因?yàn)橐环忄]件，工資就被“偷走”了？

近日有媒體報道，某大廠全體員工收到詐騙郵件，大量員工按要求掃碼并提供了銀行賬戶等敏感信息，結(jié)果可想而知，被騙人數(shù)和損失金額巨大。

防不勝防！其實(shí)，一直以來，商業(yè)郵件詐騙(BEC)事件屢見不鮮。從美國硅谷著名風(fēng)險投資公司遭受BEC攻擊，再到針對新冠疫苗廠商的攻擊……在社交工程郵件（“社工”郵件）詐騙流行的30多年里，為何此類攻擊手段能夠讓不法分子屢屢得手呢？我們又該如何防范？

BEC攻擊具有隱蔽性與普遍性特點(diǎn)

“商業(yè)電子郵件詐騙(BEC)” 是一種復(fù)雜的騙局，通過社會工程學(xué)和網(wǎng)絡(luò)入侵等方式，誘騙相關(guān)人員將錢轉(zhuǎn)入看起來是可信賴合作伙伴而實(shí)際上卻是犯罪分子的銀行賬戶，或者誘使員工或客戶泄露重要的敏感信息。所以，BEC攻擊也常被稱為“變臉”攻擊，對象主要是針對企業(yè)的高層管理和財務(wù)人員。詐騙者只需偽裝成企業(yè)CEO 、CFO或其他高管，并說服其他高管或客戶在短時間進(jìn)行經(jīng)濟(jì)交易，或者騙取相關(guān)重要信息，而犯罪者一旦成功實(shí)施詐騙，便可從中獲得巨大經(jīng)濟(jì)回報，對相關(guān)企業(yè)造成重大的經(jīng)濟(jì)損失。

亞信安全基于研究發(fā)現(xiàn)：因這些攻擊來自信任的對象，且信件內(nèi)容甚至是口吻都十分熟悉，再加之要求回復(fù)的時間緊迫，用戶自然難以識別真假。其次，由于BEC攻擊往往不攜帶可檢測攔截的URL或惡意附件等攻擊載荷，因而能輕易地避開大多數(shù)傳統(tǒng)的安全防護(hù)技術(shù)，讓傳統(tǒng)的郵件安全解決方案難以識別。而從技術(shù)層面來講，BEC又是一種相對技術(shù)含量較低的金融欺詐，但可為詐騙者帶來高回報，而風(fēng)險卻很小，因此讓其在網(wǎng)絡(luò)詐騙中廣泛使用。

技術(shù)+意識，雙管齊下治理BEC

當(dāng)前，微信、QQ等各種即時通訊工具隨手可用，但這并不意味著Email已經(jīng)過氣，作為日常工作中極為重要的通信工具，尤其是企業(yè)用戶，電子郵件往往意味著“正式”的溝通或者決策。因此，亞信安全建議企業(yè)級用戶應(yīng)從以下兩個方面建立BEC防范機(jī)制：

1、用AI技術(shù)完成郵件安全能力升級

釣魚郵件、魚叉郵件、BEC郵件都是利用社會工程學(xué)進(jìn)行攻擊的，這超越了傳統(tǒng)郵件網(wǎng)關(guān)的防御能力。而部署具備高級威脅防御能力的郵件安全設(shè)備，例如亞信安全信桅深度威脅郵件網(wǎng)關(guān)(DDEI)，不僅可以利用機(jī)器學(xué)習(xí)及人工智能技術(shù)識別BEC類的定向攻擊郵件，還能利用定制化沙箱模擬附件或URL打開過程，判斷附件或URL是否夾雜高級惡意程序，對包含加密勒索軟件，以及具備APT攻擊屬性的郵件進(jìn)行甄別防御。

【圖：亞信安全DDEI工作模型】

2、樹立“社工”攻擊防范意識

“人”是安全鏈條中最薄弱的一環(huán)，因此抵御或者說減少社會工程學(xué)的有效之道還是以人為中心的信息安全文化模型的創(chuàng)建。但是這種結(jié)合了復(fù)雜的“社工”技巧的攻擊防范并不簡單，員工需要通過系統(tǒng)、長期的培訓(xùn)，提升識別假冒郵件的能力，以及網(wǎng)絡(luò)社交工具的良好使用習(xí)慣。