企業電子郵件入侵 (BEC) 是一種基於電子郵件的社交工程學攻擊,旨在欺騙受害者。BEC 攻擊活動通常能繞過傳統的電子郵件篩選。
閱讀本文後,您將能夠:
複製文章連結
企業電子郵件入侵 (BEC) 是一種透過電子郵件進行的社交工程學攻擊。在 BEC 攻擊中,攻擊者偽造電子郵件訊息以誘騙受害者執行某些動作——最常見的是,將資金轉移到攻擊者控制的帳戶或位置。BEC 攻擊在幾個關鍵領域不同於其他類型的電子郵件型攻擊:
BEC 攻擊特別危險,因為它們不包含惡意軟體、惡意連結、危險的電子郵件附件或電子郵件安全性篩選器可能識別的其他元素。BEC 攻擊中使用的電子郵件通常只包含文字,這有助於攻擊者將其隱藏在正常的電子郵件流量中。
除了繞過電子郵件安全性篩選器之外,BEC 電子郵件還經過專門設計,誘騙收件人開啟它們並根據它們包含的訊息採取動作。攻擊者使用個人化來為目標組織定制電子郵件。攻擊者可能會冒充透過電子郵件定期與目標受害者通訊的人。一些 BEC 攻擊甚至發生在已經存在的電子郵件對話中間。
通常,攻擊者會冒充組織中的高層人員來促使受害者執行惡意請求。
BEC 攻擊難以確定的其他原因可能包括:
通常,BEC 電子郵件包含幾行文字,不包含連結、附件或影像。在這幾行文字中,他們的目的是讓目標採取他們想要的動作,可能是將資金轉移到特定帳戶,或是授予對受保護資料或系統的未經授權的存取權限。
BEC 電子郵件的其他常見元素可能包括:
安全電子郵件閘道 (SEG) 是一種電子郵件安全服務,位於電子郵件提供者和電子郵件使用者之間。它們識別並篩選掉潛在的惡意電子郵件,就像防火牆移除惡意網路流量一樣。SEG 在大多數電子郵件提供者已經提供的內建安全性措施之上提供額外的保護(例如,Gmail 和 Microsoft Outlook 已經具備一些基本的保護措施)。
然而,由於上述原因,傳統的 SEG 難以偵測結構良好的 BEC 活動:數量少、缺乏明顯的惡意內容、看似合法的電子郵件來源等等。
出於這個原因,使用者培訓和額外的電子郵件安全措施對於阻止企業電子郵件入侵非常重要。
不尋常的、意外的或突然的請求表明可能存在 BEC 攻擊。使用者應該向安全營運團隊報告潛在的 BEC 郵件。他們還可以與聲稱的電子郵件來源進行反复核實。
想像一下,會計 Bob 收到 CFO Alice 的一封電子郵件:
Bob,
我需要給一個客戶發送一些他最喜歡的比薩店的禮品卡。請購買 10,000 美元的比薩禮品卡,並將它們轉移到這位客戶的電子郵件地址:customer@example.com。
請盡快完成這項工作。這具有高度的時間敏感性。我們不希望失去這位客戶。
我正在登機,在接下來的幾個小時內將無法聯繫上。
-Alice
這個請求讓 Bob 覺得很不尋常:向客戶提供披薩禮品卡通常不是會計部門的工作。他打電話給 Alice,以防萬一她還沒有「登機」。她接聽了電話,而且並不清楚她給他傳送請求的事情。她也沒有在登機。於是,Bob 偵測到了一次 BEC 攻擊。
一些電子郵件安全提供者會提前爬行 Web 以偵測命令和控制 (C&C) 伺服器、虛假網站以及攻擊者將在 BEC 活動或網路釣魚攻擊中使用的其他元素。這需要使用網路爬蟲機器人來掃描網際網路的大片區域(搜尋引擎也使用網路爬蟲機器人,但目的不同)。提前識別攻擊基礎結構讓提供者能夠在非法電子郵件傳送時立即封鎖它們,即使它們原本可能會通過安全性篩選器。
機器學習是一種方法,會基於大型資料集自動預測結果。它可用於偵測異常活動——例如,Cloudflare 機器人管理使用機器學習作為識別機器人活動的一種方法。為了阻止 BEC 攻擊,機器學習可以幫助識別異常請求、非典型電子郵件流量模式和其他異常情況。
由於 BEC 攻擊者經常嘗試回覆現有對話以增加其電子郵件的合法性,因此一些電子郵件安全性提供者會監視對話以查看對話中的「寄件者」或「收件者」電子郵件是否突然變更。
這意味著在電子郵件中尋找關鍵片語,以瞭解一組給定的電子郵件聯絡人通常對應的主題。例如,可以追蹤組織中的特定人員與誰就匯款、客戶關係或任何其他主題通訊。如果 Bob 收到的電子郵件(來自上面的範例)很少涉及客戶關係,那麼在來自「Alice」的電子郵件中包含「客戶」和「失去這個客戶」等片語可能表明該電子郵件是 BEC 攻擊的一部分。
Cloudflare Area 1 電子郵件安全旨在擷取大多數 SEG 無法偵測到的 BEC 攻擊。它使用上述多種方法來執行此操作:在網際網路上爬行攻擊基礎結構、採用機器學習分析、分析電子郵件對話、分析電子郵件內容等。
電子郵件仍然是最大的攻擊媒介之一,這使得電子郵件安全對如今的組織更加重要。深入瞭解 Cloudflare Area 1 電子郵件安全如何運作。
入門
電子郵件安全性基礎知識
網路釣魚和垃圾郵件
電子郵件通訊協定
字彙
學習中心導覽