什麼是企業電子郵件入侵 (BEC)?

企業電子郵件入侵 (BEC) 是一種基於電子郵件的社交工程學攻擊,旨在欺騙受害者。BEC 攻擊活動通常能繞過傳統的電子郵件篩選。

學習目標

閱讀本文後,您將能夠:

  • 定義企業電子郵件入侵 (BEC)
  • 列出 BEC 電子郵件的一些常見功能
  • 描述阻止 BEC 活動的方法

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是企業電子郵件入侵 (BEC)?

企業電子郵件入侵 (BEC) 是一種透過電子郵件進行的社交工程學攻擊。在 BEC 攻擊中,攻擊者偽造電子郵件訊息以誘騙受害者執行某些動作——最常見的是,將資金轉移到攻擊者控制的帳戶或位置。BEC 攻擊在幾個關鍵領域不同於其他類型的電子郵件型攻擊:

  1. 它們不包含惡意軟體、惡意連結或電子郵件附件
  2. 它們針對組織內的特定個人
  3. 它們針對預期受害者進行個人化,並且通常涉及對相關組織的預先研究

BEC 攻擊特別危險,因為它們不包含惡意軟體、惡意連結、危險的電子郵件附件或電子郵件安全性篩選器可能識別的其他元素。BEC 攻擊中使用的電子郵件通常只包含文字,這有助於攻擊者將其隱藏在正常的電子郵件流量中。

除了繞過電子郵件安全性篩選器之外,BEC 電子郵件還經過專門設計,誘騙收件人開啟它們並根據它們包含的訊息採取動作。攻擊者使用個人化來為目標組織定制電子郵件。攻擊者可能會冒充透過電子郵件定期與目標受害者通訊的人。一些 BEC 攻擊甚至發生在已經存在的電子郵件對話中間。

通常,攻擊者會冒充組織中的高層人員來促使受害者執行惡意請求。

為什麼 BEC 攻擊如此難以偵測?

BEC 攻擊難以確定的其他原因可能包括:

  • 它們是低數量的:電子郵件流量中的異常峰值可以提醒電子郵件安全性篩選器注意到正在發生攻擊。但是 BEC 攻擊的數量極少,通常只包含一兩封電子郵件。它們可以在不產生電子郵件流量峰值的情況下執行。這種低數量也使 BEC 活動能夠定期變更其來源 IP 位址,從而更難封鎖活動。
  • 它們使用合法的來源或網域:大規模網路釣魚攻擊的來源 IP 位址通常會快速被列入黑名單。BEC 攻擊由於數量少,可以使用具有中立或良好聲譽的 IP 位址作為其來源。它們還使用電子郵件網域詐騙來使電子郵件看起來好像來自真實的人。
  • 它們可能實際上來自合法的電子郵件帳戶:BEC 攻擊可能會使用以前被入侵的電子郵件收件匣在某人不知情的情況下以他們的名義傳送惡意郵件,因此電子郵件實際上可能來自合法的電子郵件地址。(這需要攻擊者付出更多的努力,但這種集中精力的花費是 BEC 活動的特徵。)
  • 它們能通過 DMARC 檢查:基於網域的郵件驗證、報告和一致性 (DMARC) 是一種通訊協定,用於識別未經授權從網域傳送的電子郵件。它有助於防止冒充網域。BEC 活動可以通過 DMARC 有幾個原因:1) 組織可能將 DMARC 設定為嚴格封鎖電子郵件;2) 攻擊者可能從合法來源傳送電子郵件。

BEC 電子郵件通常包含什麼內容?

通常,BEC 電子郵件包含幾行文字,不包含連結、附件或影像。在這幾行文字中,他們的目的是讓目標採取他們想要的動作,可能是將資金轉移到特定帳戶,或是授予對受保護資料或系統的未經授權的存取權限。

BEC 電子郵件的其他常見元素可能包括:

  • 時間敏感性:像「緊急」、「快速」、「提醒」、「重要」和「很快」這樣的詞經常出現在 BEC 電子郵件中,尤其是在主旨行中,以讓收件者盡快採取行動——在他們意識到自己可能成為騙局的目標之前。
  • 权威寄件者:BEC 攻击者冒充组织中的重要人物,例如 CFO 或 CEO。
  • 徹底冒充寄件者:BEC 電子郵件可能透過偽造電子郵件地址、模仿個人的寫作風格或使用其他策略,冒充合法發件人(例如,組織的 CFO),欺騙他們的受害者。
  • 提供請求的理由:有時,為了給可能是不尋常的請求增加合法性,BEC 電子郵件會提供一些理由,說明為什麼必須採取動作。這也增加了請求的緊迫性。
  • 具體指示:攻擊者會提供明確的指示,例如錢的去向以及應該轉賬多少——具體的金額聽起來更可能是合法的。攻擊者可能會將此資訊包含在初始電子郵件中,或者當受害者回覆時,包含在後續電子郵件中。
  • 不聯繫名義寄件者的指示:如果預期的受害者能夠透過另一個通訊渠道聯繫到名義上的 BEC 電子郵件的來源,他們可能能夠識別出該電子郵件是假的。為了防止這種情況,攻擊者往往指示受害者不要與寄件者聯繫,或與其他人確認請求,也許是以需要快速行動作為理由。

安全電子郵件閘道 (SEG) 能否封鎖 BEC 活動?

安全電子郵件閘道 (SEG) 是一種電子郵件安全服務,位於電子郵件提供者和電子郵件使用者之間。它們識別並篩選掉潛在的惡意電子郵件,就像防火牆移除惡意網路流量一樣。SEG 在大多數電子郵件提供者已經提供的內建安全性措施之上提供額外的保護(例如,Gmail 和 Microsoft Outlook 已經具備一些基本的保護措施)。

然而,由於上述原因,傳統的 SEG 難以偵測結構良好的 BEC 活動:數量少、缺乏明顯的惡意內容、看似合法的電子郵件來源等等。

出於這個原因,使用者培訓和額外的電子郵件安全措施對於阻止企業電子郵件入侵非常重要。

當使用者懷疑出現 BEC 活動時應該怎麼做?

不尋常的、意外的或突然的請求表明可能存在 BEC 攻擊。使用者應該向安全營運團隊報告潛在的 BEC 郵件。他們還可以與聲稱的電子郵件來源進行反复核實。

想像一下,會計 Bob 收到 CFO Alice 的一封電子郵件:

Bob,

我需要給一個客戶發送一些他最喜歡的比薩店的禮品卡。請購買 10,000 美元的比薩禮品卡,並將它們轉移到這位客戶的電子郵件地址:customer@example.com。

請盡快完成這項工作。這具有高度的時間敏感性。我們不希望失去這位客戶。

我正在登機,在接下來的幾個小時內將無法聯繫上。

-Alice

這個請求讓 Bob 覺得很不尋常:向客戶提供披薩禮品卡通常不是會計部門的工作。他打電話給 Alice,以防萬一她還沒有「登機」。她接聽了電話,而且並不清楚她給他傳送請求的事情。她也沒有在登機。於是,Bob 偵測到了一次 BEC 攻擊。

還有哪些技術措施可以偵測和封鎖 BEC 攻擊?

進階網路釣魚基礎結構偵測

一些電子郵件安全提供者會提前爬行 Web 以偵測命令和控制 (C&C) 伺服器、虛假網站以及攻擊者將在 BEC 活動或網路釣魚攻擊中使用的其他元素。這需要使用網路爬蟲機器人來掃描網際網路的大片區域(搜尋引擎也使用網路爬蟲機器人,但目的不同)。提前識別攻擊基礎結構讓提供者能夠在非法電子郵件傳送時立即封鎖它們,即使它們原本可能會通過安全性篩選器。

機器學習分析

機器學習是一種方法,會基於大型資料集自動預測結果。它可用於偵測異常活動——例如,Cloudflare 機器人管理使用機器學習作為識別機器人活動的一種方法。為了阻止 BEC 攻擊,機器學習可以幫助識別異常請求、非典型電子郵件流量模式和其他異常情況。

分析電子郵件對話

由於 BEC 攻擊者經常嘗試回覆現有對話以增加其電子郵件的合法性,因此一些電子郵件安全性提供者會監視對話以查看對話中的「寄件者」或「收件者」電子郵件是否突然變更。

自然語言處理

這意味著在電子郵件中尋找關鍵片語,以瞭解一組給定的電子郵件聯絡人通常對應的主題。例如,可以追蹤組織中的特定人員與誰就匯款、客戶關係或任何其他主題通訊。如果 Bob 收到的電子郵件(來自上面的範例)很少涉及客戶關係,那麼在來自「Alice」的電子郵件中包含「客戶」和「失去這個客戶」等片語可能表明該電子郵件是 BEC 攻擊的一部分。

Cloudflare Area 1 電子郵件安全如何偵測 BEC?

Cloudflare Area 1 電子郵件安全旨在擷取大多數 SEG 無法偵測到的 BEC 攻擊。它使用上述多種方法來執行此操作:在網際網路上爬行攻擊基礎結構、採用機器學習分析、分析電子郵件對話、分析電子郵件內容等。

電子郵件仍然是最大的攻擊媒介之一,這使得電子郵件安全對如今的組織更加重要。深入瞭解 Cloudflare Area 1 電子郵件安全如何運作