要进行电汇付款,且往往款项数额庞大。攻击者的目标主要集中在美国、英国以及澳大利亚等国家,但是偶尔也会针对其他国家发起攻击(如比利时Crelan银行和奥地利飞机 零件制造商 FACC 等)。
符合上述条件的企业应该尽早的教育自己公司的员工,尤其是公司的财务人员,如何正确地防范此类安全威胁,避免不必要的损失。因为在超过40%的商业电邮诈骗案中,都是针对目标企业的首席财务官发送钓鱼邮件并诱导其进行资产转移。财务总监以及财务控制人员 等也在钓鱼攻击之列:
BEC诈骗变化趋势显示:今年早些时候BEC诈骗数量呈飙升趋势;攻击者开始关注员工的工资单信息;安全意识培训公司KnowBe4的新任首席财务官通过确定什么是所谓的BEC钓鱼邮件,成功挫败了此类攻击。
钓鱼邮件中的请求,看起来像是公司的CEO发送的。此类钓鱼邮件首先传递给公司的财务控制人员,但是事实上该财务人员并不具备访问工资信息的权限,随后该人员将请求邮件转发给公司的首席财务官。
趋势科技的研究人员表示,员工们应该格外警惕这些看似由公司CEO,总裁或总经理发送的,要求进行紧急电汇的电子邮件。
这些电子邮件的主题通常是较为简单和模糊不清的,多数只有一个词组成,例如 “Transfer(转发)” “Request(请求)” “Urgent(紧急)” 等。
这些邮件可以由真正的公司CEO的电子邮件账号发出,而这个过程需要键盘记录程序或后门程序的帮忙,或只是将其伪造成CEO的电子邮箱账号的样子。
BEC诈骗者通常利用大量的可用工具来准备和实施攻击活动:
截止目前,BEC诈骗者已经从全球17000多家组织获取超过23亿美元的资金,而且,这仅仅是目前我们所得知的而已,不排除有相关受害者没有通知当局关于诈骗的信息。因为担心攻击事件曝光后会对公司的信誉造成无法挽救的影响。
通过诈骗行为获取的高额回报可能让这种诈骗行为在短期内终止的可能性变得微乎其微。
因此,企业应该将更多的精力投注于员工安全意识培训中,相关保护措施如下:
建立入侵检测系统,标记那些长得和自己公司邮件很相似的邮件(abc_company.com 和 abc-company.com);
记录那些和真实公司域名长得类似的山寨域名;
涉及到资金交易时,多方面校验:电话,或多封邮件确认;
了解客户的习惯,包括所需资金的总数,以及每笔转账背后的原因;
仔细检查每一个关于转账的email,特别是那些不按常理出牌的;
拓展阅读:10家专注网络钓鱼培训的公司
1. PhishMe
PhishMe公司的钓鱼模拟、训练和报告平台目前在全球范围内拥有超过800家企业客户,包括其中有近一半的客户是财富100强的企业,这些企业客户采用他们的工具和服务来积极的让数千名员工在模拟条件下检测和报告网络钓鱼攻击的威胁。
PhishMe公司还提供了一款网络钓鱼事件响应平台,能够针对网络钓鱼邮件更快的响应,进行自动并优先的报告发送;而他们的另一项威胁情报服务,则能够帮助安全威胁分析人员通过诊断他们所看到的网络钓鱼活动以验证外部威胁。
此外,PhishMe公司还提供了十几款免费的培训模版,以交互式的PDF文件格式或符合SCORM兼容的文件格式,可以通过一家企业客户的学习管理系统运行。
2. PhishLabs
PhishLabs的客户包括了排名美国前五大金融机构的其中四家、全球排名前25的金融机构的其中七家、领先的社交媒体和求职网站、以及顶级的医疗保健企业、零售商、保险和科技公司。
PhishLabs公司的创始人兼首席执行官约翰·拉科建议说:
“让模拟场景尽可能的真实。如果您希望您企业的员工们能够及时发现并报告真实世界的网络安全攻击,那么,您的模拟测试绝对需要能够反映他们最有可能在真实世界的所看到的网络攻击。”
3. IronScales
IronScales公司为企业客户提供网络钓鱼模拟和游戏化的企业员工安全意识培训。
根据从约60多家企业所收集到的数据显示,其结果是,网络钓鱼邮件的点击率将明显降低,而员工向安全管理人员转发网络钓鱼邮件的比例比之前增长了200%。
4. MediaPr
Mediapro公司为企业客户提供培训和巩固方案,以及自适应的网络钓鱼模拟器。该公司的客户包括微软、T-Mobile、Expedia、思科、甲骨文、波音公司、万豪酒店、Costco和其他财富500强企业。
MediaPro Holdings, LLC公司的董事总经理史蒂夫·康拉德表示:
“并非所有的网络钓鱼活动都是一样的,而且也不应该是一样的。您企业将需要使用不同的模式,来测试发送复杂程度完全不同的网络钓鱼邮件,而那些不同的模式会产生不同的效果。而如果一而再,再而三的发送相同或类似的 网络钓鱼邮件,您邮件的最终用户所显示的网络钓鱼报告将是:邮件的点击率固然会大幅下降,但这并不会帮助您实现您最初的测试目标。”
5. KnowBe4
KnowBe4拥有面向安全意识培训的解决方案和旨在加强日常用户教育的模拟网络钓鱼平台。这家总部位于佛罗里达州克利尔沃特的公司在过去三年的增长率达到了2528%,2015年销售额680万美元。公司在INC 5000上总分排名第139位。世界头号黑客大神凯文·米特尼克是KnowBe4公司的首席黑客官。
KnowBe4公司也提供了一款免费的钓鱼安全测试。该公司还提供一次性的免费电子邮件曝光检查,以帮助确定企业雇员的电子邮件地址是否被暴露于公众。
6. Wombat
Wombat公司声称拥有1000多家企业客户,并提供自动化的网络钓鱼测试和培训模块服务。
该公司是在这个领域最早的供应商之一,于2008年由卡内基·梅隆大学的一个研究项目发展而来。此后,该公司继续专注于研究,并定期推出有关网络钓鱼的趋势和培训效果的研究报告。例如, Wombat公司与安全研究中心Ponemon Institute进行合作,以确定平均执行程序导致了37倍投资的回报。
7. Inspired eLearning
该公司为其客户提供了反网络钓鱼训练,以帮助企业客户的员工时刻将保持网络安全放在首位。该公司的客户包括富兰克林邓普顿投资公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集团(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美国农业部(the USDA)和ABB。
其PhishProof产品可作为一款完全托管的服务,而该公司的专家设计团队则提供部署评估和培训,或作为软件即服务模型,可通过在线软件的形式在几分钟内用于创建和部署评估。
8. Blackfin
Blackfin Security公司是赛门铁克的下属子公司,该公司提供网络钓鱼模拟和培训服务。网络安全意识培训可以被集成整合到在线的网络钓鱼模拟评估即时培训,或者企业用户也可以根据他们的日程来安排适合他们的后续培训。
此外,该公司还提供了针对社会工程、恶意软件、物理安全、和使用公共WiFi网络的培训模块,以及其他一般的安全议题。
9. PhishLine
PhishLine公司不仅支持反钓鱼测试,还将目标瞄准了更广泛的社会工程攻击,包括短信、电话、甚至是“不小心丢失”的U盘。
今年早些时候,PhishLine公司为基于第三方的计算机市场推出了培训材料,包括数以百计的钓鱼模板,自定义的登陆页面,风险评估调查和多语种的安全培训内容。
除了训练和模拟服务,该公司还提供测量工具,使得企业用户可以跟踪他们的计划是否成功。例如,其中的一款测量工具可用于游戏化,是基于风险的评 分工具。企业用户可以在这里设置训练成绩,进而可以对员工个人,部门或其他团体的评分进行比较,或对企业内部或外部的评分基准进行定制。
10. InfoSec Institute
这家公司最出名的是他们的企业安全培训、新兵训练营和认证计划。
他们还提供了交互式的安全意识在线培训模块。他们的SecurityIQ产品结合了基于计算机的安全意识培训和一款基于云的网络钓鱼模拟器服务。企业用户可以设置自动的项目,随着时间的推移为其雇员发送网络钓鱼测试,或提醒雇员报名参加他们的网络安全意识培训。
作者:佚名
来源:51CTO