老話說，授人以魚不如授人以漁。但如今，黑客甚至都不用網(wǎng)絡(luò)釣魚就能入侵商業(yè)電子郵件賬戶了。

[[252237]]

FBI今年早些時候發(fā)布的一份警報中顯示，2013年10月以來，商業(yè)電子郵件入侵(BEC)和電子郵件賬戶侵害(EAC)共造成了120億美元的損失。傳統(tǒng)上，社會工程和入侵技術(shù)是攻擊者染指商業(yè)電子郵件賬戶和誘騙人們轉(zhuǎn)賬到騙子所控賬戶的常見方式。這些方法是這么執(zhí)行的：

1. 社會工程和電子郵件欺詐

攻擊者運用社會工程方法假扮成公司同事或商業(yè)合作伙伴，發(fā)送要求轉(zhuǎn)賬或獲取信息的虛假請求。因為攻擊者事先花費精力篩選出合適的受害者并注冊幾乎可以假亂真的域名，這些社工電子郵件非常具有說服力，乍看之下跟真的出自同事或供應(yīng)商之手一樣。

2. 接管賬戶

攻擊者用信息竊取型惡意軟件和鍵盤記錄器劫持公司電子郵件賬戶，然后用這些被盜賬戶向同事、會計部門和供應(yīng)商發(fā)送虛假請求。他們還可以修改郵箱規(guī)則，轉(zhuǎn)發(fā)受害者的郵件到自己的郵箱，或者讓已發(fā)送郵件列表中不顯示攻擊者發(fā)出的郵件。

這些技術(shù)在相當一段時間里給攻擊者帶來了莫大利益。但如今又出現(xiàn)了新的更加敏捷的入侵商業(yè)電子郵件賬戶的方法。犯罪論壇上提供的被盜憑證，第三方暴露的憑證，以及錯誤配置的備份及文件共享服務(wù)揭示的憑證，讓通過BEC獲利變得更加容易了。電子郵件收件箱不僅僅被用于要求轉(zhuǎn)賬，也被攻擊者用于盜取賬戶中存儲的金融相關(guān)信息，或者向其他雇員索要敏感信息。隨著BEC門檻的降低，以及此類詐騙變現(xiàn)方式的增多，BEC所致?lián)p失可能會持續(xù)上升，甚至加速上升。

新的BEC方法是如何運作的：

1. 購買訪問權(quán)

犯罪論壇上共享和售賣賬戶的現(xiàn)象很常見，財務(wù)部門和CEO/CFO的電子郵箱也不例外。獲取郵箱權(quán)限的工作甚至還可以外包給網(wǎng)絡(luò)黑客，他們會以收益提成或固定價格的方式從公司憑證上盈利。(起價甚至?xí)偷?50美元)。

2. 從以往被黑的憑證中尋找機會

人們常會在多個賬戶上重復(fù)使用口令。一項研究中，某第三方數(shù)據(jù)泄露存儲庫中就暴露出超過3.3萬個財務(wù)部門電子郵件地址，其中83%都有相關(guān)聯(lián)的口令。因為很多財務(wù)部門電子郵件賬戶的郵箱和口令組合已經(jīng)被泄，網(wǎng)絡(luò)罪犯可從中找到大量機會。

3. 搜索錯誤配置的文件存檔

收件箱，尤其是財務(wù)部門和CEO/CFO的郵件收件箱，充滿財務(wù)相關(guān)信息，比如合同掃描件、采購訂單、工資及稅單。這些信息可被用于詐騙或在論壇和黑市上重復(fù)售賣。殘酷的現(xiàn)實是，根本無需深入暗網(wǎng)，公網(wǎng)上就有很多免費的敏感數(shù)據(jù)。公司雇員和承包商有時候會貪圖方便而以不安全的方式存檔電子郵件。僅一項調(diào)查就發(fā)現(xiàn)，因為未經(jīng)身份驗證或配置錯誤的文件存儲，包含“發(fā)票”、“支付”或“采購訂單”的1250萬封電子郵件存檔和5萬封電子郵件暴露在了公網(wǎng)上。

無論攻擊者使用何種BEC欺詐方法，以下7種安全措施都有助于緩解這一風(fēng)險。

• 更新安全意識培訓(xùn)項目內(nèi)容，納入BEC場景。這應(yīng)是新員工培訓(xùn)的一部分，但如今還需針對該場景進行特別培訓(xùn)。
• 將BEC納入應(yīng)急響應(yīng)計劃，就像你將勒索軟件和破壞性惡意軟件歸入事件響應(yīng)/業(yè)務(wù)連續(xù)性計劃中一樣。
• 與轉(zhuǎn)賬應(yīng)用供應(yīng)商合作建立大額轉(zhuǎn)賬手動控制機制和多人授權(quán)方式。
• 監(jiān)視已暴露的憑證。不僅僅是財務(wù)部門電子郵件，所有用戶賬戶都要監(jiān)視。多因子身份驗證可以增加攻擊者執(zhí)行賬戶接管操作的難度。
• 對高管數(shù)字蹤跡執(zhí)行持續(xù)評估。可以從使用谷歌Alerts跟蹤與他們相關(guān)的新Web內(nèi)容開始。
• 防止電子郵件存檔被公開。對服務(wù)器消息塊(SMB)、異地備份和文件傳輸協(xié)議(FTP)之類的服務(wù)，各自采用唯一的強口令，禁用來賓或匿名訪問，并用防火墻屏蔽掉面向互聯(lián)網(wǎng)的端口。如果服務(wù)必須放在互聯(lián)網(wǎng)上或者不能設(shè)置口令，那就設(shè)置白名單，只將明確允許訪問該資源的IP納入該白名單。
• 關(guān)注將電子郵件備份在網(wǎng)絡(luò)附加存儲(NAS)設(shè)備上的承包商帶來的風(fēng)險。用戶應(yīng)設(shè)置口令并禁用來賓/匿名訪問，選擇默認安全的NAS設(shè)備。理想狀態(tài)下，公司企業(yè)應(yīng)提供家用NAS硬盤使用風(fēng)險的培訓(xùn)，并拿出備份解決方案，以便承包商和雇員不用在自己家里備份設(shè)備。

因為公司企業(yè)為黑客獲取郵件中有價值信息打開了方便之門，BEC正變得越來越有利可圖。但只要人員、過程和技術(shù)到位，公司企業(yè)還是可以緩解這一風(fēng)險。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文