电子邮件已经存在了 40 多年,而破坏电子邮件帐户的尝试似乎已经存在了近 40 年。
随着消息量持续增长——每天发送约 3300 亿条消息,高于五年前的 2700 亿条——攻击的频率和复杂性也在增加。 最严重的攻击者之一被称为商业电子邮件泄露 (BEC) 攻击。
什么是商业电子邮件妥协 (BEC) 攻击?
BEC 攻击是一种复杂的社会工程形式,攻击者发送的消息看起来像是来自公司内部的高管。 此类网络钓鱼攻击的目标是诱骗受害者将钱汇入攻击者控制的账户。
一旦攻击者开始发送虚假支付请求,他们就很难被发现。 因此,更好的策略是首先阻止他们获得访问权限。 (另请阅读:2021 年对抗勒索软件攻击的最佳方式。)
据 FBI 称,2020 年网络犯罪分子通过利用基于云的电子邮件服务从美国企业窃取了超过 20 亿美元,其中一半事件被确定为与 BEC 相关。
三分之二的 BEC 攻击针对基于云的电子邮件系统,其中 98% 针对 Office 365 中的漏洞。
企业电子邮件妥协攻击如何运作?
在大流行的高峰期,许多公司实施了条件访问策略,以保护他们的网络在人们在家工作时免受网络钓鱼攻击。 即使攻击者窃取或猜测了合法用户的密码,他们也只能从由其 IP 地址确定的特定位置登录。
在同一份年终报告中,2021 年发现的 BEC 攻击中大约有一半被此类条件访问策略阻止。 其余的则使用 VPN 来欺骗攻击者的物理位置,从而绕过这些策略。 自 2019 年以来,研究人员发现使用 VPN 和托管服务提供商访问受感染帐户的情况增加了 50%。 (另请阅读:零信任模型优于 VPN。原因如下。)
去年十分之一的攻击设法规避了薄弱的多因素身份验证 (MFA) 保护——要么使用不支持 MFA 的旧协议访问邮箱,要么使用网络钓鱼攻击将受害者带到虚假的 Okta 或 OneLogin 身份验证页面。
然后,攻击者将窃取的身份验证代码传递到真实的 Okta 或 OneLogin 页面,使用经典的中间人攻击来访问您的帐户。
BEC 攻击示例
即使是具有复杂安全操作的组织也曾成为 BEC 攻击的受害者。 事实上,两家非常知名的科技公司的员工都遭受了公开报道的最大 BEC 骗局。
在三年的时间里,一位名叫 Evaldas Rimasauskas 的立陶宛诈骗犯欺骗了 Facebook 和谷歌的员工,向他发送了超过 1.2 亿美元。 为此,他创建了一家与真实笔记本电脑制造商同名的假冒笔记本电脑制造商,然后让这些公司向他电汇假发票付款。 (2019 年,Rimasauskas 被判入狱 5 年。)
不仅仅是这两家科技巨头。 丰田、波多黎各政府、萨斯卡通市、法国百代连锁电影院以及成千上万的人都成为受害者。
道德? 如果这些组织可以被 BEC 诈骗者骗取,那么您的组织也可以。
谁最容易受到 BEC 攻击?
去年检测到的绝大多数 BEC 攻击都针对 Office 365。只有不到 1% 的攻击目标是 Gmail。 原因与这些电子邮件系统的设置方式有关。
在 Office 365 交换中,默认情况下启用 IMAP 和 POP 3 协议。 这些遗留协议都不支持多因素身份验证 (MFA)。 Office 365 还支持基本身份验证,允许用户通过在设备上存储用户名和密码来访问收件箱。 这使得帐户容易受到密码喷洒或暴力攻击。
另一方面,Google Workspace 默认禁用这些功能,但您可以根据需要打开它们。 (我们的建议?不要。)
甚至微软也最终决定从 2022 年 10 月开始禁用基本身份验证。但这仍然给攻击者六个月的时间来破坏您的业务。
如何防范 BEC 攻击并限制风险
您可以采取一些措施来减少遭受 BEC 攻击的风险,尤其是当您的组织使用 Office 365 时:
禁止访问不支持多种身份验证方法的旧协议。 这包括 POP 3、IMAP 和基本身份验证。
为容易成为攻击者目标的员工实施更高级别的条件访问。 例如,这可能意味着高级管理人员或有权访问敏感或专有数据的人员。
实施 MFA。 但请确保部署由 FIDO(快速 ID 在线)联盟支持的防网络钓鱼安全密钥。 FIDO 密钥通过验证用于输入用户凭据的浏览器来防止中间人攻击。 (另请阅读:加密密钥管理和数据安全的 10 个最佳实践。)
部署 Okta 的自适应多因素身份验证 (AMFA) 功能。 AMFA 可以检测并阻止涉及异常位置、新设备或同一天来自两个非常遥远的站点的登录尝试(又名“不可能的旅行”)的可疑身份验证尝试。
留意可疑的身份验证活动。 Azure AD Identity Protection 和 Microsoft Defender for Cloud Apps 是这方面的绝佳工具。 它们允许您监控员工的常见身份验证模式并标记非典型行为——可能表示攻击正在进行并且员工的密码需要更改。
结论
只要 BEC 攻击继续为网络犯罪分子创造数十亿美元的利润,它们就只会增加。 随着行业朝着“默认安全”的方向发展,对 MFA 安全的攻击也将增加。 现在采取基本步骤来防止电子邮件泄露是防止未来出现一些代价高昂的影响的最佳选择。
