[[171275]]

目前而言，勒索軟件攻擊可能是企業(yè)和機(jī)構(gòu)面臨的最新威脅，但其實(shí)它只能算企業(yè)和機(jī)構(gòu)必須警惕的威脅之一，另一個(gè)更為突出的應(yīng)該就非商業(yè)電郵詐騙(BEC)莫屬了。

BEC詐騙

從字面上看，BEC還真不容易理解，到Google搜一下，首先看到的竟然是FBI的定義。引用FBI給的圖，基本就能明白BEC詐騙的意思了。

它是一種具有高度針對性的魚叉式釣魚，通過冒充決策者的郵件，來下達(dá)與資金、利益相關(guān)的指令，其目標(biāo)并不只是竊取個(gè)人信息，而是直接竊取資金。

近期趨勢

一般情況下，受害者是這樣遭受BEC詐騙的：收到一封包含釣魚鏈接的電子郵件，點(diǎn)擊鏈接后，會(huì)下載運(yùn)行惡意軟件。惡意軟件會(huì)自動(dòng)收集受害者的密碼和財(cái)務(wù)賬號信息等。

目前發(fā)現(xiàn)的BEC詐騙主要有以下四種類型：

類型1：偽造郵件、電話，要求轉(zhuǎn)賬到另一個(gè)賬戶;

類型2：高管的email被盜用，像財(cái)務(wù)部門發(fā)送資金申請的郵件;

類型3：員工email被盜用，向所有聯(lián)系人發(fā)送付款要求;

類型4：詐騙者冒充律師來處理機(jī)密或時(shí)間緊急的事件，或資金轉(zhuǎn)移。這種形式會(huì)給受害者帶來心里壓力，通常發(fā)生在工作日快結(jié)束時(shí)，或財(cái)務(wù)機(jī)構(gòu)快關(guān)門時(shí)。

BEC攻擊者可以針對任何人發(fā)起攻擊，尤其偏好那些存在國際商業(yè)合作的企業(yè)，因?yàn)樗麄兘?jīng)常需要進(jìn)行電匯付款，且往往款項(xiàng)數(shù)額龐大。攻擊者的目標(biāo)主要集中在美國、英國以及澳大利亞等國家，但是偶爾也會(huì)針對其他國家發(fā)起攻擊(如比利時(shí)Crelan銀行和奧地利飛機(jī) 零件制造商 FACC 等)。

符合上述條件的企業(yè)應(yīng)該盡早的教育自己公司的員工，尤其是公司的財(cái)務(wù)人員，如何正確地防范此類安全威脅，避免不必要的損失。因?yàn)樵诔^40%的商業(yè)電郵詐騙案中，都是針對目標(biāo)企業(yè)的首席財(cái)務(wù)官發(fā)送釣魚郵件并誘導(dǎo)其進(jìn)行資產(chǎn)轉(zhuǎn)移。財(cái)務(wù)總監(jiān)以及財(cái)務(wù)控制人員 等也在釣魚攻擊之列：

BEC詐騙變化趨勢顯示：今年早些時(shí)候BEC詐騙數(shù)量呈飆升趨勢；攻擊者開始關(guān)注員工的工資單信息;安全意識(shí)培訓(xùn)公司KnowBe4的新任首席財(cái)務(wù)官通過確定什么是所謂的BEC釣魚郵件，成功挫敗了此類攻擊。

釣魚郵件中的請求，看起來像是公司的CEO發(fā)送的。此類釣魚郵件首先傳遞給公司的財(cái)務(wù)控制人員，但是事實(shí)上該財(cái)務(wù)人員并不具備訪問工資信息的權(quán)限，隨后該人員將請求郵件轉(zhuǎn)發(fā)給公司的首席財(cái)務(wù)官。

趨勢科技的研究人員表示，員工們應(yīng)該格外警惕這些看似由公司CEO，總裁或總經(jīng)理發(fā)送的，要求進(jìn)行緊急電匯的電子郵件。

這些電子郵件的主題通常是較為簡單和模糊不清的，多數(shù)只有一個(gè)詞組成，例如 “Transfer(轉(zhuǎn)發(fā))” “Request(請求)” “Urgent(緊急)” 等。

這些郵件可以由真正的公司CEO的電子郵件賬號發(fā)出，而這個(gè)過程需要鍵盤記錄程序或后門程序的幫忙，或只是將其偽造成CEO的電子郵箱賬號的樣子。

BEC詐騙者通常利用大量的可用工具來準(zhǔn)備和實(shí)施攻擊活動(dòng)：

截止目前，BEC詐騙者已經(jīng)從全球17000多家組織獲取超過23億美元的資金，而且，這僅僅是目前我們所得知的而已，不排除有相關(guān)受害者沒有通知當(dāng)局關(guān)于詐騙的信息。因?yàn)閾?dān)心攻擊事件曝光后會(huì)對公司的信譽(yù)造成無法挽救的影響。

通過詐騙行為獲取的高額回報(bào)可能讓這種詐騙行為在短期內(nèi)終止的可能性變得微乎其微。

因此，企業(yè)應(yīng)該將更多的精力投注于員工安全意識(shí)培訓(xùn)中，相關(guān)保護(hù)措施如下：

建立入侵檢測系統(tǒng)，標(biāo)記那些長得和自己公司郵件很相似的郵件(abc_company.com 和 abc-company.com);

記錄那些和真實(shí)公司域名長得類似的山寨域名;

涉及到資金交易時(shí)，多方面校驗(yàn)：電話，或多封郵件確認(rèn);

了解客戶的習(xí)慣，包括所需資金的總數(shù)，以及每筆轉(zhuǎn)賬背后的原因;

仔細(xì)檢查每一個(gè)關(guān)于轉(zhuǎn)賬的email，特別是那些不按常理出牌的;

拓展閱讀：10家專注網(wǎng)絡(luò)釣魚培訓(xùn)的公司

1. PhishMe

[[171276]]

PhishMe公司的釣魚模擬、訓(xùn)練和報(bào)告平臺(tái)目前在全球范圍內(nèi)擁有超過800家企業(yè)客戶，包括其中有近一半的客戶是財(cái)富100強(qiáng)的企業(yè)，這些企業(yè)客戶采用他們的工具和服務(wù)來積極的讓數(shù)千名員工在模擬條件下檢測和報(bào)告網(wǎng)絡(luò)釣魚攻擊的威脅。

PhishMe公司還提供了一款網(wǎng)絡(luò)釣魚事件響應(yīng)平臺(tái)，能夠針對網(wǎng)絡(luò)釣魚郵件更快的響應(yīng)，進(jìn)行自動(dòng)并優(yōu)先的報(bào)告發(fā)送;而他們的另一項(xiàng)威脅情報(bào)服務(wù)，則能夠幫助安全威脅分析人員通過診斷他們所看到的網(wǎng)絡(luò)釣魚活動(dòng)以驗(yàn)證外部威脅。

此外，PhishMe公司還提供了十幾款免費(fèi)的培訓(xùn)模版，以交互式的PDF文件格式或符合SCORM兼容的文件格式，可以通過一家企業(yè)客戶的學(xué)習(xí)管理系統(tǒng)運(yùn)行。

2. PhishLabs

[[171277]]

PhishLabs的客戶包括了排名美國前五大金融機(jī)構(gòu)的其中四家、全球排名前25的金融機(jī)構(gòu)的其中七家、領(lǐng)先的社交媒體和求職網(wǎng)站、以及頂級的醫(yī)療保健企業(yè)、零售商、保險(xiǎn)和科技公司。

PhishLabs公司的創(chuàng)始人兼首席執(zhí)行官約翰·拉科建議說：

“讓模擬場景盡可能的真實(shí)。如果您希望您企業(yè)的員工們能夠及時(shí)發(fā)現(xiàn)并報(bào)告真實(shí)世界的網(wǎng)絡(luò)安全攻擊，那么，您的模擬測試絕對需要能夠反映他們最有可能在真實(shí)世界的所看到的網(wǎng)絡(luò)攻擊。”

3. IronScales

[[171278]]

IronScales公司為企業(yè)客戶提供網(wǎng)絡(luò)釣魚模擬和游戲化的企業(yè)員工安全意識(shí)培訓(xùn)。

根據(jù)從約60多家企業(yè)所收集到的數(shù)據(jù)顯示，其結(jié)果是，網(wǎng)絡(luò)釣魚郵件的點(diǎn)擊率將明顯降低，而員工向安全管理人員轉(zhuǎn)發(fā)網(wǎng)絡(luò)釣魚郵件的比例比之前增長了200%。

4. MediaPr

[[171279]]

Mediapro公司為企業(yè)客戶提供培訓(xùn)和鞏固方案，以及自適應(yīng)的網(wǎng)絡(luò)釣魚模擬器。該公司的客戶包括微軟、T-Mobile、Expedia、思科、甲骨文、波音公司、萬豪酒店、Costco和其他財(cái)富500強(qiáng)企業(yè)。

MediaPro Holdings, LLC公司的董事總經(jīng)理史蒂夫·康拉德表示：

“并非所有的網(wǎng)絡(luò)釣魚活動(dòng)都是一樣的，而且也不應(yīng)該是一樣的。您企業(yè)將需要使用不同的模式，來測試發(fā)送復(fù)雜程度完全不同的網(wǎng)絡(luò)釣魚郵件，而那些不同的模式會(huì)產(chǎn)生不同的效果。而如果一而再，再而三的發(fā)送相同或類似的 網(wǎng)絡(luò)釣魚郵件，您郵件的最終用戶所顯示的網(wǎng)絡(luò)釣魚報(bào)告將是：郵件的點(diǎn)擊率固然會(huì)大幅下降，但這并不會(huì)幫助您實(shí)現(xiàn)您最初的測試目標(biāo)。”

5. KnowBe4

[[171280]]

KnowBe4擁有面向安全意識(shí)培訓(xùn)的解決方案和旨在加強(qiáng)日常用戶教育的模擬網(wǎng)絡(luò)釣魚平臺(tái)。這家總部位于佛羅里達(dá)州克利爾沃特的公司在過去三年的增長率達(dá)到了2528%，2015年銷售額680萬美元。公司在INC 5000上總分排名第139位。世界頭號黑客大神凱文·米特尼克是KnowBe4公司的首席黑客官。

KnowBe4公司也提供了一款免費(fèi)的釣魚安全測試。該公司還提供一次性的免費(fèi)電子郵件曝光檢查，以幫助確定企業(yè)雇員的電子郵件地址是否被暴露于公眾。

6. Wombat

[[171281]]

Wombat公司聲稱擁有1000多家企業(yè)客戶，并提供自動(dòng)化的網(wǎng)絡(luò)釣魚測試和培訓(xùn)模塊服務(wù)。

該公司是在這個(gè)領(lǐng)域最早的供應(yīng)商之一，于2008年由卡內(nèi)基·梅隆大學(xué)的一個(gè)研究項(xiàng)目發(fā)展而來。此后，該公司繼續(xù)專注于研究，并定期推出有關(guān)網(wǎng)絡(luò)釣魚的趨勢和培訓(xùn)效果的研究報(bào)告。例如， Wombat公司與安全研究中心Ponemon Institute進(jìn)行合作，以確定平均執(zhí)行程序?qū)е铝?7倍投資的回報(bào)。

7. Inspired eLearning

該公司為其客戶提供了反網(wǎng)絡(luò)釣魚訓(xùn)練，以幫助企業(yè)客戶的員工時(shí)刻將保持網(wǎng)絡(luò)安全放在首位。該公司的客戶包括富蘭克林鄧普頓投資公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集團(tuán)(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美國農(nóng)業(yè)部(the USDA)和ABB。

其PhishProof產(chǎn)品可作為一款完全托管的服務(wù)，而該公司的專家設(shè)計(jì)團(tuán)隊(duì)則提供部署評估和培訓(xùn)，或作為軟件即服務(wù)模型，可通過在線軟件的形式在幾分鐘內(nèi)用于創(chuàng)建和部署評估。

8. Blackfin

Blackfin Security公司是賽門鐵克的下屬子公司，該公司提供網(wǎng)絡(luò)釣魚模擬和培訓(xùn)服務(wù)。網(wǎng)絡(luò)安全意識(shí)培訓(xùn)可以被集成整合到在線的網(wǎng)絡(luò)釣魚模擬評估即時(shí)培訓(xùn)，或者企業(yè)用戶也可以根據(jù)他們的日程來安排適合他們的后續(xù)培訓(xùn)。

此外，該公司還提供了針對社會(huì)工程、惡意軟件、物理安全、和使用公共WiFi網(wǎng)絡(luò)的培訓(xùn)模塊，以及其他一般的安全議題。

9. PhishLine

[[171282]]

PhishLine公司不僅支持反釣魚測試，還將目標(biāo)瞄準(zhǔn)了更廣泛的社會(huì)工程攻擊，包括短信、電話、甚至是“不小心丟失”的U盤。

今年早些時(shí)候，PhishLine公司為基于第三方的計(jì)算機(jī)市場推出了培訓(xùn)材料，包括數(shù)以百計(jì)的釣魚模板，自定義的登陸頁面，風(fēng)險(xiǎn)評估調(diào)查和多語種的安全培訓(xùn)內(nèi)容。

除了訓(xùn)練和模擬服務(wù)，該公司還提供測量工具，使得企業(yè)用戶可以跟蹤他們的計(jì)劃是否成功。例如，其中的一款測量工具可用于游戲化，是基于風(fēng)險(xiǎn)的評 分工具。企業(yè)用戶可以在這里設(shè)置訓(xùn)練成績，進(jìn)而可以對員工個(gè)人，部門或其他團(tuán)體的評分進(jìn)行比較，或?qū)ζ髽I(yè)內(nèi)部或外部的評分基準(zhǔn)進(jìn)行定制。

10. InfoSec Institute

[[171283]]

這家公司最出名的是他們的企業(yè)安全培訓(xùn)、新兵訓(xùn)練營和認(rèn)證計(jì)劃。

他們還提供了交互式的安全意識(shí)在線培訓(xùn)模塊。他們的SecurityIQ產(chǎn)品結(jié)合了基于計(jì)算機(jī)的安全意識(shí)培訓(xùn)和一款基于云的網(wǎng)絡(luò)釣魚模擬器服務(wù)。企業(yè)用戶可以設(shè)置自動(dòng)的項(xiàng)目，隨著時(shí)間的推移為其雇員發(fā)送網(wǎng)絡(luò)釣魚測試，或提醒雇員報(bào)名參加他們的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。