免受商业电子邮件诈骗网络钓鱼的侵害

2019 年，商业电子邮件诈骗攻击增加了一倍，某些案件造成了巨量的经济损失。安全和风险管理领导者必须确保他们拥有合适的技术和程序，保护电子邮件免受侵害。

概览

主要挑战

• 商业电子邮件诈骗 (BEC) 攻击执行起来相对简单，并不会涉及恶意软件或链接。然而，此类攻击会误导收件人，使其将资金转移至攻击者帐户或泄露敏感信息。
• 传统的电子邮件内容检查技术无法有效检测 BEC 网络钓鱼，这是因为此类邮件与正常邮件内容相似，其目的在于利用业务流程错误。
• BEC 网络钓鱼常常与帐户接管一同使用，而攻击者可以控制合法帐户。收件人或系统常常无法识别该邮件并非来自真正的用户。
• 在使用您组织的电子邮件域名时，供应商和客户常常被攻击，这会极大影响您的关系、组织信誉并损害利益相关者的信任。
• 单一技术无法解决 BEC，需要技术、流程以及用户意识三者兼而有之。

建议

负责基础设施安全的安全和风险管理领导者应：

• 为电子邮件安全技术补充用户意识培训，尤其是针对 BEC 网络钓鱼为用户提供培训。
• 执行标准操作流程，认证电子邮件的财务或数据交易，尽力将高风险临时交易从电子邮件转移至认证级别更高的系统。
• 升级安全电子邮件网关解决方案，囊括高级网络钓鱼保护、假冒检测和内部电子邮件保护。
• 执行基于域的消息认证、报告和一致性 (DMARC)，认证电子邮件域名，减少域名滥用的机会。
• 执行多因素身份验证，免受帐户接管侵害。

战略规划设想

到 2023 年，BEC 攻击造成的损失每年将翻倍至 50 亿美元，为企业带来巨量的经济损失。

介绍

BEC 攻击依旧是重大风险。这些攻击的技术水平通常相对较低，并对重要人物（例如首席执行官）拥有较强的针对性。此类攻击通常仅“伪造”发件人的电子邮件地址，误导收件人，使其将资金转移至攻击者帐户。不管怎么说，这些攻击的效率很高。媒体会对 BEC 攻击造成的巨量损失进行报道，例如丰田某分部损失 3,700 万美元，而在 2019 年，工资单转移诈骗就已造成了 800 万美元的损失。

这些攻击所造成的损失不仅仅只停留在经济方面。虚假发票是最常见的 BEC 攻击方式。在遭受这样的攻击时，收件人会从某个组织收到看起来像是合法发票的内容。2018 年虚假发票占此类攻击的 39%，对组织造成了内部风险，也对声誉造成了风险。如果供应商或客户遭受声称来自某已知组织的 BEC 攻击，会对当前关系中的已有信任造成损害。

安全和风险管理领导者应如何保护内部用户免于 BEC 攻击，同时减少对供应商和客户的风险？这项调查研究了 BEC 攻击的类型以及领导者能够采取的措施，帮助组织做好准备，应对这种简单但又危害性极大的攻击类型。

BEC 攻击大致可分为四种不同类型。第一种是简单的“伪造”电子邮件，如图 1 所示，其中电子邮件中的显示名称被更改，使其看起来似乎是组织中的某个人。而实际上，回复地址是攻击者的地址。这种电子邮件格式使得“显示名称”不一定必须与实际发件人的电子邮件地址相关。所以，这是一种直截了当利用欺诈手段使用受信任个人名称的方式。

这类电子邮件的内容通常会带有一定的紧迫性。信息通常似乎是从高级管理人员发送至下属。同时，这也是工资单转移攻击最常见的机制。这种攻击会简单地识别组织内部人员，并向工资管理部门发送电子邮件，要求更新其银行账户详细信息。

图 1. 外部伪造电子邮件

当合法用户的电子邮件帐户遭受入侵时，会发生更加复杂的 BEC 攻击。随着基于云的电子邮件系统（例如 Microsoft Office 365）的普及，攻击可能会获取用户帐户的详细信息，获取途径为此前泄露的数据或通过网络钓鱼手段获取，之后使用这些凭据信息去登录用户的帐户（见图 2）。

攻击者有时可能会设定转发规则，这样他们便可以监控受害人在收到第一条信息之后的电子邮件对话。他们会在某个合适的时间进行干预，编造看起来像是真实的信息，使得攻击看起来更让人信服。

图 2. 帐户接管

这种类型攻击的变体会攻击外部供货商或供应商，而不会攻击内部用户（见图 3）。利用同样的手段，使用转发规则跟踪对话，找到发票示例。攻击者之后会修改付款详细信息，为之所用。

此类攻击会在客户、顾客或供应商之间造成麻烦。这是因为这种邮件实际上是由“真人”发送的。对责任划分和哪方“有错”的分歧将延迟任意形式的应对措施。

图 3. 帐户接管、外部受害者

第一个例子的变体会简单地“伪造”成公司 A 的用户（见图 4），瞄准供货商或供应商。然而，与帐户接管案例不同，通过检查电子邮件标头信息，安全团队能够很轻易地识别出该邮件并非来自真正的用户。

图 4. 向供应商发送外部“伪造”电子邮件

分析

为用户和供应商提供针对 BEC 网络钓鱼的培训

BEC 攻击并不会在电子邮件中使用恶意软件或链接，然而通过社交工程，真正受到侵害的是用户。安全和风险管理领导者应首先开始用户培训，保护其免受 BEC 攻击侵害。如“针对安全意识基于计算机培训的魔力象限”中描述的那样，可以使用多种安全意识培训解决方案。

即便没有特定的工具，也能通过内部电子邮件活动、内网消息甚至办公室海报提高 BEC 攻击防护意识。需要注意的是，负责支付（例如工资单）并拥有特权访问权限的用户（例如执行助理）应接受特定的针对性培训。此类活动所传递的主要信息在于，仅凭电子邮件并不能构成认证的有效形式，在没有额外步骤验证发件人真实身份的情况下，仅凭电子邮件不得用于认证高风险交易。

安全和风险管理领导者应在培训中囊括供应商、客户和顾客。在正式审查候选人的程序和行为时，您的供应商风险管理 (VRM) 策略应包括 BEC 意识。请确保向外部各方传递以下信息：在进行支付时，不会要求变更收款帐户，请务必通过电话确认任何此类变更。请将该政策添加至自动生成的免责声明中（位于每一封外部电子邮件的末尾），重申此信息。应提供特定的电子邮件地址或联系人信息，以报告可疑请求。考虑执行电子邮件安全编排、自动化和响应解决方案 (MSOAR)，对用户识别的可疑电子邮件进行分类。

内部财务控制应包括独立核实付款详细信息任意变更的步骤。这包括工资单支付或购买礼品卡的相关变更（另一种常见 BEC 手法）。将临时流程（例如银行账户变更和电汇明细）移至认证级别更高的系统，例如 Workday 或账户支付门户。

如果某位用户成为 BEC 攻击的受害者，请尽快将此事上报至金融组织，这十分重要。如果报告及时的话，钱款可以追回。金融犯罪执法网络 (FinCEN) 建立了快速响应计划 (RRP)，能够对所报告事件进行响应。为了追回钱款，做出了大量努力。2018 年，代号为“Operation Wire Wire”的行动逮捕了 42 名嫌犯，追回 1,400 万美元。

由于欺诈的性质使然，受害者可能花很长时间才能意识到受到诈骗，但是一旦识别出来，立即上报仍然十分重要。作为安全意识培训的一部分，用户需要明确的上报机制，而这一机制需要积极的监督。

升级至现代安全电子邮件解决方案，包含内部电子邮件保护

虽然依靠单一技术无法避免 BEC 攻击，但依然有许多技术可以帮助提供保护。大部分现代安全电子邮件网关解决方案拥有检测 BEC 的先进技术，包括基于机器学习和关系图的模式检测和用于分析历史邮件关系并识别异常的邮箱级别行为分析。安全和风险管理领导者应选择能不断适应组织发送模式的解决方案，避免选择预建模型。

应使用内部电子邮件保护来检测帐户接管。社交沟通图和机器学习在检测攻击中发挥着重要的作用。帐户接管难以识别，所以应使用规则和自然语言处理进行内容分析。有一些特定的云电子邮件安全解决方案 (CESS) 能提供特定能力，重点关注网络钓鱼和 BEC，能加入至现有的云电子邮件解决方案中，例如 Office 365。

执行技术控制，例如 MFA 和 DMARC

虽然没有一种技术能为 BEC 网络钓鱼提供 100% 的解决方案，但使用一系列辅助性安全工具，尤其是身份识别和访问管理 (IAM) 工具，能够减轻一定程度的风险。

应使用 IAM 工具针对异常行为进行监控并发出警报，尤其是“不可能的旅行”(Impossible Travel) 登录。这通常是多因素身份验证 (MFA) 或访问管理解决方案的一部分。其他查找异常或非典型登录和转发规则的技术同样也可以针对可能的帐户接管发出警报。例如，当用户在不同位置登录时，Azure AD Identity Protection 会发出警报。

尤其对于像 O365 这样的云解决方案来说，良好的访问管理是电子邮件安全的开始。当密码被泄露，MFA 对于减少帐户接管 (ATO) 攻击尤为重要。推荐使用移动推送方式、一次性密码 (OTP) 硬件令牌和 Fast IDentity Online v2 (FIDO2) 安全密钥。不赞成使用传统的带外方法（例如，使用短信服务）。在执行时，可使用条件访问规则绕过 MFA，从受信任企业网络或受信任终端设备获取权限，从而在 ATO 风险较低的情况下提升用户体验 (UX)。在远程访问情况下，通过在可配置时间段内（通常是七天）让已知终端设备“记住”MFA，进一步提升 UX。丰富的分析方法（例如 Azure AD Identity Protection）能够动态修改 MFA 行为，解决多种风险，从而延长固定 MFA 提示之间的时间间隔。

从根本上来说，电子邮件并不安全。电子邮件客户端显示的名称并不需要同真实的发件人或回复地址相匹配。已引入多种标准，尝试让 SMTP 更安全，但鲜有成功案例：发件人策略框架 (SPF)、域名密钥识别邮件 (DKIM) 和基于域的消息认证、报告和一致性 (DMARC)。尽管在执行这些方案时，采用率相对较低，但安全和风险管理领导者仍然应该执行这些方案。尤其是 DMARC，能帮助识别并屏蔽上述的伪造电子邮件（类型 1）。同时鼓励供应商和供货商执行 DMARC，保护免于类型 4 的攻击。由于报告难以阅读和理解，DMARC 配置和管理十分复杂。在执行 SPF 时，同样有一些技术局限。使用第三方工具或服务管理和执行 DMARC 往往是最有效的方式，能够在邮件不满足 DMARC 时，拒绝邮件。

表 1 描述了 BEC 攻击的不同类型以及帮助减少风险的技术。安全意识培训涵盖所有类型。

资料来源：Gartner