假冒行为正在欺骗企业
这种不断增长的威胁的三个现实示例
基于电子邮件的名称假冒攻击是商业电子邮件泄露 (BEC) 的一种演变形式,它会欺骗收件人,使其相信电子邮件来自可信来源。Cloudflare 每天都会检测、识别并缓解客户收件箱中基于电子邮件的名称假冒攻击。虽然其中绝大多数邮件基本上都是欺诈内容,例如要求员工购买礼品卡;但更复杂的攻击则采用新方法,利用社会工程学和 OSINT 来撰写越来越引人注目的网络钓鱼电子邮件。
您可能见过类似以下的网络钓鱼邮件。在本例中,有人冒充员工,并要求收件人更改其工资存款的银行信息。
图片来源:Cloudflare Email Security
此次攻击及类似攻击利用了目标用户的基本信息,例如姓名和职位,这些信息均从领英 (LinkedIn) 或其他社交媒体平台获取。这些邮件通常会一次性群发给许多不同企业和用户,这是一种“广撒网”的方式。
一种更复杂的名称假冒攻击形式称之为 VIP/供应商假冒组合。在此示例中,攻击者注册了一个冒充合法供应商的虚假域名。攻击者还创建了一个电子邮件地址,假冒目标企业中的 VIP。攻击者创建了来自假定供应商的虚假电子邮件线程,要求支付发票款项。
图片来源:Cloudflare Email Security
当伪造的线程授予请求权限时,这些邮件可能会特别危险。一般�而言,这些攻击比群发邮件诱使收件人更改其直接存款信息的攻击更有针对性。攻击者往往会花费更多时间来研究攻击目标所处的环境。如果账户被盗用,威胁行为者可以读取攻击目标的最新电子邮件,并更有能力使其请求合法化。我们来看一个使用此类策略的更复杂的名称假冒示例。
图片来源:Cloudflare Email Security
在此示例中,我们设定的威胁行为者假冒员工,使用的邮件域几乎与合法域相同。此外,他们还通过入侵发件人的电子邮件帐户,劫持了两家公司之间的现有电子邮件线程。
这是一种极其危险且具有针对性的名称假冒形式:“供应商入侵”。此类攻击会运用上述所有策略,包括 VIP 假冒、供应商假冒,以及利用从遭受入侵的供应商账户收集的信息。在这种情况下,客户面临着巨大的经济风险。值得庆幸的是,Cloudflare 可以向客户发出警报,以便客户能够在遭受损害之前及时采取行动。
随着名称假冒攻击的不断发展,至关重要的是认识到这些攻击可能会给企业带来的风险。毕竟,电子邮件仍然是入侵企业的首要攻击手段。
Cloudflare Email Security 采用高级机器学习和人工智能技术,可实时发现恶意行��为者用于绕过传统解决方案的新策略。阅读《2023 年网络钓鱼威胁报告》,了解更多最新威胁趋势和防范网络钓鱼攻击得逞的建议。如需了解 Cloudflare Email Security 的实际应用,请获取免费的网络钓鱼风险评估。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
作者
Adam Leverette — @adam-leverette
Cloudflare 威胁响应工程师
关键要点
阅读本文后,您将能够了解:
恶意行为者如何通过假冒,伪装成合法用户
3 种常见的名称假冒类型
为什么传统电子邮件安全产品无法区分此类攻击