BEC攻击愈演愈烈，怎样才能根除这种攻击？

近年来，商业邮件欺诈  (Business Email Compromise, BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同，但它们一般都有一个共同点，就是瞄准那些拥有金融控制权的工作人员（无论其是在大型或小型组织中），然后对其实施有针对性的鱼叉式网络钓鱼攻击。最常使用的手段就是电子邮件账户接管或欺骗，欺诈者会冒充目标的同事或老板，有时候还会冒充 CEO、供应商甚至是另一个部门中职位很高的人。BEC攻击非常容易成功，因为欺诈者通常会谨慎选择攻击目标，例如可靠的业务合作伙伴或公司的CEO。2018年FBI报告称，公司商业因BEC攻击而损失的资金，高达30亿美元以上。另外， BEC攻击也越来越复杂，其目的就是利用关键主管人员对公司资源的更广泛访问以及更大的支付权限。

然后，攻击者会试图说服受害者将资金转移给他们，或是更改现有金融交易中的细节来使自己受益。根据 Proofpoint在2019年的一份研究报告，在 2018 年第四季度中，每家目标组织遭遇的 BEC 攻击数量同比增长了 476%。与此同时，Mimecast 也在其发布的《2019年电子邮件安全年度报告》中指出，假冒和 BBEC 攻击增长了67%，且其中 73% 的受害组织遭受了直接损失。

与勒索软件相比，商业邮件欺诈在每次攻击中的净收益至少高出17倍。因为 BEC 攻击所造成的伤害并不是系统攻击、停机或是生产力损失。相反地，它带来的都是直接的损失。

从技术层面来讲，商业邮件欺诈是一种相对技术含量较低的金融欺诈，可为诈骗者带来高回报，而风险却最小。在这篇文章中，我们将研究商业电子邮件攻击骗局的工作原理，以及预防措施。

商业电子邮件攻击的危害有多严重？

商业电子邮件攻击是2019年互联网犯罪领域内，造成财务损失最大的攻击，并且这个趋势还在增加。FBI的统计数据显示，平均来看，勒索软件造成的损失在每次事件中约为4400美元，在整个2019年总计约为900万美元。相比之下，BEC造成的损失约为勒索软件造成损失的17倍，每次事件约为75000美元，总财务损失超过17亿美元。

FBI在2019年记录的因互联网犯罪造成的所有财务损失（总计约35亿美元）中，BEC约占总损失的50％。

什么是商业电子邮件攻击？

商业电子邮件攻击准确地说是一种欺诈行为，总的来说，在这种欺诈中，攻击者会诱骗第三方向自己转账。

邮件攻击首先是攻击或欺骗能够授权其他员工（例如财务或应付账款员工）进行转账的高管或高级经理的电子邮件帐户。

骗局的第一部分通常涉及有针对性的网络钓鱼（又称鱼叉式网络钓鱼）攻击或通过键盘记录程序进行的凭证盗窃。例如，C-Suite高管可能会受到网络钓鱼攻击的攻击，该攻击会安装远程访问木马（RAT）来收集凭据和其他有用的业务信息。

之后，该帐户将用于指示其他员工完成来自假冒供应商的转账请求。例如，C-Suite高管的欺骗或劫持帐户可用于发送内部电子邮件，内容类似于以下内容：

由于攻击者需要说服受害者通过转账请求，因此其中必然要用到社会工程。另外，另外，还可以使用社交工程来窃取密码并攻击或欺骗最初的帐户。

如何缓解BEC？

如上所述，商业电子邮件攻击的完成必须具备三个相互关联的因素：电子邮件、人员和转账。

1.确认转账

综上所述，你的公司应该始终通过电子邮件以外的其他方式来确认转账请求，比如通过电话或通过已知的合法公司号码（电子邮件中未提供）或工作中常用的聊天软件（例如Slack），不过最好的还是面对面验证转账请求。

理想情况下，你的公司应该制定一个政策，对转账进行二次确认，这样就更安全了。另外，要求不要通过电子邮件以外的其他任何方式发起的转账请求（电子邮件本身几乎不是一种保密的交流方式）应引起你的怀疑。

2.启用多重身份验证

保护你的用户的电子邮件帐户不受攻击也应该是你的优先事项，虽然不完美，双因素认证(2FA)和多因子身份验证(MFA)将防止到目前为止的大多数帐户接管企图。在某些用例中，Yubikey（一个小型的USB设备）等硬件安全密钥值得考虑一下。

3.如何检测恶意电子邮件

免遭恶意电子邮件攻击的策略是防御策略的第三个也是绝对至关重要的一部分，长期以来，电子邮件一直是攻击者最爱用的攻击媒介。据估计，80%到95%的商业邮件攻击都是通过电子邮件传播的，所以这绝对是你需要集中精力的地方。

攻击者除了使用电子邮件的实际文本内容来进行诈骗之外，与电子邮件相关的还有两个主要的技术风险：恶意附件和链接。

3.1缓解恶意附件的策略

在商业电子邮件攻击中，攻击者可能会使用附件来运行可执行代码，这些代码可能会安装一个RAT病毒，以便安装键盘记录程序、后门和其他利用后工具来帮助窃取凭证和有用的数据，如联系人和以前的电子邮件通信。BEC的攻击者通常会花一些时间来分析他们的受害者，以便尽可能地写出令人信服的内容，从而让社会工程成功发挥作用。因此，查看防止附件执行代码的一系列选项非常重要。

附件过滤可以用多种方式来帮助缓解代码执行，例如，电子邮件扫描软件可以用来改变附件的文件格式，使它们不能执行隐藏的代码。

尽管这可能在一定程度上是有效的，但是它也具有以下缺点：它可能会阻止用户使用需要以其原始格式进行编辑或返回的文档来执行普通业务任务。鉴于这种影响，用户可能会非常排斥这种预防方式。

更好的解决方案将涉及内容撤防和重建（content disarm and reconstruction ，CDR），以解构附件并删除有害内容。这样做的好处是既高效预防又能满足用户的普通业务处理需要，因为该过程在用户级是透明的。

3.2处理宏、压缩文件和白名单

禁用或限制宏也是一个明智的主意，因为许多攻击都利用Microsoft Office的VBA脚本语言调用C2服务器并下载恶意载荷。

另外，请确保你的电子邮件扫描软件可以正确处理压缩文件。如果压缩文件没有完全解压缩文件，则可以绕过某些不复杂的扫描引擎。众所周知，攻击者会将压缩文件附加到其他文件（例如映像）上，而一些安全软件可能会忽略这一点。

另外，小心或避免使用扩展白名单文件，因为攻击者会通过使用不可执行的文件扩展名重命名可执行文件来绕过此类白名单规则。如果必须将附件列入白名单，至少要使用一种策略，即通过文件输入(扫描文件以检查其格式)白名单，以避免最简单的绕过。

3.3处理链接并验证发件人

对于包含恶意链接的电子邮件，一些组织使用的一种缓解策略是取消电子邮件中的超链接，使其无法点击。这迫使用户将链接复制并粘贴到浏览器中，这是一个有意识处理链接的过程，为用户提供了暂停和考虑他们在做什么的机会。

但是，问题再次在于，每当安全性影响生产效率和便利性时，你都会遇到用户的抵制。这种安全措施有两个缺点，既不方便，也容易出错，因为引入延迟仍然不能保证用户不会访问链接，所以请谨慎执行此策略。

处理电子邮件时要考虑的另一个因素是验证发件人，比如通过DMARC和SPF/DKIM验证。这些技术可以帮助标记出伪造的发送者身份。但当该帐户属于某个组织的合法成员，但已被攻击者攻击时，该措施可能没有帮助。

SPF：校验发件端IP地址，防止邮件诈骗。DKIM：校验邮件签名信息，防止邮件诈骗和邮件反向散射。MDARC：基于SPF/DKIM，按照真实发件端的声明进行真实性验证及异常报告。

DMARC（Domain-based Message Authentication, Reporting & Conformance）是txt记录中的一种，是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，其核心思想是邮件的发送方通过特定方式（DNS）公开表明自己会用到的发件服务器（SPF）、并对发出的邮件内容进行签名(DKIM)，而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件，接收方则按照发送方指定的策略进行处理，如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件，保障用户个人信息安全。

最后，通过使用一个AI驱动的安全解决方案来武装你的使用终端，确保你使用的设备终端不受恶意附件和恶意链接的影响，该安全解决方案可以在恶意代码试图执行时检测并阻止它，而不管它的来源是什么：文件或无文件、链接或宏。在这里，我推荐使用SentinelOne的产品，SentinelOne提供的端点保护平台已经被3500多家公司采用，该软件广泛支持各种环境。SentinelOne表示，该平台可可以保护员工的笔记本电脑、联网设备、公有云部署、容器化工作负载以及其他数字资产。该平台还能够处理各种威胁。据SentinelOne称，他们的算法不仅可以发现常规恶意软件，还可以发现将企业现有应用变成攻击武器的无文件攻击。像许多产品一样，SentinelOne在后台使用人工智能来捕获恶意行为。不过，其他平台通常是将潜在威胁相关数据发送到云中进行评估，而SentinelOne的软件是在设备本地进行分析的。

总结

验证转账并启用多因素身份验证是一种简单有效的方法，可以防止诈骗者进行商业电子邮件攻击的意图。最重要的是，分层的纵深防御方法也是一直一种实用性的防御技术。

不过防御商业电子邮件攻击的最薄弱环节，还是那些追求工作效率的员工，有时为了工作效率，员工会牺牲安全性。