不久前，亞信安全發(fā)布了《2018年第一季度網(wǎng)絡(luò)安全威脅報(bào)告》，其中不僅指出了挖礦病毒的肆意妄為，更通過大量數(shù)據(jù)說明了商業(yè)電子郵件攻擊(BEC)的活躍表現(xiàn)。BEC在原理上并不新鮮，往往就是將郵件發(fā)件人偽造成你的領(lǐng)導(dǎo)、同事或合作商，并騙取商業(yè)信息或錢財(cái)，這個(gè)騙局至今已經(jīng)流行了三十多年，為何今天還有人頻頻上當(dāng)? 

發(fā)動(dòng)BEC攻擊的電子郵件

這不是什么神奇的手法

這種上世紀(jì)八十年代的騙術(shù)在經(jīng)歷了紙質(zhì)信件、傳真、再到如今的電子郵件，仍然有不少人“樂此不疲”的被騙取錢財(cái)，最重要的原因之一就是它的“低成本”。首先，騙子們不用掌握什么高深的網(wǎng)絡(luò)攻擊技巧，通過海量的郵件群發(fā)功能，就可以實(shí)現(xiàn)“一封郵件，騙走一棟房子”的夢(mèng)想，這無疑讓超值的BEC當(dāng)選了黑客的寵兒。

其次，雖然各種即時(shí)通訊工具隨手可用，但是電子郵件并不過氣，這是日常工作中極為重要的通信工具，尤其是企業(yè)用戶，電子郵件往往意味著“正式”的溝通或者決策，特別是當(dāng)郵件顯示收件人來自領(lǐng)導(dǎo)或是同事之后，警惕性往往會(huì)下降，攻擊者只需要通過簡(jiǎn)單的欺騙手段便能夠成功誘惑受害者打開附件、點(diǎn)擊鏈接。

BEC詐騙依賴社會(huì)工程學(xué)制作電子郵件。對(duì)此，亞信安全技術(shù)支持中心總經(jīng)理蔡昇欽表示：“BEC攻擊也常被稱為‘變臉’攻擊，對(duì)象主要是針對(duì)企業(yè)的高層管理人員。詐騙者只需偽裝成企業(yè) CEO 、CFO或其他高管，并在并說服其他高管在短時(shí)間進(jìn)行經(jīng)濟(jì)交易，而犯罪者一旦成功實(shí)施詐騙，便可從中獲得巨大經(jīng)濟(jì)回報(bào)，對(duì)相關(guān)企業(yè)造成重大的經(jīng)濟(jì)損失。亞信安全發(fā)現(xiàn)了大量黑客發(fā)動(dòng)的BEC攻擊，并且已經(jīng)被證明他們成功入侵了石油、天然氣等重要行業(yè)的基礎(chǔ)設(shè)施，導(dǎo)致重要資料被竊取。”

“朋友圈”可能暴露你的行蹤

BEC詐騙的第一步往往是獲得目標(biāo)公司員工特別是高管的賬號(hào)密碼。為了獲取這些信息，最傳統(tǒng)的攻擊方式是使用電子郵件來散播鍵盤記錄程序，以便從目標(biāo)機(jī)器上竊取用戶的賬號(hào)信息(針對(duì)高管的攻擊也稱為“釣鯨”)。由于現(xiàn)在大多數(shù)用戶輕易不會(huì)點(diǎn)擊郵件中的附件，一些終端防護(hù)軟件和郵件防護(hù)系統(tǒng)也會(huì)檢測(cè)到這種包含惡意代碼的郵件。所以網(wǎng)絡(luò)不法分子往往尋求更先進(jìn)的方式，例如傳播夾帶HTML附件文件的網(wǎng)絡(luò)釣魚郵件，在打開后要求用戶輸入電子郵件帳號(hào)和密碼以查看文件。

獲得賬號(hào)信息只是第一步，BEC詐騙成功與否，最重要的是讓受害者越相信欺詐電子郵件其實(shí)是真實(shí)的，這就要回歸到社會(huì)工程學(xué)。因此，很多 BEC黑客往往會(huì)摸清公司最近可能存在的市場(chǎng)交易，以及高管人員的行程安排。比如，與合作伙伴的定期財(cái)務(wù)往來?典型工作(或加班)時(shí)段是幾點(diǎn)到幾點(diǎn)?公司之間的聯(lián)合活動(dòng)安排?商務(wù)旅行的時(shí)間和地點(diǎn)安排?誰在休假?在哪里休假?

蔡昇欽提醒用戶：“雖然國內(nèi)沒有廣泛用到Twitter和Facebook，但我們有強(qiáng)大的微信。對(duì)一些人來說，微信已經(jīng)成為了生活賬本，這里不僅有公司的重大活動(dòng)、個(gè)人的偏好、家庭成員的點(diǎn)滴，也會(huì)有大量的圖片信息。某些拍照軟件調(diào)用了照片Exif參數(shù)中的GPS全球定位系統(tǒng)數(shù)據(jù)，這些來自于手機(jī)內(nèi)部的傳感器以及陀螺儀的數(shù)據(jù)，把拍照時(shí)的位置、時(shí)間等丁點(diǎn)不差地記錄了下來。所有這些數(shù)據(jù)，無論是公開的還是秘密的，都會(huì)帶領(lǐng)攻擊者邁向成功。”

人+網(wǎng)關(guān)，兩道極重要的防線

由于結(jié)合了復(fù)雜的“社工”技巧，商業(yè)電子郵件攻擊(BEC)的防范并不簡(jiǎn)單，這不僅需要通過培訓(xùn)員工，提升識(shí)別假冒郵件的能力，以及網(wǎng)絡(luò)社交工具的良好使用習(xí)慣，還需要可以檢測(cè)出釣魚郵件和未知威脅的智能型網(wǎng)關(guān)系統(tǒng)。

對(duì)此，蔡昇欽表示：“企業(yè)應(yīng)對(duì)BEC攻擊，需要采用量身定制的解決方案，并且需要與現(xiàn)有的郵件網(wǎng)關(guān)無縫協(xié)同工作，創(chuàng)建集成防御戰(zhàn)略，利用高級(jí)檢測(cè)方法來檢測(cè)和阻止定向工程郵件的攻擊。”

他還建議，企業(yè)用戶可以根據(jù)自身規(guī)模和網(wǎng)絡(luò)安全架構(gòu)的實(shí)際情況來部署和調(diào)整安全架構(gòu)。比如，大型企業(yè)可以綜合部署亞信安全深度威脅發(fā)現(xiàn)平臺(tái)(Deep Discovery，DD)，發(fā)揮深度威脅發(fā)現(xiàn)設(shè)備(TDA)、深度威脅安全網(wǎng)關(guān)(DE)、深度威脅郵件網(wǎng)關(guān)(DDEI)、深度威脅分析設(shè)備(DDAN)、深度威脅終端取證及行為分析系統(tǒng)(DDES )等產(chǎn)品的聯(lián)動(dòng)效果;中小型企業(yè)則可以部署深度威脅郵件網(wǎng)關(guān)(DDEI)，應(yīng)用其定制化沙箱分析功能，識(shí)別郵件中的未知威脅，提升BEC攻擊的防御能力。