BEC诈骗横行,企业员工如何防钓鱼?

目前而言,勒索软件攻击可能是企业和机构面临的最新威胁,但其实它只能算企业和机构必须警惕的威胁之一,另一个更为突出的应该就非商业电邮诈骗(BEC)莫属了。

BEC诈骗

从字面上看,BEC还真不容易理解,到Google搜一下,首先看到的竟然是FBI的定义。引用FBI给的图,基本就能明白BEC诈骗的意思了。

它是一种具有高度针对性的鱼叉式钓鱼,通过冒充决策者的邮件,来下达与资金、利益相关的指令,其目标并不只是窃取个人信息,而是直接窃取资金。

近期趋势

一般情况下,受害者是这样遭受BEC诈骗的:收到一封包含钓鱼链接的电子邮件,点击链接后,会下载运行恶意软件。恶意软件会自动收集受害者的密码和财务账号信息等。

目前发现的BEC诈骗主要有以下四种类型:

类型1:伪造邮件、电话,要求转账到另一个账户; 类型2:高管的email被盗用,像财务部门发送资金申请的邮件; 类型3:员工email被盗用,向所有联系人发送付款要求; 类型4:诈骗者冒充律师来处理机密或时间紧急的事件,或资金转移。这种形式会给受害者带来心里压力,通常发生在工作日快结束时,或财务机构快关门时。

BEC攻击者可以针对任何人发起攻击,尤其偏好那些存在国际商业合作的企业,因为他们经常需要进行电汇付款,且往往款项数额庞大。

攻击者的目标主要集中在美国、英国以及澳大利亚等国家,但是偶尔也会针对其他国家发起攻击(如比利时Crelan银行和奥地利飞机 零件制造商 FACC 等)。

符合上述条件的企业应该尽早的教育自己公司的员工,尤其是公司的财务人员,如何正确地防范此类安全威胁,避免不必要的损失。

因为在超过40%的商业电邮诈骗案中,都是针对目标企业的首席财务官发送钓鱼邮件并诱导其进行资产转移。财务总监以及财务控制人员 等也在钓鱼攻击之列:

BEC诈骗变化趋势显示:今年早些时候BEC诈骗数量呈飙升趋势;攻击者开始关注员工的工资单信息;安全意识培训公司KnowBe4的新任首席财务官通过确定什么是所谓的BEC钓鱼邮件,成功挫败了此类攻击。

钓鱼邮件中的请求,看起来像是公司的CEO发送的。此类钓鱼邮件首先传递给公司的财务控制人员,但是事实上该财务人员并不具备访问工资信息的权限,随后该人员将请求邮件转发给公司的首席财务官。

趋势科技的研究人员表示,员工们应该格外警惕这些看似由公司CEO,总裁或总经理发送的,要求进行紧急电汇的电子邮件。

这些电子邮件的主题通常是较为简单和模糊不清的,多数只有一个词组成,例如 “Transfer(转发)” “Request(请求)” “Urgent(紧急)” 等。

这些邮件可以由真正的公司CEO的电子邮件账号发出,而这个过程需要键盘记录程序或后门程序的帮忙,或只是将其伪造成CEO的电子邮箱账号的样子。

BEC诈骗者通常利用大量的可用工具来准备和实施攻击活动:

截止目前,BEC诈骗者已经从全球17000多家组织获取超过23亿美元的资金,而且,这仅仅是目前我们所得知的而已,不排除有相关受害者没有通知当局关于诈骗的信息。

因为担心攻击事件曝光后会对公司的信誉造成无法挽救的影响。

通过诈骗行为获取的高额回报可能让这种诈骗行为在短期内终止的可能性变得微乎其微。

因此,企业应该将更多的精力投注于员工安全意识培训中,相关保护措施如下:

建立入侵检测系统,标记那些长得和自己公司邮件很相似的邮件(abc_company.com 和 abc-company.com); 记录那些和真实公司域名长得类似的山寨域名; 涉及到资金交易时,多方面校验:电话,或多封邮件确认; 了解客户的习惯,包括所需资金的总数,以及每笔转账背后的原因; 仔细检查每一个关于转账的email,特别是那些不按常理出牌的;

拓展阅读:10家专注网络钓鱼培训的公司

1. PhishMe

PhishMe公司的钓鱼模拟、训练和报告平台目前在全球范围内拥有超过800家企业客户,包括其中有近一半的客户是财富100强的企业,这些企业客户采用他们的工具和服务来积极的让数千名员工在模拟条件下检测和报告网络钓鱼攻击的威胁。

PhishMe公司还提供了一款网络钓鱼事件响应平台,能够针对网络钓鱼邮件更快的响应,进行自动并优先的报告发送;而他们的另一项威胁情报服务,则能够帮助安全威胁分析人员通过诊断他们所看到的网络钓鱼活动以验证外部威胁。

此外,PhishMe公司还提供了十几款免费的培训模版,以交互式的PDF文件格式或符合SCORM兼容的文件格式,可以通过一家企业客户的学习管理系统运行。

2. PhishLabs

PhishLabs的客户包括了排名美国前五大金融机构的其中四家、全球排名前25的金融机构的其中七家、领先的社交媒体和求职网站、以及顶级的医疗保健企业、零售商、保险和科技公司。

PhishLabs公司的创始人兼首席执行官约翰·拉科建议说:

“让模拟场景尽可能的真实。如果您希望您企业的员工们能够及时发现并报告真实世界的网络安全攻击,那么,您的模拟测试绝对需要能够反映他们最有可能在真实世界的所看到的网络攻击。”

3. IronScales

IronScales公司为企业客户提供网络钓鱼模拟和游戏化的企业员工安全意识培训。

根据从约60多家企业所收集到的数据显示,其结果是,网络钓鱼邮件的点击率将明显降低,而员工向安全管理人员转发网络钓鱼邮件的比例比之前增长了200%。

4. MediaPro

Mediapro公司为企业客户提供培训和巩固方案,以及自适应的网络钓鱼模拟器。该公司的客户包括微软、T-Mobile、Expedia、思科、甲骨文、波音公司、万豪酒店、Costco和其他财富500强企业。

MediaPro Holdings, LLC公司的董事总经理史蒂夫·康拉德表示:

“并非所有的网络钓鱼活动都是一样的,而且也不应该是一样的。您企业将需要使用不同的模式,来测试发送复杂程度完全不同的网络钓鱼邮件,而那些不同的模式会产生不同的效果。

而如果一而再,再而三的发送相同或类似的 网络钓鱼邮件,您邮件的最终用户所显示的网络钓鱼报告将是:邮件的点击率固然会大幅下降,但这并不会帮助您实现您最初的测试目标。”

5. KnowBe4

KnowBe4拥有面向安全意识培训的解决方案和旨在加强日常用户教育的模拟网络钓鱼平台。

这家总部位于佛罗里达州克利尔沃特的公司在过去三年的增长率达到了2528%,2015年销售额680万美元。

公司在INC 5000上总分排名第139位。世界头号黑客大神凯文·米特尼克是KnowBe4公司的首席黑客官。

KnowBe4公司也提供了一款免费的钓鱼安全测试。该公司还提供一次性的免费电子邮件曝光检查,以帮助确定企业雇员的电子邮件地址是否被暴露于公众。

6. Wombat

Wombat公司声称拥有1000多家企业客户,并提供自动化的网络钓鱼测试和培训模块服务。

该公司是在这个领域最早的供应商之一,于2008年由卡内基·梅隆大学的一个研究项目发展而来。此后,该公司继续专注于研究,并定期推出有关网络钓鱼的趋势和培训效果的研究报告。

例如, Wombat公司与安全研究中心Ponemon Institute进行合作,以确定平均执行程序导致了37倍投资的回报。

7. Inspired eLearning

该公司为其客户提供了反网络钓鱼训练,以帮助企业客户的员工时刻将保持网络安全放在首位。

该公司的客户包括富兰克林邓普顿投资公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集团(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美国农业部(the USDA)和ABB。

其PhishProof产品可作为一款完全托管的服务,而该公司的专家设计团队则提供部署评估和培训,或作为软件即服务模型,可通过在线软件的形式在几分钟内用于创建和部署评估。

8. Blackfin

Blackfin Security公司是赛门铁克的下属子公司,该公司提供网络钓鱼模拟和培训服务。

网络安全意识培训可以被集成整合到在线的网络钓鱼模拟评估即时培训,或者企业用户也可以根据他们的日程来安排适合他们的后续培训。

此外,该公司还提供了针对社会工程、恶意软件、物理安全、和使用公共WiFi网络的培训模块,以及其他一般的安全议题。

9. PhishLine

PhishLine公司不仅支持反钓鱼测试,还将目标瞄准了更广泛的社会工程攻击,包括短信、电话、甚至是“不小心丢失”的U盘。

今年早些时候,PhishLine公司为基于第三方的计算机市场推出了培训材料,包括数以百计的钓鱼模板,自定义的登陆页面,风险评估调查和多语种的安全培训内容。

除了训练和模拟服务,该公司还提供测量工具,使得企业用户可以跟踪他们的计划是否成功。

例如,其中的一款测量工具可用于游戏化,是基于风险的评 分工具。企业用户可以在这里设置训练成绩,进而可以对员工个人,部门或其他团体的评分进行比较,或对企业内部或外部的评分基准进行定制。

10. InfoSec Institute

这家公司最出名的是他们的企业安全培训、新兵训练营和认证计划。

他们还提供了交互式的安全意识在线培训模块。他们的SecurityIQ产品结合了基于计算机的安全意识培训和一款基于云的网络钓鱼模拟器服务。

企业用户可以设置自动的项目,随着时间的推移为其雇员发送网络钓鱼测试,或提醒雇员报名参加他们的网络安全意识培训。

*原文链接:helpnetsecurity*、米雪儿编译,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-09-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏灯塔大数据

报告发布|新连接经济:为我国经济结构性改革注入新动力

近年来,随着国家不断加强和普及连接基础设施建设,百度、腾讯、华为和中国移动等龙头企业纷纷提出连接战略,以及亿万消费者把衣食住行都建立在新连接之上,连接终于从不可...

29660
来自专栏FreeBuf

现实版天眼系统,一个漏洞让小白都能追踪上亿美国人实时定位

《速度与激情7》中,天眼系统能够利用各种高科技追踪任何人的位置,这是美国人对于未来隐私的担忧。一家收集北美多达2亿手机用户的实时定位数据的公司,网站上出现了一个...

18220
来自专栏人称T客

2017 年云服务供应商(CSP)十大预测

T客汇官网:tikehui.com 原文作者:Joe Panetterii 编译:徐婧欣 ? 2017 年云服务供应商(CSP)市场将如何发展?以下是关于 CS...

42740
来自专栏AI研习社

收集数据太困难?这里为你准备了 71 个免费数据集

日前,KDnuggets 上的一篇文章总结了七十多个免费的数据集,内容涉及到政府、金融、卫生、新闻传媒等各个方面,除了这些数据,文中还提供数据提取地址。 AI ...

60650

GDPR:对您的数据管理环境的影响(第1部分)

遵守欧盟“通用数据保护条例”(GDPR)的时间线正在快速接近。从2018年5月25日起,任何未能满足新法规的组织将面临最高达全球收入的4%或2000万欧元的罚款...

23940
来自专栏FreeBuf

那些年,我们一起碰到过的骗局

现在有很多骗局案例的顺利实施足以给予那些潜在的受害者一些警示,提醒他们避免上当受骗。因此,尽管ESET的大部分业务是主要集中在恶意软件上面,我仍旧花了很多时间在...

26460
来自专栏FreeBuf

HackerOne平台2016年最具竞争力的漏洞悬赏项目

互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。 谷歌、Fac...

230100
来自专栏罗超频道

或将入怀阿里的豌豆荚,如何错失应用分发黄金时代?

今天,互联网爆料平台“开八”爆料,阿里巴巴已正式收购豌豆荚,收购价格未知,确切消息将在今日公布,而豌豆荚创始人王俊煜对此的回应是“我并未听说”。在笔者看来,豌豆...

29690
来自专栏企鹅号快讯

安全警报:2018 年黑客将首次用上人工智能,冰箱也不能幸免!

近日,全球网络安全服务厂商赛门铁克( Symantec ) 宣布,2018 年黑客将首次使用人工智能 ( AI ) 和机器学习 ( ML ) 技术发动网络攻击,...

23880
来自专栏Seebug漏洞平台

2016 Black Hat召开在即 知道创宇走向国际舞台

从事互联网安全行业的朋友们又得兴奋了,世界顶级黑客大会Black Hat(黑帽大会)又要来了,3月29日,Black Hat Asia 2016(世界黑帽大会亚...

31770

扫码关注云+社区

领取腾讯云代金券