BEC 攻擊造成的損失越來越高
瞭解傳統的電子郵件安全性為何無法提供幫助
事實證明,BEC 攻擊代價高昂
去年,網路罪犯利用基於電子郵件的攻擊從新罕布夏州彼得伯勒鎮偷走了 230 萬美元。更糟糕的是,損失是由同一犯罪團夥的兩次獨立攻擊造成,這意味著如果彼得伯勒的財務部門早點意識到錯誤,他們本可以將損失降到最低。
但是,部門沒有質疑這些郵件是有原因的。這些電子郵件不僅繞過篩選器,而且看起來也完全合法。這些郵件並未涉及語法錯誤、陌生的�寄件者或與惡意電子郵件相關的可疑連結。攻擊者利用一些戰略性的訊息,成功偽裝成一個學區,後來又偽裝成一家建築公司,將數百萬美元的市政資金轉入自己的帳戶。
彼得伯勒財務部門成為了一場高度針對性且難以偵測的騙局的受害者,這種騙局稱為企業電子郵件入侵 (BEC)。
BEC 是一種不依賴惡意連結或惡意程式碼的網路釣魚策略。這些攻擊通常包含一到兩封電子郵件,攻擊者假裝成已知且受信任的實體、供應商、員工等,誘騙收件者向攻擊者控制的帳戶轉入資金。
由於其具有針對性的性質,BEC 並不是最常見的電子郵件攻擊類型,但它可能是最具破壞性的攻擊之一。在一個包含 3100 萬次電子郵件型威脅的樣本中,Cloudflare 發現 BEC 的攻擊量最低,為 1.34%,但造成的損失估計為 3.54 億美元,每次攻擊平均損失約為 150 萬美元。
攻擊者越來越擅長利用信任,而傳統的電子郵件安全性卻並不能防止 BEC。為了保護自己和他們的員工,組織需要現代化的主動策略。例如,先發制人地識別和消除攻擊者基礎結構可以在發動攻擊之前封鎖 BEC 攻擊。同時,情境分析可以標記繞過篩選器或來自內部遭入侵帳戶的郵件。利用這類策略對電子郵件安全性進行現代化改造,可以保護組織免受這些代價昂貴的攻擊。
傳統電子郵件安全性有何不足
傳統的電子郵件安全策略並非構建用於處理 BEC 攻擊,因而最終會使組織容易受到攻擊。這些策略包括:
內建篩選器和安全電子郵件閘道 (SEG):由 Microsoft 或 Google 等提供者提供的內建電子郵件篩選更適合用於識別垃圾郵件,而非 BEC。。安全電子郵件閘道 (SEG) 也可以篩選掉可疑電子郵件,但也很難識別 BEC,而且與內建的電子郵件功能有重大重疊(這也使它們變得多餘)。
電子郵件驗證:設定寄件者原則架構 (SPF)、網域金鑰識別郵件 (DKIM) 和基於網域的郵件驗證、報告與一致性 (DMARC) 記錄可協助防止電子郵件詐騙。但是,這些措施不適用於來自合法帳戶的電子郵件,這是 BEC 中通常會出現的情況。
員工警惕:Cloudflare 發現,92% 由使用者舉報的電子郵件最終並非惡意郵件。這種大量的誤判會為安全性帶來警示疲勞。
BEC 的類型以及它們與垃圾郵件的區別
BEC 詐騙的具體細節及其造成的損害因類型而異,但所有這些詐騙都會利用信任:
偽造的高管寄件者或網域:這些電子郵件使用高管作為誘餌。攻擊者偽造高管的姓名和/或目標公司的網域。然後,攻擊者冒充高管,要求員工進行金融交易,例如匯款或購買禮品卡。
遭入侵的員工帳戶:這種類型的內部帳戶盜用使用遭入侵的員工帳戶作為切入點,進一步提高了複雜程度。透過盜用實際員工的帳戶(通常是透過被盜密碼),攻擊者冒充員工並要求同事(受害者)幫助完成金融交易。
冒充廠商/供應商:在此攻擊中,網路罪犯冒充正在與目標組織進行交易往來的供應商或廠商。由於偽造的寄件者在組織之外,粗心的受害者可能不會注意到這些跡象。
遭到入侵的廠商/被滲透的供應商:這是最進階的 BEC 類型,可能需要數月的時間才能執行。這些攻擊首先會透過一或多個電子郵件帳戶盜用,入侵一家供應鏈合作夥伴或廠商。攻擊者默默地觀察合法的電子郵件對話,然後在適當的時刻插入對話,將付款請求轉移到攻擊者控制的帳戶。在其中一些供應鏈攻擊中,受害人甚至可能直到在未來進行稽核時才知道他們遭受了經濟損失。
所有這些攻擊類型都可能有一些共同的特徵,包括社交工程和製造緊迫性。攻擊者不僅要讓收件者信任他們,還要在他們變得可疑之前迅速採取行動。通常,他們會提供收件者在完成所請求的任務之前不應詢問後續問題的原因。例如,一封據稱來自 CEO 的攻擊電子郵件可能會說他們正在登機,將在幾個小時內無法聯絡。
使問題進一步複雜化的是,由於這些攻擊針對性強且數量少,因而通常會繞過現有的電子郵件篩選器,這些篩選器依賴於高攻擊量來彙總資料。為了使威脅原則發揮作用,電子郵件篩選器需要此資料來「知曉」哪些網域、IP 和惡意程式碼等內容應被視為可疑。雖然這有助於篩選掉傳統的垃圾郵件,但不足以抵禦精密的 BEC 攻擊。攻擊者可以建立全新的電子郵件地址、偽造網域或盜用合法的電子郵件帳戶——所有這些都不可能被內建的電子郵件安全功能捕獲。
設計現代化的電子郵件安全性方法
為了有效地對抗 BEC 攻擊,公司應根據以下原則制定策略:
主動防禦:預測技術可以掃描攻擊者的基礎結構(例如全新的電子郵件地址或欺詐網域),並搶先封鎖寄件者,而不是等待惡意電子郵件進入員工的收件匣。這樣可以降低在偵測到攻擊者電子郵件之前讓員工接觸到此類電子郵件的風險。
情境分析:例如,自然語言處理 (NLP) 技術可以分析訊息情感,這可能有助於精確定位「緊急」語言。此外,電腦視覺技術可協助發現經常用於補充攻擊的網路釣魚網站。其他解決方案包括對話分析(當攻擊者插入現有對話時可能會有所幫助)以及分析寄件者設定檔以確定其構成的風險。
持續保護:在郵件到達時進行篩選是不夠的,特別是因為有些電子郵件不可避免地會繞過篩選器。此外,惡意電子郵件通常只是大型攻擊的一部分,因此收件匣以外的保護非常重要。例如,假設惡意電子郵件通過了篩選器,而且員工點擊了可疑連結,則可以在隔離的遠端瀏覽器中載入該網頁,從而保護員工及其裝置。這種類型的持續保護對於執行更全面的安全策略(例如 Zero Trust)是必要的。
多模式部署:某些電子郵件安全解決方案(例如 SEG)必須內嵌部署,這意味著要變更郵件交換記錄(將電子郵件導向到郵件伺服器的 DNS 記錄)。此方法最適合外部電子郵件,因為它位於員工收件匣前方,並檢查所有內送和外寄郵件。另一方面,API 部署解決方案通常設定速度更快。但是,僅限 API 方法的缺點是無法搶先發現攻擊,可能在消除電子郵件之前員工已經採取動作。多模式部署(或可支援內嵌或 API 部署的部署)是最好的,因為它可以保護團隊免受內部和外部威脅,以及交付前和交付後郵件的威脅。
符合未來需求和自動化:尋找不依賴硬體(依賴硬體的解決方案可能維護成本昂貴或會隨著時間的推移而老化)、自動處理事件報告(釋放安全團隊的時間),並且不需要手動建立大量威脅原則(手動建立大量威脅原則可能會減慢保護速度且永遠無法完全考慮所有可能的威脅)的解決方案。
基於這些原則建立的現代電子郵件安全策略將在攻擊週期的各個階段提供全面的保護,防禦 BEC 攻擊和其他形式的網路釣魚,以更好地保護組織資源和資料。
預先阻止網路釣魚攻擊
Cloudflare 提供雲端原生電子郵件安全性,可主動識別攻擊者基礎結構,同時提供對 BEC 和其他形式的電子郵件攻擊的持續防禦。
作為 Cloudflare Zero Trust 平台(該平台可保護應用程式和員工瀏覽以阻止惡意程式碼、網路釣魚和資料遺失)的一部分,將電子郵件安全與 Zero Trust 服務整合在一起可移除電子郵件中的隱含信任,以幫助客戶阻止 BEC 和網路釣��魚攻擊。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
BEC 攻擊興起的幕後原因
BEC 攻擊與垃圾郵件有何不同
為什麼傳統的電子郵件安全策略無法抵禦 BEC 攻擊
如何將電子郵件安全策略現代化並防止 BEC