由于 BEC 攻擊依賴于社會工程，傳統(tǒng)的安全軟件并不總能抵御它們。商業(yè)電子郵件泄露 (BEC) 是所有企業(yè)，尤其是中小型 (SMB) 企業(yè)都面臨的快速增長的網絡安全威脅。FBI 的互聯(lián)網犯罪投訴中心 (IC3) 在其2020 年互聯(lián)網犯罪報告中報告稱，他們在當年在美國收到了 19,369 起商業(yè)電子郵件泄露 (BEC) 投訴，調整后損失超過 18 億美元。

BEC 攻擊主要使用電子郵件，但可以使用 SMS 消息、語音郵件消息甚至電話進行。BEC 攻擊之所以引人注目，是因為它們嚴重依賴所謂的“社會工程”技術，這意味著它們對人們使用詭計和欺騙手段。

BEC 攻擊可能非常有效，任何人都可能成為它們的受害者，無論多么豐富或復雜。2020 年 2 月，電視創(chuàng)業(yè)真人秀節(jié)目“鯊魚坦克”的美國女商人、投資者和評委芭芭拉·科科倫（ Barbara Corcoran ）在 BEC 騙局中幾乎損失了近 40 萬美元。幸運的是，快速行動使她能夠追回這筆錢。但 FBI 的統(tǒng)計數據顯示，并不是每個人都這么幸運。

因為 BEC 攻擊嚴重依賴社會工程，傳統(tǒng)的安全軟件并不總能抵御它們。這意味著您和您的員工在防范它們方面發(fā)揮著重要作用——以及為什么了解 BEC 攻擊是什么以及它們是如何工作的很重要。

BEC 攻擊的工作原理

雖然 BEC 攻擊可以通過多種方式展開，但它們都可以歸結為一個簡單的公式。攻擊者將試圖通過冒充員工信任的人來說服員工向攻擊者匯款。

攻擊者通常會嘗試以兩種方式疊加賠率。首先，他們試圖讓他們選擇冒充的人相信他們的攻擊。其次，他們試圖營造一種緊迫感，以便目標受害者不太可能質疑交易，也不太可能遵循可能被騙的適當付款渠道。

有時，攻擊者會巧妙地將這兩種策略結合起來以達到最大效果。

例如，我們見過的一種 BEC 攻擊涉及員工從 CEO 或其他高級管理人員那里收到一條緊急信息，說他們需要該員工支付過期發(fā)票或為緊急公司活動獲取禮品卡。離開。這些可以是電子郵件或短信，但攻擊者甚至使用深度偽造技術來模仿語音郵件消息和電話。2019 年，一名高管在此類攻擊中損失了 220,000 歐元（約合 243,000 美元），因為攻擊者使用深度偽造技術冒充其 CEO。

在另一種類型的 BEC 攻擊中，攻擊者使用虛假和被盜用的電子郵件帳戶來說服員工他們正在與合法供應商打交道。攻擊者可能會與目標受害者交換幾封電子郵件，以說服她或他他們是真正的供應商，然后向他們發(fā)送假發(fā)票。這就是對芭芭拉·科科倫的攻擊是如何進行的。

第三種 BEC 攻擊針對公司工資單。在這些情況下，攻擊者冒充員工，并試圖讓公司工資人員將員工的直接存款信息更改為他們自己的銀行賬戶。這些攻擊更微妙，需要更多時間，但可能非常有效。

在幾乎所有情況下，BEC 攻擊者的目標都是通過以下兩種方式之一獲取資金：電子資金轉賬（包括加密貨幣）或禮品卡。雖然使用禮品卡進行此類攻擊可能令人驚訝，但攻擊者發(fā)現(xiàn)這是一種轉移和洗錢的簡單方法。

如何保持免受 BEC 攻擊

BEC 攻擊確實是使用當前技術的老式欺詐攻擊：我們在電子郵件或語音郵件出現(xiàn)之前很久就看到了這種類型的騙局。因為這些不是基于技術的攻擊，這意味著基于技術的解決方案不會像對抗勒索軟件那樣有效地對抗這些攻擊。例如，一封制作精良的 BEC 電子郵件很難讓安全軟件與合法電子郵件區(qū)分開來，尤其是當它來自您信任的人的真實（但已被泄露）帳戶時。

這意味著防范 BEC 攻擊需要關注兩件事：您和您的員工。

首先，讓您和您的員工了解 BEC 攻擊。當 CEO 突然發(fā)來一封意想不到的電子郵件時，你和你的員工應該學會保持懷疑：“我需要你為今天的生日派對買 5,000 美元的禮品卡，把數字發(fā)給我，不要告訴任何人”。防止這些攻擊還有很長的路要走。

其次，加強驗證支付請求的重要性，以及遵守既定規(guī)則支付賬單、更改直接存款信息以及購買和發(fā)送禮品卡的重要性。例如，讓員工知道他們應該打電話給員工或供應商要求付款。確保他們知道使用您存檔的號碼，并在執(zhí)行其他任何操作之前驗證發(fā)票或請求是否合法。

強調即使請求似乎來自貴公司的高層，員工仍然需要驗證。攻擊者試圖說服目標受害者對這些攻擊保密，以增加他們成功的機會，并利用員工不愿質疑當權者。明確表示員工可以而且應該在這種情況下提出問題。

最終，BEC 攻擊之所以成功，是因為攻擊者欺騙了受害者，讓他們相信他們的欺騙行為。雖然 BEC 攻擊使用技術，但它們實際上只是對古老的欺詐和詐騙的現(xiàn)代轉折。因此，挫敗它們需要適應這些舊欺詐行為的新方式。

好消息是，通過適當的培訓、教育并遵循適當的政策和程序，您可以挫敗這些攻擊。您只需要花時間讓自己和您的員工了解這些騙局的存在、它們的運作方式以及處理付款請求的正確方法——無論它們是如何交付的。