BEC詐騙橫行,企業(yè)員工如何防釣魚?
目前而言,勒索軟件攻擊可能是企業(yè)和機構(gòu)面臨的最新威脅,但其實它只能算企業(yè)和機構(gòu)必須警惕的威脅之一,另一個更為突出的應(yīng)該就非商業(yè)電郵詐騙(BEC)莫屬了。
BEC詐騙
從字面上看,BEC還真不容易理解,到Google搜一下,首先看到的竟然是FBI的定義。引用FBI給的圖,基本就能明白BEC詐騙的意思了。
它是一種具有高度針對性的魚叉式釣魚,通過冒充決策者的郵件,來下達與資金、利益相關(guān)的指令,其目標并不只是竊取個人信息,而是直接竊取資金。
近期趨勢
一般情況下,受害者是這樣遭受BEC詐騙的:收到一封包含釣魚鏈接的電子郵件,點擊鏈接后,會下載運行惡意軟件。惡意軟件會自動收集受害者的密碼和財務(wù)賬號信息等。
目前發(fā)現(xiàn)的BEC詐騙主要有以下四種類型:
類型1:偽造郵件、電話,要求轉(zhuǎn)賬到另一個賬戶;
類型2:高管的email被盜用,像財務(wù)部門發(fā)送資金申請的郵件;
類型3:員工email被盜用,向所有聯(lián)系人發(fā)送付款要求;
類型4:詐騙者冒充律師來處理機密或時間緊急的事件,或資金轉(zhuǎn)移。這種形式會給受害者帶來心里壓力,通常發(fā)生在工作日快結(jié)束時,或財務(wù)機構(gòu)快關(guān)門時。
BEC攻擊者可以針對任何人發(fā)起攻擊,尤其偏好那些存在國際商業(yè)合作的企業(yè),因為他們經(jīng)常需要進行電匯付款,且往往款項數(shù)額龐大。攻擊者的目標主要集中在美國、英國以及澳大利亞等國家,但是偶爾也會針對其他國家發(fā)起攻擊(如比利時Crelan銀行和奧地利飛機 零件制造商 FACC 等)。
符合上述條件的企業(yè)應(yīng)該盡早的教育自己公司的員工,尤其是公司的財務(wù)人員,如何正確地防范此類安全威脅,避免不必要的損失。因為在超過40%的商業(yè)電郵詐騙案中,都是針對目標企業(yè)的首席財務(wù)官發(fā)送釣魚郵件并誘導其進行資產(chǎn)轉(zhuǎn)移。財務(wù)總監(jiān)以及財務(wù)控制人員 等也在釣魚攻擊之列:
BEC詐騙變化趨勢顯示:今年早些時候BEC詐騙數(shù)量呈飆升趨勢;攻擊者開始關(guān)注員工的工資單信息;安全意識培訓公司KnowBe4的新任首席財務(wù)官通過確定什么是所謂的BEC釣魚郵件,成功挫敗了此類攻擊。
釣魚郵件中的請求,看起來像是公司的CEO發(fā)送的。此類釣魚郵件首先傳遞給公司的財務(wù)控制人員,但是事實上該財務(wù)人員并不具備訪問工資信息的權(quán)限,隨后該人員將請求郵件轉(zhuǎn)發(fā)給公司的首席財務(wù)官。
趨勢科技的研究人員表示,員工們應(yīng)該格外警惕這些看似由公司CEO,總裁或總經(jīng)理發(fā)送的,要求進行緊急電匯的電子郵件。
這些電子郵件的主題通常是較為簡單和模糊不清的,多數(shù)只有一個詞組成,例如 “Transfer(轉(zhuǎn)發(fā))” “Request(請求)” “Urgent(緊急)” 等。
這些郵件可以由真正的公司CEO的電子郵件賬號發(fā)出,而這個過程需要鍵盤記錄程序或后門程序的幫忙,或只是將其偽造成CEO的電子郵箱賬號的樣子。
BEC詐騙者通常利用大量的可用工具來準備和實施攻擊活動:
截止目前,BEC詐騙者已經(jīng)從全球17000多家組織獲取超過23億美元的資金,而且,這僅僅是目前我們所得知的而已,不排除有相關(guān)受害者沒有通知當局關(guān)于詐騙的信息。因為擔心攻擊事件曝光后會對公司的信譽造成無法挽救的影響。
通過詐騙行為獲取的高額回報可能讓這種詐騙行為在短期內(nèi)終止的可能性變得微乎其微。
因此,企業(yè)應(yīng)該將更多的精力投注于員工安全意識培訓中,相關(guān)保護措施如下:
建立入侵檢測系統(tǒng),標記那些長得和自己公司郵件很相似的郵件(abc_company.com 和 abc-company.com);
記錄那些和真實公司域名長得類似的山寨域名;
涉及到資金交易時,多方面校驗:電話,或多封郵件確認;
了解客戶的習慣,包括所需資金的總數(shù),以及每筆轉(zhuǎn)賬背后的原因;
仔細檢查每一個關(guān)于轉(zhuǎn)賬的email,特別是那些不按常理出牌的;
拓展閱讀:10家專注網(wǎng)絡(luò)釣魚培訓的公司
1. PhishMe
PhishMe公司的釣魚模擬、訓練和報告平臺目前在全球范圍內(nèi)擁有超過800家企業(yè)客戶,包括其中有近一半的客戶是財富100強的企業(yè),這些企業(yè)客戶采用他們的工具和服務(wù)來積極的讓數(shù)千名員工在模擬條件下檢測和報告網(wǎng)絡(luò)釣魚攻擊的威脅。
PhishMe公司還提供了一款網(wǎng)絡(luò)釣魚事件響應(yīng)平臺,能夠針對網(wǎng)絡(luò)釣魚郵件更快的響應(yīng),進行自動并優(yōu)先的報告發(fā)送;而他們的另一項威脅情報服務(wù),則能夠幫助安全威脅分析人員通過診斷他們所看到的網(wǎng)絡(luò)釣魚活動以驗證外部威脅。
此外,PhishMe公司還提供了十幾款免費的培訓模版,以交互式的PDF文件格式或符合SCORM兼容的文件格式,可以通過一家企業(yè)客戶的學習管理系統(tǒng)運行。
2. PhishLabs
PhishLabs的客戶包括了排名美國前五大金融機構(gòu)的其中四家、全球排名前25的金融機構(gòu)的其中七家、領(lǐng)先的社交媒體和求職網(wǎng)站、以及頂級的醫(yī)療保健企業(yè)、零售商、保險和科技公司。
PhishLabs公司的創(chuàng)始人兼首席執(zhí)行官約翰·拉科建議說:
“讓模擬場景盡可能的真實。如果您希望您企業(yè)的員工們能夠及時發(fā)現(xiàn)并報告真實世界的網(wǎng)絡(luò)安全攻擊,那么,您的模擬測試絕對需要能夠反映他們最有可能在真實世界的所看到的網(wǎng)絡(luò)攻擊。”
3. IronScales
IronScales公司為企業(yè)客戶提供網(wǎng)絡(luò)釣魚模擬和游戲化的企業(yè)員工安全意識培訓。
根據(jù)從約60多家企業(yè)所收集到的數(shù)據(jù)顯示,其結(jié)果是,網(wǎng)絡(luò)釣魚郵件的點擊率將明顯降低,而員工向安全管理人員轉(zhuǎn)發(fā)網(wǎng)絡(luò)釣魚郵件的比例比之前增長了200%。
4. MediaPr
Mediapro公司為企業(yè)客戶提供培訓和鞏固方案,以及自適應(yīng)的網(wǎng)絡(luò)釣魚模擬器。該公司的客戶包括微軟、T-Mobile、Expedia、思科、甲骨文、波音公司、萬豪酒店、Costco和其他財富500強企業(yè)。
MediaPro Holdings, LLC公司的董事總經(jīng)理史蒂夫·康拉德表示:
“并非所有的網(wǎng)絡(luò)釣魚活動都是一樣的,而且也不應(yīng)該是一樣的。您企業(yè)將需要使用不同的模式,來測試發(fā)送復雜程度完全不同的網(wǎng)絡(luò)釣魚郵件,而那些不同的模式會產(chǎn)生不同的效果。而如果一而再,再而三的發(fā)送相同或類似的 網(wǎng)絡(luò)釣魚郵件,您郵件的最終用戶所顯示的網(wǎng)絡(luò)釣魚報告將是:郵件的點擊率固然會大幅下降,但這并不會幫助您實現(xiàn)您最初的測試目標。”
5. KnowBe4
KnowBe4擁有面向安全意識培訓的解決方案和旨在加強日常用戶教育的模擬網(wǎng)絡(luò)釣魚平臺。這家總部位于佛羅里達州克利爾沃特的公司在過去三年的增長率達到了2528%,2015年銷售額680萬美元。公司在INC 5000上總分排名第139位。世界頭號黑客大神凱文·米特尼克是KnowBe4公司的首席黑客官。
KnowBe4公司也提供了一款免費的釣魚安全測試。該公司還提供一次性的免費電子郵件曝光檢查,以幫助確定企業(yè)雇員的電子郵件地址是否被暴露于公眾。
6. Wombat
Wombat公司聲稱擁有1000多家企業(yè)客戶,并提供自動化的網(wǎng)絡(luò)釣魚測試和培訓模塊服務(wù)。
該公司是在這個領(lǐng)域最早的供應(yīng)商之一,于2008年由卡內(nèi)基·梅隆大學的一個研究項目發(fā)展而來。此后,該公司繼續(xù)專注于研究,并定期推出有關(guān)網(wǎng)絡(luò)釣魚的趨勢和培訓效果的研究報告。例如, Wombat公司與安全研究中心Ponemon Institute進行合作,以確定平均執(zhí)行程序?qū)е铝?7倍投資的回報。
7. Inspired eLearning
該公司為其客戶提供了反網(wǎng)絡(luò)釣魚訓練,以幫助企業(yè)客戶的員工時刻將保持網(wǎng)絡(luò)安全放在首位。該公司的客戶包括富蘭克林鄧普頓投資公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集團(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美國農(nóng)業(yè)部(the USDA)和ABB。
其PhishProof產(chǎn)品可作為一款完全托管的服務(wù),而該公司的專家設(shè)計團隊則提供部署評估和培訓,或作為軟件即服務(wù)模型,可通過在線軟件的形式在幾分鐘內(nèi)用于創(chuàng)建和部署評估。
8. Blackfin
Blackfin Security公司是賽門鐵克的下屬子公司,該公司提供網(wǎng)絡(luò)釣魚模擬和培訓服務(wù)。網(wǎng)絡(luò)安全意識培訓可以被集成整合到在線的網(wǎng)絡(luò)釣魚模擬評估即時培訓,或者企業(yè)用戶也可以根據(jù)他們的日程來安排適合他們的后續(xù)培訓。
此外,該公司還提供了針對社會工程、惡意軟件、物理安全、和使用公共WiFi網(wǎng)絡(luò)的培訓模塊,以及其他一般的安全議題。
9. PhishLine
PhishLine公司不僅支持反釣魚測試,還將目標瞄準了更廣泛的社會工程攻擊,包括短信、電話、甚至是“不小心丟失”的U盤。
今年早些時候,PhishLine公司為基于第三方的計算機市場推出了培訓材料,包括數(shù)以百計的釣魚模板,自定義的登陸頁面,風險評估調(diào)查和多語種的安全培訓內(nèi)容。
除了訓練和模擬服務(wù),該公司還提供測量工具,使得企業(yè)用戶可以跟蹤他們的計劃是否成功。例如,其中的一款測量工具可用于游戲化,是基于風險的評 分工具。企業(yè)用戶可以在這里設(shè)置訓練成績,進而可以對員工個人,部門或其他團體的評分進行比較,或?qū)ζ髽I(yè)內(nèi)部或外部的評分基準進行定制。
10. InfoSec Institute
這家公司最出名的是他們的企業(yè)安全培訓、新兵訓練營和認證計劃。
他們還提供了交互式的安全意識在線培訓模塊。他們的SecurityIQ產(chǎn)品結(jié)合了基于計算機的安全意識培訓和一款基于云的網(wǎng)絡(luò)釣魚模擬器服務(wù)。企業(yè)用戶可以設(shè)置自動的項目,隨著時間的推移為其雇員發(fā)送網(wǎng)絡(luò)釣魚測試,或提醒雇員報名參加他們的網(wǎng)絡(luò)安全意識培訓。
