什么是供应商电子邮件入侵(VEC)?

供应商电子邮件泄露是一种商业电子邮件泄露攻击,这种攻击冒充第三方供应商来攻击该供应商的客户或供应商。

学习目标

阅读本文后,您将能够:

  • 了解什么是供应商邮件泄露
  • 识别供应商电子邮件泄露与商业电子邮件泄露的区别
  • 了解供应商电子邮件泄露攻击通常是如何展开的
  • 了解供应商电子邮件泄露的后果

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是供应商电子邮件入侵(VEC)?

供应商电子邮件泄漏,也被称为“金融供应链泄漏”,是一种有针对性的商业电子邮件泄漏 (BEC) 攻击类型,攻击者冒充第三方供应商,以窃取该供应商的客户。供应商通常与各种客户合作 — 攻击者可以通过破坏和冒充供应商说服多个目标透露金钱或敏感信息。

什么是商业电子邮件泄露?

商业电子邮件泄露 (BEC) 是一种可以接管受害者电子邮件的社会工程学攻击。在 BEC 攻击中,攻击者通过纯文本伪造电子邮件,欺骗受害者采取一系列预定的行动,如泄露敏感数据。

BEC 有一个显著的特点,就是它通常针对一个组织中的特定个人。BEC 通常很难检测到。这些邮件很容易被传统的电子邮件安全解决方案所忽视,因为它们不包含恶意软件、恶意链接、危险的电子邮件附件或电子邮件安全解决方案用来过滤和识别网络钓鱼邮件的其他元素。BEC 电子邮件使用精心设计和撰写的纯文本来欺骗收件人并避开现有的安全技术栈。这些邮件的措辞通常模仿可信的发件人(如同事或 CEO)的语气和内容,这有助于欺骗收件人与他们接触。

虽然供应商电子邮件泄露攻击是 BEC 攻击的一种类型,但它们不一定相同。典型的 BEC 攻击活动以个人或高管为目标,为的是获取机密信息,而供应商电子邮件泄露活动通常需要对现有业务关系有更多了解,如支付结构、财务信息和现有的供应商-客户流程。供应商电子邮件泄露的研究过程可能需要数周至数月,而攻击者的潜在回报也要大得多。

供应商电子邮件泄密攻击是如何展开的?

供应商电子邮件泄露攻击精密复杂并且难以检测。攻击者可能花上几个月,甚至几年的时间来设计、渗透和全面实施。然而,每个供应商的电子邮件泄露攻击都有共同的步骤:

  1. 对供应商和他们的客户群进行深入研究。攻击者可以利用公开信息了解到目标供应商的员工、客户、工作流程、结算周期和其他事项。这个过程可能需要数周或数月才能完成,但研究最终可以帮助攻击者更有说服力地冒充防御者
  2. 向供应商发送网络钓鱼邮件。在对最终目标进行攻击之前,攻击者必须首先获得对目标供应商的电子邮件账户的访问权。为了做到这一点,攻击者经常向供应商发送几封包含恶意链接的钓鱼邮件。
  3. 接管被破坏的账户。一旦攻击者获得对供应商电子邮件账户的访问权,他们就会创建电子邮件转发规则,将相关的电子邮件副本发送到攻击者的收件箱中。从这时起,攻击者将监控收件箱中的相关财务信息,如银行账户、发票明细和付款时间表。
  4. 向供应商的客户发送有针对性的供应商电子邮件攻击。最后一步是设计一个高度复杂且难以检测的鱼叉式网络钓鱼活动电子邮件给供应商的客户,通常是在结算前后。攻击者通常会利用从研究阶段收集到的信息试图说服他们的受害者,说他们欠供应商的钱,并将所谓的“所需付款”发送到攻击者的账户。

供应商电子邮件泄漏攻击会有什么后果?

供应商电子邮件泄漏活动将影响两个不同的受害者 — 被入侵的供应商,以及供应商的客户或供应商。

被入侵的供应商可能会遭遇名誉上的损害,并且由于误付款而造成经济损失。攻击者可以通过将客户的付款重定向到攻击者指定的账户,从而获得本应付给供应商的资金。而一旦攻击活动被发现,如果现有或潜在客户的私人数据被暴露,供应商的声誉可能会受损。

此外,“最终”目标 — 被入侵的供应商账户所指向的客户或供应商 — 可能会遭受巨大的经济损失、服务损失,并且供应链会受损。

供应商电子邮件泄漏攻击的一个例子是 2020 年 12 月对非营利组织 One Treasure Island 的攻击。攻击者冒充第三方记账公司,渗透到现有的电子邮件链中,并发送一封带有替代电汇指示的付款转账请求电子邮件。One Treasure Island 的工作人员将本应支付给合伙人的一大笔款项转入攻击者的账户,损失了 65 万美元。这次攻击给 One Treasure Island 公司造成了财务损失、服务损失,其供应商也受到危害,还给遭到入侵的第三方记账公司带来了声誉和财务损失。

Cloudflare 如何防止供应商的电子邮件遭到入侵?

Cloudflare email security protects against a wide range of attacks, including preventing sophisticated and hard-to-detect targeted vendor email compromise campaigns. This advanced email protection is powered by Cloudflare’s global network, which blocks an average of 86 billion threats a day. As part of the Cloudflare Zero Trust platform, it helps provide continuous, comprehensive security and makes it easy for vendors and organizations to enforce secure, cloud-native, on-premise security solutions.