全球各地的组织长期面临网络钓鱼诈骗的困扰,从针对员工的鱼叉式网络钓鱼到更普遍的预付金诈骗,后者要求支付少量费用作为更大款项的预付金。
最近,一种新技术——供应商电子邮件泄露 (VEC) 给希望保护其用户免遭诈骗的企业造成了更大风险。
与商业电子邮件泄 露 (BEC) 攻击一样,VEC 的工作原理是冒充受信任的第三方,向目标发送看似合法的恶意电子邮件。传统的 BEC 攻击通常声称是组织内部受信任的个人,VEC 则更进一步:他们冒充供应商(或其他受信任的第三方),欺骗目标为虚假发票付款,披露敏感数据,或授权访问公司网络和系统。
根据最近一项调查,98% 的受访企业曾因供应链中的网络安全漏洞而受到负面影响。这给组织造成了严重的代价。例如,在一次攻击中,丰田集团的一家制造商收到恶意第三方的虚假支付指令后,损失了逾 3700 万美元。据联邦调查局报告,BEC 攻击(包括 VEC)在过去五年中总共造成了 430 亿美元的损失。
由于 VEC 极具个性化,要识别一个恶意请求可能异常困难,即使是经验丰富的安全专家也难以识别。而这些攻击正变得越来越普遍,部分原因是全球均转向远程办公和基于云的电子邮件系统,但这些系统可能没有原生的反网络钓鱼功能或未启用该安全功能。
若要防范这些不断变化的网络钓鱼技术,则必须采用多管齐下的电子邮件安全策略,用于检测和标记可疑的电子邮件扩展名与 URL 更改,验证