安全团队如何防御商业电子邮件诈骗 媒体

网络安全：如何防范业务电子邮件诈骗

关键要点

在当今时代，几乎没有企业能避免与其他组织共享敏感数据，包括财务信息、个人可识别信息 (PII) 和知识产权。各方之间的数字通信量有时让人难以验证发信人的身份，从而使犯罪分子能够劫持对话并实施 业务电子邮件诈骗 (BEC)、网络钓鱼及域名欺诈等攻击。根据统计，今年以来，全球每天平均发送 34 亿封钓鱼邮件，使这一威胁成为互联网用户面临的最广泛的网络犯罪之一。

暗藏的威胁

犯罪分子会对其受害者进行侦察，以了解他们与谁交易、他们的沟通模式以及所共享的沟通内容。一旦确定了计划实施的社交工程类型，他们就会建立所需的基础设施来实施其计划。这可能包括类似的域名和电子邮件账户，以欺骗他人向他们汇款。

在 FBI 的 IC3 网络犯罪报告 2021 中，就有一个案例提到，恶意行为者冒充建筑公司实施 BEC 诈骗，欺诈与这些公司合作的实体，导致其在大型项目中受到损失。网络犯罪分子利用公开可用的信息收集相关方的资料，并凭此制定针对特定关系的欺诈信息。

例如，在 2021 年 8 月，新罕布什尔州彼得伯勒的诈骗犯冒充参与 ConVal 学区和 Main Street 桥项目的真实公司，使当地纳税人损失了 230 万美元。在 2021 年 4 月，德国一家卫生机构向假冒真实供应商的恶意行为者支付了 240 万美元的个人防护装备费用。

据 FBI 报告，BEC 诈骗已成为收益最高的网络犯罪类型。超过三分之一的网络犯罪损失都归因于 BEC 诈骗，导致美国企业去年损失约 24 亿美元，相较于 2020 年增长了 33，而与七年前相比则增加了十倍。

这种 BEC 诈骗激增的原因在于网络钓鱼为犯罪分子带来的高额回报。用户只需轻点一下，就能将数字王国的钥匙拱手交给黑客，数据显示，如今 58 的勒索软件攻击起源于网络钓鱼和垃圾邮件。

随着威胁行为者和网络犯罪分子从他们的攻击中获得更高的收益，他们的手法也变得更加巧妙。那么，组织该如何在对手面前保持领先，并有效防范 BEC 攻击和域名欺诈呢？

如何保护自己免受 BEC 攻击

首先，也是最重要的安全措施就是有效的安全意识培训，定期向员工展示攻击者使用的手法非常必要。在选择培训时，务必确保培训内容的高质量在网络安全领域，许多人已经听过关于乏味或甚至具有侮辱性的安全培训的故事。花些时间识别知名的培训师和材料，将员工从风险向量转变为潜在的早期预警系统是非常有必要的。正确的培训将鼓励员工不仅保持警惕，留意这些类型的威胁，而且还要及时向安全团队报告。

此外，建立一些流程，让员工在发起转账之前必须先验证交易和合作伙伴的详细信息也至关重要。不管请求是否似乎来自 CEO 或者急迫程度如何提醒一句：大多数 BEC 网络钓鱼请求确实被标记为紧迫，在确认收件人的详情之前，不应处理任何交易。例如，收件人可以拨打 CEO 的电话