商业电子邮件泄露 (BEC) 是一种基于电子邮件的社会工程学攻击,旨在欺骗受害者。BEC 攻击活动通常会绕过传统的电子邮件过滤器。
阅读本文后,您将能够:
复制文章链接
商业电子邮件泄露 (BEC) 是一种通过电子邮件进行的社会工程学攻击。在 BEC 攻击中,攻击者伪造电子邮件消息以诱骗受害者执行某些操作——最常见的是,将资金转移到攻击者控制的帐户或位置。BEC 攻击在几个关键领域不同于其他类型的电子邮件型攻击:
BEC 攻击特别危险,因为它们不包含恶意软件、恶意链接、危险的电子邮件附件或电子邮件安全过滤器可能识别的其他元素。BEC 攻击中使用的电子邮件通常只包含文本,这有助于攻击者将其隐藏在正常的电子邮件流量中。
除了绕过电子邮件安全过滤器之外,BEC 电子邮件还经过专门设计,诱骗收件人打开它们并根据它们包含的消息采取行动。攻击者使用个性化来为目标组织定制电子邮件。攻击者可能会冒充通过电子邮件定期与目标受害者通信的人。一些 BEC 攻击甚至发生在已经存在的电子邮件线程中间。
通常,攻击者会冒充组织中的高层人员来促使受害者执行恶意请求。
BEC 攻击难以确定的其他原因可能包括:
通常,BEC 电子邮件包含几行文本,不包含链接、附件或图像。在这几行文本中,他们的目的是让目标采取他们想要的行动,可能是将资金转移到特定账户,或是授予对受保护数据或系统的未经授权的访问权限。
BEC 电子邮件的其他常见元素可能包括:
安全电子邮件网关 (SEG) 是一种电子邮件安全服务,位于电子邮件提供商和电子邮件用户之间。它们识别并过滤掉潜在的恶意电子邮件,就像防火墙移除恶意网络流量一样。在大多数电子邮件提供商已提供的内置安全措施基础之上,SEG 提供额外的保护(例如,Gmail 和 Microsoft Outlook 已部署一些基本的保护措施)。
然而,由于上述原因,传统的 SEG 难以检测结构良好的 BEC 活动:数量少、缺乏明显的恶意内容、看似合法的电子邮件来源等等。
出于这个原因,用户培训和额外的电子邮件安全措施对于阻止商业电子邮件泄露非常重要。
不寻常的、意外的或突然的请求表明可能存在 BEC 攻击。用户应该向安全运营团队报告潜在的 BEC 邮件。他们还可以与声称的邮件来源进行反复核实。
想象一下,会计 Bob 收到 CFO Alice 的一封电子邮件:
Bob,
我需要给一个客户发送一些他最喜欢的比萨店的礼品卡。请购买 10,000 美元的比萨礼品卡,并将它们转移到这位客户的电子邮件地址:customer@example.com。
请尽快完成这项工作。这具有高度的时间敏感性。我们不希望失去这位客户。
我正在登机,在接下来的几个小时内将无法联系上。
-Alice
这个请求让 Bob 觉得很不寻常:向客户提供披萨礼品卡通常不是会计部门的工作。他打电话给 Alice,以防万一她还没有“登机”。她接听了电话,而且并不清楚她给他发送请求的事情。她也没有登机。于是,Bob 检测到了一次 BEC 攻击。
一些电子邮件安全提供商会提前抓取 Web 以检测命令和控制 (C&C) 服务器、虚假网站以及攻击者将在 BEC 活动或网络钓鱼攻击中使用的其他元素。这需要使用 Web 爬网程序机器人来扫描互联网的大片区域(搜索引擎也使用 Web 爬网程序机器人,但目的不同)。提前识别攻击基础设施使提供商能够在发送非法电子邮件时立即阻止它们,即使它们原本可能会通过安全过滤器。
机器学习是一种方法,会基于大型数据集自动预测结果。它可用于检测异常活动——例如,Cloudflare 机器人管理使用机器学习作为识别机器人活动的一种方法。为了阻止 BEC 攻击,机器学习可以帮助识别异常请求、非典型电子邮件流量模式和其他异常情况。
由于 BEC 攻击者经常尝试回复现有线程以增加其电子邮件的合法性,因此一些电子邮件安全提供商会监视线程以查看线程中的“发件人”或“收件人”电子邮件是否突然更改。
这意味着在电子邮件中寻找关键短语,以了解一组给定的电子邮件联系人通常对应的主题。例如,可以跟踪组织中的特定人员与谁就汇款、客户关系或任何其他主题通信。如果 Bob 收到的电子邮件(来自上面的示例)很少涉及客户关系,那么在来自“Alice”的电子邮件中包含“客户”和“失去这个客户”等短语可能表明该电子邮件是 BEC 攻击的一部分。
Cloudflare Area 1 电子邮件安全旨在捕获大多数 SEG 无法检测到的 BEC 攻击。它使用上述多种方法来执行此操作:在互联网上爬取攻击基础设施、采用机器学习分析、分析电子邮件线程、分析电子邮件内容等。
电子邮件仍然是最大的攻击媒介之一,这使得电子邮件安全对如今的组织更加重要。深入了解 Cloudflare Area 1 电子邮件安全如何运作。