廠商電子郵件入侵剖析

緩慢的攻擊，巨大的付出

企業電子郵件入侵 (BEC) 攻擊已經演變

從針對員工的魚叉式網路釣魚，到更普遍的預付費欺詐（要求支付少量費用以換取較大的利益），網路釣魚詐騙長期以來一直困擾著全球各地的組織。

最近，一種稱為廠商電子郵件入侵 (VEC) 的新技術讓企業在保護使用者免受詐騙方面增加了風險。

與企業電子郵件入侵 (BEC) 攻擊一樣，VEC 的運作方式是冒充受信任的第三方並向目標傳送看似合法但惡意的電子郵件。雖然傳統的 BEC 攻擊通常聲稱來自組織內受信任的個人，但 VEC 更進一步：它冒充廠商（或其他受信任的第三方）以誘騙目標支付欺詐性發票、洩露敏感性資料或授予對到公司網路和系統的存取權限。

根據最近的一項調查，98% 的受訪公司都受到了供應鏈中發生的網路安全漏洞的負面影響。組織的成本很高。在一次攻擊中，Toyota Group 的一家製造商因惡意第三方的欺詐性付款指示而損失超過 3700 萬美元。總體而言，FBI 報告稱，BEC 攻擊（VEC 是其中的一部分）在過去五年中總共造成了 430 億美元的損失。

由於 VEC 的個人化特性，識別惡意請求可能非常困難——即使對於經驗豐富的安全專業人員也是如此。這些攻擊正變得越來越普遍，部分原因是全球轉向雲端工作和基於雲端的電子郵件系統，這些系統可能沒有原生自帶或啟用抵禦網路釣魚的安全功能。

要領先於這些不斷發展的網路釣魚技術，需要一個多管齊下的電子郵件安全策略，旨在偵測和標記可疑的電子郵件擴充功能和 URL 變更、驗證網域名稱並嚴格審查第三方請求。

VEC 如何運作

廠商電子郵件入侵（也稱為「金融供應鏈入侵」）在本質上比標準 BEC 攻擊更複雜且更有針對性，後者不一定必須針對個人量身定制才能起作用。

在 BEC 攻擊中，攻擊者冒充組織內的特定個人——通常是 CEO 或有權勢的人。然後，他們將來自該個人的請求傳送到組織內的多個目標。

例如，攻擊者可能會自稱是公司 CEO，並向員工傳送通用付款要求。儘管這些要求聽起來合法，但如果員工親自向實際 CEO 確認請求，則相對容易反駁。

相比之下，VEC 通常需要對現有企業關係有更深入的瞭解，例如正在進行的專案詳細資料、預算資料和財務交易排程。此研究過程可能需要數周至數月，但攻擊者的潛在回報遠大於更普遍的攻擊方法，因為目標可能需要更長的時間來識別攻擊和阻止付款通過。

一旦攻擊者說服他們的目標與他們進行互動，他們就可以執行進一步的惡意動作：要求支付虛假發票、篡改賬單帳戶詳細資料、收集有關目標組織的敏感性資訊等等。

上圖展示了一個 VEC 攻擊順序，其中攻擊者滲入廠商的電子郵件帳戶以執行欺詐性支付請求。

VEC 如何在現實世界中發揮作用

在最近的一系列攻擊中，FBI 發現攻擊者冒充美國建築公司——該產業年平均收入為 1.9 萬億美元。攻擊者研究了該國的頂級建築公司，並收集了有關這些公司客戶群的公開和私人資料。

然後，攻擊者使用網域詐騙來建立電子郵件帳戶，他們可以從中發起與目標組織的欺詐性通訊，通常要求變更銀行帳戶詳細資料。使用 VEC 策略，他們為每個目標定制電子郵件訊息、發票請求和直接存款變更（基於他們已經收集的資料），攻擊者騙取了組織「數十萬至數百萬美元」。

FBI 指出，受害者通常需要「數天或數週」才能注意到攻擊已經發生。追回財務的選擇也很有限：當一個學區錯誤地將 840,000 美元電匯給一家欺詐性建築公司時，他們只能追回被盜資金中的 5,000 美元。

如何識別 VEC 嘗試

與大多數進階網路釣魚攻擊一樣，VEC 很難偵測到。攻擊者經常使用多種攻擊方法的組合來使他們的郵件看起來真實，無論是透過偽造信譽良好的廠商的網域，還是透過提供可能不是公開資訊的詳細資料以「證明」他們的合法性。

VEC 攻擊通常能逃避偵測的三個主要原因是：

1. 最初的供應商或廠商並沒有意識到他們受到損害。

2. 該活動在很長一段時間內以及多個電子郵件對話中進行，其中大多數對話都是良性的，缺乏惡意負載。

3. 號召性用語（例如支付經常性發票）不會被標記為可疑，因為它們聽起來正常且不緊急。

為了防止 VEC，組織需要一個安全合作夥伴來幫助驗證內送電子郵件並緩解欺詐活動。預防 VEC 的一些有用策略包括：

• 進行電子郵件設定以識別和封鎖網路釣魚嘗試。使用嚴格的安全通訊協定掃描和標記惡意電子郵件訊息。

  • 使用寄件者原則架構 (SPF)、網域金鑰識別郵件 (DKIM) 和基於網域的郵件驗證、報告與一致性 (DMARC) 等電子郵件驗證通訊協定，防止電子郵件詐騙

  • 棄用較不安全的電子郵件通訊協定，例如 POP、IMAP 和 SMTP

  • 使用入侵偵測系統 (IDS) 規則標記看起來可疑的 URL

  • 使用多重要素驗證 (MFA) 驗證第三方存取和帳戶層級變更要求（例如密碼重設）

• 審查第三方交易請求。在核准轉賬請求之前，請與相關方核實所有交易資訊和賬戶詳細資料。此外，當現有廠商修改了銀行資訊時，應加入正式的審查和核准流程。

• 就新出現的騙局對員工進行教育。網路釣魚技術不斷發展以規避緩解措施。定期對員工進行電子郵件威脅常見跡象的教育，以降低攻擊成功的可能性。

  • 強制執行貴組織為識別電子郵件攻擊而制定的任何緩解方法和內部流程。

  • 培訓使用者檢查電子郵件中是否存在常見的網路釣魚元素——網域名稱拼字錯誤、包含真實 URL 變體的超連結（例如「RealCo.com」而不是「RealCompany.com」）等。

  • 鼓勵員工養成良好的電子郵件檢疫習慣——不要回應未經請求的或緊急的個人或財務資訊電子郵件請求。

使用 Cloudflare 偵測和預防 VEC

Cloudflare 電子郵件安全性可防範各種攻擊，包括針對性的長期廠商電子郵件入侵嘗試。它結合了網路爬行、模式分析和進階偵測技術，可掃描網際網路中的攻擊者基礎結構、分析訊息以識別可疑元素，並封鎖網路釣魚電子郵件使其無法到達收件匣。

這項進階電子郵件保護由 Cloudflare 的全球網路提供支援，每天平均可封鎖 112 十億個網路威脅，為組織提供獨特的威脅情報資料，讓他們能夠更有效地篩除針對性的網路釣魚攻擊和其他網路威脅。而且，作為 Cloudflare Zero Trust 平台的一部分，它有助於為遠端和辦公室使用者提供持續、全面的安全性。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章，本文為其一。

重點

閱讀本文後，您將能夠瞭解：

• VEC 攻擊如何滲入組織

• VEC 攻擊的警告跡象

• 識別和阻止複雜網路釣魚詐騙的策略

相關資源

• 網路釣魚風險評估

• 網路研討會：網路釣魚和企業電子郵件入侵

• 始於一次網路釣魚：2021 年電子郵件安全性報告

• 資料表：Cloudflare 電子郵件安全性