什么是商业电子邮件泄露 (BEC)？

什么是商业电子邮件泄露 (BEC)？

商业电子邮件泄露 (BEC) 是一种通过电子邮件进行的社会工程学攻击。在 BEC 攻击中，攻击者伪造电子邮件消息以诱骗受害者执行某些操作——最常见的是，将资金转移到攻击者控制的帐户或位置。BEC 攻击在几个关键领域不同于其他类型的电子邮件型攻击：

1. 它们不包含恶意软件、恶意链接或电子邮件附件
2. 它们针对组织内的特定个人
3. 它们针对预期的受害者进行个性化处理，并且通常涉及对相关组织的预先研究

BEC 攻击特别危险，因为它们不包含恶意软件、恶意链接、危险的电子邮件附件或电子邮件安全过滤器可能识别的其他元素。BEC 攻击中使用的电子邮件通常只包含文本，这有助于攻击者将其隐藏在正常的电子邮件流量中。

除了绕过电子邮件安全过滤器之外，BEC 电子邮件还经过专门设计，诱骗收件人打开它们并根据它们包含的消息采取行动。攻击者使用个性化来为目标组织定制电子邮件。攻击者可能会冒充通过电子邮件定期与目标受害者通信的人。一些 BEC 攻击甚至发生在已经存在的电子邮件线程中间。

通常，攻击者会冒充组织中的高层人员来促使受害者执行恶意请求。

为什么 BEC 攻击如此难以检测？

BEC 攻击难以确定的其他原因可能包括：

• 它们是低数量的：电子邮件流量中的异常峰值可以提醒电子邮件安全过滤器注意到正在发生攻击。但是 BEC 攻击的数量极少，通常只包含一两封电子邮件。它们可以在不产生电子邮件流量峰值的情况下执行。这种低数量也使 BEC 活动能够定期更改其源 IP 地址，从而更难阻止活动。
• 它们使用合法的来源或域：大规模网络钓鱼攻击的来源 IP 地址通常会快速被列入黑名单。BEC 攻击由于数量少，可以使用具有中立或良好声誉的 IP 地址作为其来源。它们还使用电子邮件域名假冒来使电子邮件看起来好像来自真实的人。
• 它们可能实际上来自合法的电子邮件帐户：BEC 攻击可能会使用以前被入侵的电子邮件收件箱在某人不知情的情况下以他们的名义发送恶意邮件，因此电子邮件实际上可能来自合法的电子邮件地址。（这需要攻击者付出更多的努力，但这种集中精力的花费是 BEC 活动的特征。）
• 它们通过了 DMARC 检查：基于域的消息身份验证、报告和一致性 (DMARC) 是一种协议，用于识别未经授权从域发送的电子邮件。它有助于防止冒充域。BEC 活动可以通过 DMARC 有几个原因：1) 组织可能将 DMARC 配置为严格阻止电子邮件；2) 攻击者可能从合法来源发送电子邮件。

BEC 电子邮件通常包含哪些内容？

通常，BEC 电子邮件包含几行文本，不包含链接、附件或图像。在这几行文本中，他们的目的是让目标采取他们想要的行动，可能是将资金转移到特定账户，或是授予对受保护数据或系统的未经授权的访问权限。

BEC 电子邮件的其他常见元素可能包括：

• 时间敏感性：像“紧急”、“快速”、“提醒”、“重要”和“很快”这样的词经常出现在 BEC 电子邮件中，尤其是在主题行中，以让收件人尽快采取行动——在他们意识到自己可能成为骗局的目标之前。
• 权威发件人：BEC 攻击者冒充组织中的重要人物，例如 CFO 或 CEO。
• 彻底冒充发件人：BEC 电子邮件可能通过伪造电子邮件地址、模仿个人的写作风格或使用其他策略，冒充合法发件人（例如，组织的 CFO），欺骗他们的受害者。
• 提供请求的理由：有时，为了给可能是不寻常的请求增加合法性，BEC 电子邮件会提供一些理由，说明为什么必须采取行动。这也增加了请求的紧迫性。
• 具体指示：攻击者会提供明确的指示，例如钱的去向以及应该发送多少——具体的金额听起来更可能是合法的。攻击者可能会将此信息包含在初始电子邮件中，或者当受害者回复时，包含在后续电子邮件中。
• 不联系名义发件人的指示：如果预期的受害者能够通过另一个通信渠道联系到名义上的 BEC 电子邮件的来源，他们可能能够识别出该电子邮件是假的。为了防止这种情况，攻击者往往指示受害者不要与发件人联系，或与其他人确认请求，也许是以需要快速行动作为理由。

安全电子邮件网关 (SEG) 能否阻止 BEC 活动？

安全电子邮件网关 (SEG) 是一种电子邮件安全服务，位于电子邮件提供商和电子邮件用户之间。它们识别并过滤掉潜在的恶意电子邮件，就像防火墙移除恶意网络流量一样。在大多数电子邮件提供商已提供的内置安全措施基础之上，SEG 提供额外的保护（例如，Gmail 和 Microsoft Outlook 已部署一些基本的保护措施）。

然而，由于上述原因，传统的 SEG 难以检测结构良好的 BEC 活动：数量少、缺乏明显的恶意内容、看似合法的电子邮件来源等等。

出于这个原因，用户培训和额外的电子邮件安全措施对于阻止商业电子邮件泄露非常重要。

当用户怀疑有 BEC 活动时，应该怎么做？

不寻常的、意外的或突然的请求表明可能存在 BEC 攻击。用户应该向安全运营团队报告潜在的 BEC 邮件。他们还可以与声称的邮件来源进行反复核实。

想象一下，会计 Bob 收到 CFO Alice 的一封电子邮件：

Bob，

我需要给一个客户发送一些他最喜欢的比萨店的礼品卡。请购买 10,000 美元的比萨礼品卡，并将它们转移到这位客户的电子邮件地址：customer@example.com。

请尽快完成这项工作。这具有高度的时间敏感性。我们不希望失去这位客户。

我正在登机，在接下来的几个小时内将无法联系上。

-Alice

这个请求让 Bob 觉得很不寻常：向客户提供披萨礼品卡通常不是会计部门的工作。他打电话给 Alice，以防万一她还没有“登机”。她接听了电话，而且并不清楚她给他发送请求的事情。她也没有登机。于是，Bob 检测到了一次 BEC 攻击。

还有哪些技术措施可以检测和阻止 BEC 攻击？

先进的网络钓鱼基础设施检测

一些电子邮件安全提供商会提前抓取 Web 以检测命令和控制 (C&C) 服务器、虚假网站以及攻击者将在 BEC 活动或网络钓鱼攻击中使用的其他元素。这需要使用 Web 爬网程序机器人来扫描互联网的大片区域（搜索引擎也使用 Web 爬网程序机器人，但目的不同）。提前识别攻击基础设施使提供商能够在发送非法电子邮件时立即阻止它们，即使它们原本可能会通过安全过滤器。

机器学习分析

机器学习是一种方法，会基于大型数据集自动预测结果。它可用于检测异常活动——例如，Cloudflare 机器人管理使用机器学习作为识别机器人活动的一种方法。为了阻止 BEC 攻击，机器学习可以帮助识别异常请求、非典型电子邮件流量模式和其他异常情况。

分析电子邮件线程

由于 BEC 攻击者经常尝试回复现有线程以增加其电子邮件的合法性，因此一些电子邮件安全提供商会监视线程以查看线程中的“发件人”或“收件人”电子邮件是否突然更改。

自然语言处理

这意味着在电子邮件中寻找关键短语，以了解一组给定的电子邮件联系人通常对应的主题。例如，可以跟踪组织中的特定人员与谁就汇款、客户关系或任何其他主题通信。如果 Bob 收到的电子邮件（来自上面的示例）很少涉及客户关系，那么在来自“Alice”的电子邮件中包含“客户”和“失去这个客户”等短语可能表明该电子邮件是 BEC 攻击的一部分。

Cloudflare Area 1 电子邮件安全如何检测 BEC？

Cloudflare Area 1 电子邮件安全旨在捕获大多数 SEG 无法检测到的 BEC 攻击。它使用上述多种方法来执行此操作：在互联网上爬取攻击基础设施、采用机器学习分析、分析电子邮件线程、分析电子邮件内容等。

电子邮件仍然是最大的攻击媒介之一，这使得电子邮件安全对如今的组织更加重要。深入了解 Cloudflare Area 1 电子邮件安全如何运作。