Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目，并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級(jí)兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

互聯(lián)網(wǎng)犯罪投訴中心日前發(fā)布了有關(guān)企業(yè)電子郵件欺詐活動(dòng)的警告。那么，這個(gè)欺詐活動(dòng)是什么，它與網(wǎng)絡(luò)釣魚攻擊有何不同?企業(yè)是否應(yīng)該部署額外安全措施來(lái)保護(hù)自身?

Nick Lewis：互聯(lián)網(wǎng)犯罪投訴中心日期發(fā)出了有關(guān)針對(duì)企業(yè)的電子郵件中間人攻擊的警告。這個(gè)攻擊活動(dòng)被稱為“Business Email Compromise”，據(jù)稱在過(guò)去一年內(nèi)，該攻擊已經(jīng)導(dǎo)致全球企業(yè)損失近2.15億美元，其攻擊目標(biāo)是與國(guó)外供應(yīng)商合作或定期進(jìn)行電匯支付的公司。

在這種攻擊中，惡意攻擊者會(huì)感染電子郵件賬戶，或者創(chuàng)建與合法企業(yè)人員相似的賬戶，這些目標(biāo)人員通常有權(quán)力進(jìn)行金融交易或者指導(dǎo)他人進(jìn)行金融交易。攻擊者可能會(huì)通過(guò)搜索企業(yè)網(wǎng)站來(lái)瞄準(zhǔn)CFO、CEO或其他有權(quán)力進(jìn)行交易的特定人員。

Business Email Compromise攻擊本質(zhì)上是網(wǎng)絡(luò)釣魚攻擊的擴(kuò)展形式，不同之處在于，它需要誘使另一個(gè)人來(lái)完成受感染賬戶要求的金融交易。

企業(yè)可以部署一些措施來(lái)抵御這種電子郵件中間人網(wǎng)絡(luò)釣魚攻擊。

其中一個(gè)關(guān)鍵安全策略是對(duì)金融交易的審批進(jìn)行雙控制。這將需要攻擊者不僅僅誘騙最初的人員來(lái)完成交易;因?yàn)闀?huì)有第二個(gè)人來(lái)驗(yàn)證訂單為合法交易還是詐騙活動(dòng)。

此外，使用強(qiáng)大的財(cái)務(wù)控制將幫助控制個(gè)人錯(cuò)誤地信任受感染賬戶的風(fēng)險(xiǎn)或者限制個(gè)人直接執(zhí)行欺詐的風(fēng)險(xiǎn)。

不幸的是，現(xiàn)在并沒(méi)有很好的技術(shù)控制來(lái)阻止這種類型的攻擊，而只能驗(yàn)證所使用的電子郵件為合法且沒(méi)有受到感染。企業(yè)應(yīng)該采用雙因素身份驗(yàn)證，并教導(dǎo)員工在打開(kāi)電子郵件鏈接或附件時(shí)要非常謹(jǐn)慎。此外，對(duì)高管或財(cái)務(wù)人員的安全意識(shí)培訓(xùn)必須包括對(duì)金融交易訂單的驗(yàn)證。當(dāng)然，對(duì)檢測(cè)網(wǎng)絡(luò)釣魚攻擊的標(biāo)準(zhǔn)建議(例如尋找拼寫或語(yǔ)法錯(cuò)誤)仍然適用，但在這種情況下不會(huì)太有效，因?yàn)槭炀毜墓粽邥?huì)查看受感染賬戶的發(fā)送文件夾，以使用賬戶持有人在此前電子郵件交易中所使用的相同的語(yǔ)言。但這中間會(huì)有非常微妙的線索，畢竟攻擊者在假冒收件人已經(jīng)認(rèn)識(shí)的人，所以你一定要問(wèn)自己，“這個(gè)人是否應(yīng)該在這個(gè)時(shí)候發(fā)郵件給我或者與不知名的公司進(jìn)行交易?”如果郵件看起來(lái)可疑，則應(yīng)該對(duì)郵件以及介質(zhì)進(jìn)行驗(yàn)證。