BEC 攻击的成本越来越高

了解传统的电子邮件安全为何不起作用

事实证明,BEC 攻击代价高昂

去年,网络犯罪分子利用基于电子邮件的攻击,从新罕布什尔州彼得伯勒镇盗走 230 万美元。更糟糕的是,这些损失是同一犯罪团伙分两次攻击所盗,因此,如果彼得伯勒的金融部门更早发现漏洞,就可以将损失降到最低。

但金融部门毫不怀疑这些邮件也是事出有因。这些电子邮件不仅绕过了过滤器,而且看起来完全合法。邮件中没有语法错误,没有陌生发件人,也没有与恶意邮件有关的可疑链接。攻击者利用一些精密部署的邮件,成功冒充了一个学区,后来又冒充一家建筑公司,将数百万市政资金转移到他们自己的账户。

彼得伯勒的金融部门成为一个高度针对性、难以检测的骗局的受害者,这种骗局称为商业电子邮件入侵 (BEC)

BEC 是一种不依靠恶意链接或恶意软件的网络钓鱼方法。这类攻击通常包括一到两封电子邮件,攻击者会冒充可信赖的已知实体(供应商、员工等),诱骗收件人向攻击者控制的账户发送资金。

由于极具针对性,因此,BEC 不是最常见的电子邮件攻击类型,但可能是最具破坏性的一类。在 3100 万个基于电子邮件的威胁样本中,Cloudflare 发现 BEC 的攻击数量最低,仅占 1.34%,但估计造成了 3.54 亿美元的损失——平均单次攻击损失约 150 万美元。

攻击者越来越善于利用信任,传统的电子邮件安全策略却无法有效防止 BEC。为了保护组织及其员工,组织需要采取现代、主动的策略。例如,先发制人地识别并摧毁攻击者的基础设施,可以尽早阻止 BEC 攻击,将其扼杀在摇篮里。同时,上下文分析可以标记出绕过过滤器或来自内部被盗账户的邮件。这些现代化的电子邮件安全策略可以保护企业免于这种成本高昂的攻击。


传统的电子邮件安全策略为何不起作用

传统的电子邮件安全策略并非为应对 BEC 攻击而构建,最终导致组织易受攻击。这些策略包括:

  • 内置过滤器和安全电子邮件网关 (SEG):Microsoft 或 Google 等供应商的内置电子邮件过滤器更适用于识别垃圾邮件,不易识别 BEC 企图。安全电子邮件网关 (SEG) 虽会过滤掉一些可疑的电子邮件,但也很难识别 BEC,并且与内置的电子邮件功能有很多重叠(因此它们其实是多余的)。

  • 电子邮件身份验证:设置发送方策略框架 (SPF)、域名密钥识别邮件 (DKIM) 和基于域名的邮件身份验证报告和一致性 (DMARC) 记录可帮助防止电子邮件欺骗。然而,这些措施对来自合法账户的电子邮件不起作用,这在 BEC 中很常见。

  • 员工警惕性:Cloudflare 发现,用户报告的电子邮件中,92% 被认为不是恶意邮件。如此高的误报导致安全团队出现警报疲劳。


BEC 的类型及其与垃圾邮件的区别

BEC 诈骗的具体细节和造成的损害因类型而异,但它们全都是利用信任:

  • 假冒高管发件人或其域名:这些电子邮件利用高管作为诱饵。攻击者冒用高管的姓名和/或目标公司的域名。然后,攻击者冒充高管,要求员工进行金融交易,例如汇钱或购买礼品卡。

  • 泄漏的员工账户:这类内部账户的接管更为复杂,使用泄漏的员工账户作为入口点。攻击者通过接管真实存在的员工账户(通常通过盗用密码),冒充该员工,要求同事(受害者)帮助完成某项金融交易。

  • 冒充供应商/提供商:在这种攻击中,网络犯罪分子冒充与目标组织建立了关系的供应商或提供家。由于假冒的发件人不在组织内部,粗心的受害者可能不会注意到这些明显的迹象。

  • 供应商/提供商遭遇入侵/渗透:这是最先进的 BEC 类型,可能需要几个月才会执行攻击。这些攻击首先通过接管一个或多个电子邮件账户入侵供应链合作伙伴或供应商。攻击者默默观察合法的电子邮件线程,然后适时插入对话中,请求向由攻击者控制的账户付款。在此类供应链攻击中,有些受害者可能甚至不知道他们遭受了财务损失,直到未来审计时才会发现。

所有这些攻击类型都有一些共同特征,包括社会工程学和制造紧迫感。在攻击者的操纵下,收件人不仅信任他们,而且行动迅速,让他们还来不及怀疑。通常,他们提供的理由是,在完成要求的任务之前,收件人不应提出后续问题。例如,一封据称来自首席执行官的攻击邮件可能会说自己正在赶飞机,未来几小时内无法回复。

而且这些攻击极具针对性、数量少,往往可以绕过现有的电子邮件过滤器,因为这些过滤器依靠大量攻击来汇总数据。问题因而变得更加复杂。为了使威胁策略发挥作用,电子邮件过滤器需要这些数据来“学习”,应将域名、IP 和恶意软件等视为可疑的东西。虽然这有助于过滤掉传统的垃圾邮件,但要精确识别 BEC 攻击,这还远远不够。攻击者可以创建全新的电子邮件地址、假冒域名,或接管合法的电子邮件账户——所有这些方式都不可能被内置的电子邮件安全功能发现。


设计现代的电子邮件安全方法

为了有效打击 BEC 攻击,公司应根据下列原则制定策略:

  • 主动防御:而不是等待恶意邮件进入员工收件箱,预测技术可以扫描攻击者的基础设施(例如全新的电子邮件地址或虚假域名),并先发制人,阻止发件人。这可以降低员工在攻击者被发现之前即处理其电子邮件的风险。

  • 上下文分析:例如,自然语言处理 (NLP) 技术可以分析邮件的情绪,这可能有助于确定“制造紧迫感”的语言。此外,计算机视觉技术可以帮助发现经常协助攻击的钓鱼网站。其他解决方案包括线程分析(攻击者插入现有线程中时,这可能会有帮助),以及分析发件人资料,确定他们带来的风险。

  • 持续保护:在收到电子邮件时过滤是不够的,特别是有些邮件必然会绕过过滤器。此外,恶意邮件往往只是更大攻击中的一环,所以保护不能局限于收件箱。例如,如果一封恶意邮件逃过了过滤器,而一名员工点击了其中一个可疑链接,那么网页就会在一个隔离的远程浏览器中加载,从而保护该员工及其设备。此类持续保护对于执行更全面的安全策略(例如 Zero Trust)必不可少。

  • 多模式部署:一些电子邮件安全解决方案(例如 SEG)必须内联部署,这意味着改变邮件交换记录(将电子邮件导向邮件服务器的 DNS 记录)。这种方法对外部电子邮件的效果最好,因为它位于员工的收件箱之前,检查所有传入和传出的邮件。另一方面,API 部署的解决方案在设置时通常更快。然而,仅有 API 的方法有一个缺点,即不能先发制人阻止攻击,因此员工有可能在邮件被摧毁之前既已采取行动。最好是多模式部署(或可支持内联或 API 部署),因为可以保护团队免于内部和外部威胁,以及交付前和交付后的邮件。

  • 面向未来和自动化:寻找不依赖硬件(硬件可能维护成本高昂,或可能随着时间的推移而老化)、自动处理事件报告(将时间归还给安全团队),并且不需要手动创建大量威胁策略(这会减慢保护速度,且永远无法全面考虑到所有可能的威胁)的解决方案。

构建在这些原则基础上的现代电子邮件安全策略将在攻击周期的各个阶段全面防范 BEC 攻击和其他形式的网络钓鱼,更好地保护组织资源和数据。


先发制人阻止网络钓鱼攻击

Cloudflare 提供云原生电子邮件安全,主动识别攻击者的基础设施,同时持续防范 BEC 和其他形式的电子邮件攻击。

Cloudflare Zero Trust 平台确保应用程序和员工浏览活动的安全,阻止恶意软件、网络钓鱼和数据丢失。将电子邮件安全与 Zero Trust 服务集成,可以消除电子邮件的隐含信任,帮助客户阻止 BEC 和网络钓鱼攻击。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。



关键要点

阅读本文后,您将能够了解:

  • BEC 攻击增长背后的原因

  • BEC 攻击与垃圾邮件有何不同

  • 为什么传统的电子邮件安全策略无法抵御 BEC 攻击

  • 如何将电子邮件安全策略现代化,防止 BEC


相关资源


深入探讨这个话题。

进一步了解使用 Cloudflare 创建一个主动的电子邮件安全方法

Request a free phishing risk assessment

接收有关最流行互联网见解的每月总结。