全球BEC诈骗损失逾120亿美元
9月21日,2018年国家网络017年安全宣传周进入了“金融日”。这期间,中国人民银行围绕主题,集中开展防范冒充“熟人、领导、银行”等汇款的金融网络安全宣传,提醒社会大众谨防金融网络诈骗。
然而事实上,对政企用户来说,遭遇金融诈骗,后果及损失更为惨烈。
2018年7月,美国联邦调查局(FBI)发布报告指出,“商业邮件诈骗(Business Email Compromise,简称BEC)给全球带来的损失超过120亿美元”。
而据邮件安全公司Agari统计,“下半年,96%的组织遭受过至少一次BEC攻击,且平均45次BEC攻击绕过了组织现有的防护手段。82%的BEC攻击者会伪装成信任的对象,没有SEG、ATP和TAP会检测到这些危险邮件”。
难以置信?来,商业邮件诈骗(BEC)详细了解一下。
难以识别的BEC骗局
FBI在官网定义了商业邮件诈骗(BEC)——“一种复杂的骗局,通常针对公司财务相关人员,通过社会工程学和网络入侵等各种方式,诱骗相关人员将钱转入看起来是可信赖合作伙伴,实际上却是犯罪分子的银行账户”。
由于BEC攻击往往不携带可检测拦截的URL或恶意附件等攻击载荷,因而能轻易地避开大多数传统的安全防护技术,传统的邮件安全解决方案难以识别其不真实性。同时因这些攻击来自信任的对象,且时间紧迫,用户往往也难以识别真假,最终给企业带来不可挽回的巨大损失。
以FBI的图片为例,攻击者通过鱼叉式钓鱼、社会工程学、恶意软件等方式,提前做足了功课,既了解受害者的基本信息,对高管也了如指掌,同时了解公司的组织架构和汇报流程机制等。知道了针对谁,冒充谁,怎么说,什么时候说等,攻击者可以把邮件骗局编造得天衣无缝、真实可信,很难被及时发现和识破。
BEC商业邮件诈骗:欺骗的艺术
从本质上来讲,BEC商业邮件诈骗就是欺骗。但因骗局的复杂和精妙,大量商务人士不断受骗,呈现快速增长的趋势。
被中航工业集团收购的FACC一年利润约4200万欧元。但2016年,FACC因BEC诈骗就损失5000万欧元,CEO引咎辞职。其中,攻击者通过冒充可信赖的对象,给CEO发送电子邮件,要求紧急汇款。
2017年4月,谷歌、Facebook承认两年被骗1亿美元。攻击者假冒台湾广达电脑公司,向这两家公司的财务部门发送钓鱼式电子邮件,要求它们把货款汇入假广达的银行账户。
2017年8月,加拿大MacEwan University被骗1180万美元。攻击者邮件中带有真实标志的域名网站,向学校员工发送邮件,称信息有变化,要求学校更改供应商的银行信息。
借你一双“睿眼”,有效应对BEC诈骗
BEC商业邮件诈骗通过假冒/盗用身份、伪造相似域名、欺骗语境及高度定制化等方式诱骗邮件收件人。针对BEC邮件攻击的特点,睿眼·邮件攻击溯源系统提出以下解决方案:
1,对邮件来源进行检测。
根据业务需求,基于用户邮件常见的发件来源域名、IP、身份、相似域名、相似身份等进行大数据分析,建立内部威胁情报库。同时,在外部建立大型厂商、第三方、个人邮件来源库、相似域名信息库等,内外联动,对邮件可疑来源进行分析研判,并综合各项信息溯源分析,精准识别极具伪装性和隐蔽性的高级商业诈骗邮件。
2,对邮件内容进行检测。
基于业务需求、业务流程、业务核心等邮箱行为进行分析,结合外部威胁情报联动,建立并实时更新行为模型和打分机制。提取邮件主题、正文等内容后,不仅仅对关键字进行匹配,更是对内容进行综合意图分析、正文html语法分析、正文URL特征分析等,同时基于微沙箱技术对邮件中的URL进行快速、高效检测,并对贴合用户业务的伪造邮件、易上当受骗的邮件内容、诱导用户进行点击的URL等进行快速研判和处置。
3,对邮件附件进行检测。
针对BEC攻击常用的Office文档、PDF文档等进行基于内容的综合语义分析、URL特征识别及URL微沙箱检测。同时,与邮件正文意图进行关联,防止用户因受邮件正文内容诱导,对附件进行进一步操作。
来源:freebuf.com 2019-05-21 20:28:55 by: zorelworld
请登录后发表评论
注册