商業電子郵件妥協:從 Norfund 攻擊中可以學到什么?

** 網絡罪犯永遠在磨練他們的技能和技巧。如果你不做同樣的事情，那么只有一個贏家**

陷入冒名頂替者的郵件比你想象的要容易。最近的襲擊使挪威的國有投資基金Norfund損失了令人瞠目結舌的1000萬美元(1億挪威克朗)。這歸結為網絡罪犯使用的一種簡單但卻極其有效的策略:偽造電子郵件地址。

從那以后，詐騙者偽造支付信息，并把現金轉移到他們自己的賬戶上。Norfund在一份聲明中表示，該事件仍在調查中，盡管它承認“我們現有的系統和程序不夠安全。”

這些被稱為商業電子郵件妥協(BEC)的攻擊之所以奏效，是因為它們侵犯了人性，即每個人共有的固有心理特征。網絡犯罪分子利用社會工程攻擊欺騙員工，讓他們竊取憑證、竊取敏感數據、更改工資支票和欺詐轉移資金。

去年，86%的組織報告了BEC襲擊事件，美國聯邦調查局的最新報告顯示，僅去年一年，美國的公司在美國損失了17億美元。網絡風險越來越成為執行董事會的首要考慮因素，不難理解為什么:網絡犯罪分子現在以人為本，并在此過程中賺取數百萬美元。

BEC的一個近親是電子郵件賬戶泄露(EAC)攻擊，攻擊者的目標不僅僅是冒充你，而是變成你。攻擊者將使用各種策略(如密碼噴霧、網絡釣魚和惡意軟件)接管用戶的電子郵件帳戶。一旦他們獲得了這個賬戶，可能性是無窮無盡的。他們可以看到受害者是如何互動的，他們使用什么詞匯，他們定期給誰發郵件，因此可以制作非常有說服力和及時的信息來欺騙目標。

你不能只保護自己不受BEC的影響，而被EAC保護。BEC和EAC非常復雜，難以防范，因為攻擊者很聰明，能夠適應環境，利用多種策略進入組織內部。他們通過網絡或你的供應鏈，利用你的商業伙伴，甚至你的客戶的合法領域。

問題是，區分真實的電子郵件和冒名頂替者的騙局并不總是容易的，所有工作級別和職能的員工都可能讓你的業務面臨風險。雖然BEC和EAC的攻擊可能相當于一個簡單的職業身份欺騙案例，但潛在的問題是全球員工缺乏網絡安全意識。

如Proofpoint的《2020年Proofpoint’s State of the Phish Report》所述，全球相當多的工作人員對網絡安全基礎知識知之甚少甚至一無所知:只有61%的人理解網絡釣魚這個術語，近四分之一收到網絡釣魚郵件的人會打開郵件，超過10%的人會點擊惡意鏈接或打開武器附件。從Norfund Attack BEC和EAC攻擊中可以學到的是機會均等的騙局。

它們的目標是各種規模的組織和公司各層級的人員，難以發現和防范，尤其是使用傳統工具、單點產品和本機云平臺防御時。他們不使用可以用標準網絡防御分析的惡意軟件或惡意網址。

幸運的是，開始制定強有力的防御戰略永遠不會太晚——或者太早。因為這些攻擊關注的是人的弱點而不是技術上的弱點，所以它們需要以人為本的防御，這種防御可以預防、檢測和應對各種各樣的BEC和EAC技術。以下是一些供安全團隊考慮的建議:

• 整體解決BEC/EAC問題:BEC和EAC相互交織在一起。如果你只是在防范BEC，而不是在應對EAC，你的組織就暴露了。

• 實現DMARC:基于域的消息認證報告和一致性標準是第一個也是唯一一個能夠使用戶在電子郵件客戶端看到的發件人地址可信的電子郵件認證技術。

• 實現DMARC是防止域欺騙和防止欺詐性使用您的受信任域的有效方法。DMARC還提供域名可見性，防止任何欺詐或損害品牌的電子郵件通過您的域名發送。

• 阻止對可疑網站的所有訪問:攻擊者經常使用網絡釣魚技術來破壞電子郵件帳戶。確保您阻止了對可能竊取最終用戶憑據的可疑站點的所有訪問。

• 對有風險的人實施適應性控制:首先，你需要知道誰對你的組織有風險。一旦你看到了你的人類攻擊面，你就可以對那些容易受到BEC/EAC攻擊的人實施適應性控制。

• 培訓你的最終用戶:這些攻擊針對的是人。您必須讓最終用戶了解身份欺騙策略和網絡釣魚企圖。培訓他們創建強密碼以降低企業應用集成的風險也很重要。

無論是冒充可信同事的冒名頂替者，還是越來越令人信服的網絡釣魚電子郵件和惡意鏈接，在打擊網絡犯罪的戰斗中處于第一線的都是最終用戶。

這就是為什么以人為本的戰略是組織必須的。這首先要確定你最脆弱的用戶，并確保他們擁有保護你的組織的知識和工具。除了技術解決方案和控制措施之外，全面的安全意識培訓計劃必須成為您網絡防御的核心。

網絡罪犯非常專注——永遠磨練他們的技能和技巧。如果你不做同樣的事情，就只有一個贏家。Norfund不幸發現了這一點。