根據 Verizon 的資料洩露報告,商業電子郵件欺詐 (BEC) 攻擊佔 2023 年社會工程攻擊的一半以上! 網路犯罪分子不僅在增加攻擊的數量,而且在處理虛假和欺騙性電子郵件時也變得更加複雜和自動化。
如今,隨著生成式人工智慧的迅速採用,BEC 攻擊的威脅正在增長。 網路犯罪分子不僅擅長使用人工智慧編寫有說服力的網路釣魚電子郵件,而且還能夠逃避傳統電子郵件安全工具的檢測,從而增加大規模攻擊的範圍和複雜性。
隨著 2024 年 BEC 攻擊的激增,網路安全團隊和業務經理需要認識到,技術防禦只能在一定程度上降低風險。 常見的電子郵件安全防禦措施包括從反欺騙技術(如DMARC和SPF)到行為分析和其他威脅檢測,以及多因素身份驗證(MFA)和強身份和訪問管理等保護措施。 然而,為了建立有效的縱深防禦,組織需要分層實施威脅情報、以人為本的業務和技術策略,以最大限度地降低風險。
為避免經濟損失,首席資訊保安官應與其法律團隊合作,制定全面的 BEC 政策檔案,以提高使用者對攻擊的抵禦能力以下是專家推薦的 BEC 保護策略的八個關鍵要點:
1. 可接受使用規則
組織在業務和技術級別設定的頂級規則類別是員工訪問電子郵件和其他業務系統以阻止 BEC 攻擊的可接受使用標準。 根據 Britton 的說法,可接受使用政策 (AUP) 是提供基於政策的 BEC 風險保護的最低要求。
AUP 包括一般安全最佳實踐,應特別注意網路釣魚和 BEC 預防指南,其中包括:不要點選可疑的檔案附件或鏈結,不要向第三方透露敏感資訊,不要仔細檢查發票付款和工資單更改請求,不要報告可疑攻擊等等。
2. 確定安全意識培訓的頻率
與 AUP 一樣,BEC 政策也應強制要求安全意識培訓作為入職流程的關鍵部分。 但是,該政策還應規定員工在為公司工作期間應定期接受培訓。 隨著網路犯罪分子的策略不斷發展,企業應至少每四到六個月審查和更新一次。 企業可以考慮使用有助於自動化這些培訓課程的工具。
安全意識培訓更新不僅提供了有關安全威脅的寶貴警報和有關如何識別 BEC 攻擊不同階段的強化指導,還為員工提供了乙個重要的學習場所,以了解這些攻擊技術自上次培訓以來的變化情況。 Embroker 商業和網路保險公司首席保險官 D**id Derigiotis 表示:“企業需要通過安全意識培訓計畫定期向員工更新不斷變化的 BEC 威脅和政策,而模擬測試和其他審計需要成為這些定期更新的一部分。 ”
3. 強制性 BEC 特定事件響應計畫
公司董事會和首席執行官應要求首席資訊保安官在其事件響應 (IR) 計畫中包括 BEC 程式,公司應制定政策,要求安全團隊定期更新這些 IR 計畫並測試其有效性。 法律專家參與事件響應的各個階段,法律部門應特別參與內部和外部利益相關者的溝通,以確保公司在發生BEC攻擊時不會增加其法律責任。
Culahne Meadows合夥人Reiko Fe**er表示:“任何違規行為都可能帶來法律責任,因此最好在違規行為發生前進行討論,並盡可能提前計畫。 ”
FE**er 建議 BEC 政策檔案規定法律部門成為威脅建模團隊的一部分,以分析不同型別 BEC 攻擊的潛在影響,以便將法律專業觀點納入響應計畫。 “此外,洩露或暴露有關業務合作夥伴、客戶、人員等的資訊,包括機密資訊,可能會產生法律後果,在制定 IRP 和實際應對實際違規行為時也應考慮這些後果,”她說。 ”
第四禁止共享公司圖表和其他運營細節的規則
BEC 詐騙者經常利用他們對組織內部運作的了解,通過帳戶接管攻擊來針對特定員工,向受害者提出可信的請求,或設計出非常令人信服的社會工程方法。
Safeguard Cyber 的首席技術官兼首席產品官 Stephen Spadaccini 表示:“企業應該從公司中刪除組織結構圖和其他細節**。 黑客可能利用這些資訊進行有針對性的網路釣魚詐騙的職位描述; 避免在社交網路上發布詳細的個人資訊,這些資訊會落入那些準備實施個性化社交工程的人手中**。 ”
5. 發票和金融交易協議
防止BEC造成巨大損失的關鍵策略是技術不可知的,重點是建立乙個牢不可破的業務標準和流程來處理發票和觸發金融交易。
“這意味著將縱深防禦應用於整個企業的業務實踐,而不僅僅是網路安全,”Fortra 首席資訊保安官 Chris Reffkin 說。 例如,如果您通過電子郵件收到更改付款資訊的請求,業務流程的響應是什麼? ”
理想情況下,這些政策應要求所有付款都追溯到已批准的發票,並附有經過驗證的收款人姓名、位址和付款說明。 Knowbe4的辯護專家羅傑·格萊姆斯(Roger Grimes)建議:“任何臨時付款請求都必須在付款發出之前進行正式審查。 要求在批准之前使用合法渠道驗證所有付款指令更改。 ”
需要注意的是,強有力的政策可以消除攻擊者對員工施加的緊迫感和恐懼感(社會工作者攻擊),尤其是當攻擊者冒充高管或上級提出不尋常的請求時。 強有力的政策可以保護“不聽話”的員工並嚴格遵守規則。
6. 高風險變更和交易的帶外驗證
對於發票和金融交易政策,企業應特別注意如何驗證和批准高風險交易和金融賬戶變更。 Qmulos合規戰略副總裁Igor Volovich表示:“實施嚴格的流程來驗證金融交易和資料請求至關重要。 這是針對 BEC 攻擊的關鍵防禦措施,可確保對每個請求進行徹底審查。 將這些流程嵌入到日常運營中可以建立乙個強大的防禦機制。 ”
企業備份BEC的乙個重要方法是確保通過電子郵件觸發的任何高風險事件都通過某種帶外驗證過程進行跟進,該過程可以通過安全系統或SMS進行**。
DarkTower首席執行官Robin Pugh強調:“這是最重要的政策之一。 切勿僅根據電子郵件請求更改付款詳細資訊。 每當通過電子郵件請求更改付款資訊或銀行資訊時,都應制定一項策略,要求收件人始終使用受信任的 *** 語音訊息與請求者聯絡。 Pugh說,在高風險交易中增加第二個審批者還可以進一步降低風險並減少內部威脅。
Troy Gill, 威脅情報高階經理 OpenText 網路安全, 警告說,攻擊者可能潛伏在受感染的郵箱中,等待機會在發生支付活動時進行干預。 即使聯絡人通過電子郵件提供法律檔案,也應輔以帶外驗證。 “在許多情況下,攻擊者會篡改以前傳送的合法文件,將接收帳號替換為 [攻擊者控制的] 帳戶,”Gill 解釋道。 因此,在電子郵件執行緒之外確認所有更改至關重要。 ”
七、申請註冊流程
對於某些組織來說,要求臨時帶外**呼叫的策略可能不夠嚴格,無法降低 BEC 風險。 TrustNet 的首席資訊保安官兼創始人 Trevor Horwitz 解釋說,將身份驗證提公升到新水平的一種策略是建立乙個內部安全的“請求暫存器”,每個交換或更改敏感資訊的請求都將通過該暫存器。
由於來自外部的欺騙性電子郵件和來自內部的受感染電子郵件的雙重威脅,防止 BEC 需要廣泛的策略。 我們倡導一種新穎的策略,其靈感來自金融服務行業的“主動支付”欺詐預防。 霍洛維茨說。 “這項政策要求使用輔助方法對所有敏感資訊交換和更改進行主動驗證,包括收款人、銀行資訊、應收賬款和員工資料。 該機制包括乙個內部安全的“請求暫存器”,可確保在任何資訊交換或修改之前進行積極的驗證。 ”
通過此策略和方法,每個敏感請求都會在集中式系統中註冊,然後通過第二個因素進行批准,無論是一次性密碼 (OTP) 還是硬體安全金鑰(例如 FIDO2)。 “使用者接受過培訓,可以在洩露資訊或進行更改之前通過此暫存器驗證敏感請求,”霍洛維茨告訴CSO。 ”
8. 開放的舉報機制
政策、文化和流程需要專注於公開報告,使員工能夠輕鬆報告異常請求,而不必擔心因誤判而受到懲罰。 “重要的是要確保員工不害怕報告可疑事件,”Fe**er說。 越早報告,就越容易解決,但害怕的員工可能不願意承認錯誤。 ”
企業需要建立記錄在案的程式和機制來報告可疑事件,並嘗試獎勵和預防錯誤,而不是懲罰它們。 “為了增加激勵措施,我建議建立乙個獎勵系統,例如獎池或禮品卡,用於成功識別和阻止BEC攻擊企圖的人,”吉爾說。 這將有助於培養防禦心態和零信任心態,他們需要知道如何安全地做到這一點。 ”
參考鏈結:
end