“BEC攻击无需高深的技术手段,用低风险就能换取高回报。”这个说法乍一听,似乎是个不赔本的买卖,但实则非也。
近年来,商业邮件欺诈(Business Email Compromise,以下简称:BEC)攻击的身影频频出现在各个安全期刊的头版头条,已然成为了一种常见的网络攻击手法。
BEC是一种比较先进的社会工程学攻击,主要针对企业极其员工,通常以财务欺诈和商业机密窃取为动机。从技术层面来讲,商业邮件欺诈是一种相对技术含量较低的金融欺诈,
这类型攻击非常容易实施,并且不依赖于恶意文件或链接,而是通过社会工程学进行欺骗诱导。BEC攻击的一个经典形式是通过伪造电子邮件与目标员工建立联系,将电子邮件伪装成来自可信的人或组织。一旦建立信任,攻击者可能会直接要求受害者汇款或要求回复敏感信息。
为避免邮件审查和增强欺骗性,BEC攻击者还会将受害者引导至短信或即时通讯工具。比如,“诱导财务人员加群”,攻击者将电子邮件伪造成银行官方邮箱,向企业财务人员批量投递“无害”的诱导加qq邮件,一旦受害者加上qq,就会被拉到一个有“领导”的诈骗群,然后由攻击者扮演的“领导”会命令“受害者”进行后续的转账汇款。
诸如此类的BEC攻击形式日趋复杂,防不胜防。
根据近日Fortra最新发布的《2023年BEC趋势、目标和技术变化报告》,商业电子邮件欺诈( BEC)攻击正闯下历史最高水平。2023年,冒充企业的恶意电子邮件数量增速惊人,仅在前两个月就发生了 4 万多起攻击事件,其中BEC攻击占已报告威胁的99%。
从“傀儡”邮箱到AI虚假邮件,BEC攻击正飞速进化
据微软的统计数据显示,自2016年以来,BEC攻击已经导致超过260亿美元的损失。这种类型的攻击已经波及了各种规模的企业,从大公司到小企业都成为了攻击的受害者,且这些年BEC 攻击日趋复杂,网络犯罪分子不仅在增加攻击数量,而且在伪造和仿冒邮件方面变得更加老练和自动化,BEC诈骗攻击在流行性和创新性方面都得到了“飞跃式”的发展。BEC攻击的发展路径,可以大致划分为四个阶段,下面我们分别来看看:
首先是BEC 1.0 阶段,兴起于疫情期间,犯罪分子企图利用新的分布式工作环境兴风作浪。相比传统办公环境,远程办公员工更容易遭到网络钓鱼攻击,而远程办公模式也创造了更多冒充机会。在这个阶段,电子邮件发件人往往会伪装成同事、合作机构或知名品牌,或者冒充企业管理者,指示员工为厂商购买礼品卡。这些电子邮件大多都是纯文本,这就需要用户具有敏锐的洞察力或借助先进的人工智能 (AI) 和机器学习才能识破。BEC 1.0 涉及的诈骗攻击方式时至今日依然存在,但随着最终用户的安全意识不断提高,以及更多电子邮件安全层经过优化已能够检测出和阻止这些攻击,此类攻击的效果日益减弱。
接着就是BEC 2.0 阶段,受害者所接收到的电子邮件来自被入侵的合法帐户。这些帐户可能是同一公司内的帐户或是遭到入侵的合作伙伴帐户,黑客会假扮成业务代表实施报销诈骗,或窃取员工信息及其他敏感数据。通常情况下,攻击者会从合作伙伴的现有邮件中寻找线索实施诈骗,或者先潜伏在合法对话中,等时机合适再劫持对话实施诈骗。
BEC 攻击3.0 阶段,黑客开始从QuickBooks、Zoom或SharePoint等合法 SaaS 服务和网站发送真实通知。从表面上看,这些信息并无非法或可疑之处,因为它们是直接从相关网站发送的,黑客甚至可以使用与受攻击机构相同或相似的名称来让伪装看起来天衣无缝。为了实施攻击,他们会在报销材料或支付信息中添加一个电话号码,但这个虚假的电话号码连接的其实是一个虚假的支持团队,极易上当受骗。仅在去年2月前,Check Point Research 就已经检测到了近 4 万起此类攻击。
整体来看,过去的传统BEC诈骗方式往往是攻击者会冒充企业的首席执行官或高级管理人员来欺骗受害者促成重大金融交易。但目前,攻击者已经开始改变策略并扩大了他们的攻击目标列表。他们将与目标受害者相关的供应商、以及第三方或业务合作伙伴等等均同等视为攻击目标。网络犯罪分子通过包含关键内幕信息的真实电子邮件来针对性攻击大型企业,从而显著提高攻击的“合法性”和成功率。
随着现在AI的应用领域越来越广泛,网络犯罪分子已经开始利用AI来制作精心编写、无语法错误的电子邮件,这些电子邮件会进一步提高受害者受骗上当的概率,这也就是目前BEC攻击最先进的4.0版本。
此前黑客就曾创建了备受关注的WormGPT,WormGPT 在地下论坛上被宣传为执行复杂的网络钓鱼活动和BEC攻击的完美工具。恶意行为者正在创建自己的自定义模块,并且还在向其他人宣传。根据作者介绍,WormGPT 是基于 GPTJ 语言模型的 AI 模块,接受了各种数据源的培训,它现在拥有一系列功能,包括无限字符支持、聊天记忆保留和代码格式化功能。
利用WormGPT生成的BEC邮件
WormGPT的出现无疑标志着BEC攻击进入了4.0阶段,它赋予了网络犯罪分子在几秒钟内通过输入提示生成大规模诈骗电子邮件的能力,这给企业网络安全带来了前所未有的挑战。由于诈骗电子邮件的规模和多样性将达到前所未有的水平,因此企业必须应对这一新的威胁。
BEC攻击俗套的“手法”,为何频频让企业中招
BEC攻击战术的不断升级为企业带来了巨大的安全风险,而近年来因BEC攻击造成巨大经济损失的企业也不在少数。
去年6月,微软通报了一起复杂的BEC攻击,针对银行和金融服务组织。这次攻击活动利用了网络上的钓鱼工具包,使用了高级的中间人代理技术,绕过了双因素认证(2FA)。根据我们对攻击趋势的年度跟踪,早在2021年,网络上已经涌现了多个网络钓鱼即服务和网络钓鱼工具包,这显然降低了犯罪成本,使网络钓鱼活动趋向高度自动化。
在这起攻击活动中,攻击者首先接管了一个受信任的供应商的邮箱登录会话,然后使用新的会话令牌登录。攻击者打算利用供应商与其他合作伙伴组织之间的信任关系进行金融欺诈。一旦攻击者获得了邮箱权限,他们创建了一个收件箱规则,将所有传入电子邮件移动到存档文件夹,并将其标记为已读。然后,攻击者发起了大规模的网络钓鱼活动,涉及了16,000多封电子邮件。攻击者随后监视了受害者用户邮箱中未送达和已发送的电子邮件,并将其从存档文件夹中删除,使受害者对邮箱账户遭受入侵毫不知情。
从AiTM网络钓鱼攻击到BEC的攻击链
无独有偶,此前家居行业上市公司大亚圣象在其年报中披露,有攻击者入侵了全资子公司美国HomeLegendLLC公司租用的微软公司365邮箱系统,伪造假电子邮件冒充该公司管理层成员,伪造供应商文件及邮件路径,实施诈骗,涉案金额约356.9万美元,折合人民币2275.49万元。
此外,还有多家拟上市公司披露的招股书显示,他们也曾遭遇过类似的诈骗。一家已经终止IPO的公司公告显示,该公司也曾遭遇BEC诈骗。此次事件就是一次经典的BEC攻击案例,攻击者通过“诱导财务人员加入QQ群”,将电子邮件伪造成银行官方邮箱,向企业财务人员批量投递“无害”的诱导信息,财务人员添加对方QQ后,被拉入了一个有“领导”的诈骗群,然后由攻击者扮演的“领导”命令“受害者”进行后续的转账汇款。此次事件导致公司银行账户内的300万元被盗取,随后公司向所在地公安机关报案并获受理。后续公安局针对300万元诈骗款追回24万元,款项返还至公司。
按理来说,BEC攻击在原理上其实并不新鲜,并且这类社会工程邮件的骗局甚至已经流行了30多年。但是,BEC攻击为何能让不法分子屡屡得手?
事实上还是因为这些攻击是来自于受害者所信任的虚假对象,一旦攻击者锁定目标组织,他们会采用身份窃取等技术手段,盗用受害者相关同事的电子邮件帐户,使用真实可信的邮箱来发送欺诈邮件。且信件内容甚至是口吻都经过深度的伪造,这才导致安全防范意识不强的受害者难以识别真假。另外,攻击者还会设置邮件转发规则,对关键人员与合作伙伴与供应商的往来邮件进行监视,伺机对涉及金融交易的邮件进行篡改,通过修改银行账号信息来诱导目标受害者完成转账。
总体来看,BEC攻击之所以难以防范,正是因为这种攻击侧重于社交工程,不涉及明显的恶意软件或外部链接,因而能轻易避开大多数传统的安全防护技术,让传统的邮件安全解决方案难以识别。这也给企业网络安全带来了前所未有的挑战。
企业防范BEC攻击的八种有效方法
BEC攻击战术的不断升级为企业带来了巨大的安全风险,近年来因BEC攻击造成巨大经济损失的企业也不在少数。因此,为了降低BEC攻击风险,企业需要实施多层威胁情报、人员导向的业务和技术政策,并制定全面的BEC政策文档。同时,定期开展安全意识培训、禁止共享企业结构图等规则、带外验证流程、请求登记流程和开放式汇报机制、设定奖励制度激励员工积极参与防御等措施也十分重要。
企业可以重点关注以下八种BEC攻击关键防范方法:
一、设定可接受的使用规则:企业在业务和技术层面设置的首要规则类别是员工访问电子邮件和其他业务系统时的可接受使用标准,以阻止BEC攻击。可接受使用政策 (AUP) 是提供基于政策的BEC风险保护的最低要求。AUP包括常规的安全最佳实践,并应特别关注网络钓鱼和BEC防范指南,后者的内容包括:不得点击可疑文件附件或链接、不向第三方泄露敏感信息、仔细检查发票支付和工资单变更请求以及报告可疑攻击等。
二、定期开展安全意识培训:与AUP一样,安全意识培训对于企业防范BEC攻击安全风险至关重要,应规定员工在企业工作期间定期参加安全培训。安全意识培训不仅提供了宝贵的安全威胁提醒和如何识别不同阶段的BEC攻击的强化教学内容,还可以提供一个重要的学习场所,让员工了解这些攻击技术自上次培训以来发生了哪些变化。
三、强制性BEC特定事件响应计划:企业在事件响应(IR)计划中应设定包含针对BEC的程序,同时制定政策要求安全团队定期更新这些IR计划并测试其效果。企业在事件响应的所有阶段计划都有法律专家参与,法律部门尤其应该参与内部和外部利益相关方沟通事件,以确保企业在BEC攻击发生时不会增加其法律责任。任何违规都可能带来法律责任,因此最好在违规之前进行讨论,并尽可能多地提前制定预案。此外,泄露或暴露的有关商业伙伴、客户、人员等的信息,包括机密信息,可能产生法律后果,这也应该在制定IRP和实际应对实际违规行为时加以考虑。
四、调整企业结构图及运营细节披露程度:由于BEC诈骗者通常会利用对组织内部运作的了解来针对特定员工进行帐户接管攻击,向受害者提出可信的请求,或者设计出非常令人信服的社会工程方法。所以企业可适当调整企业官网组织结构图及其他详细信息的披露程度以避免企业管理者的个人信息落入黑客手中。
五、 发票和财务交易协议:对于企业来说,建立一个坚不可摧的业务标准和流程来处理发票和触发财务交易也十分重要。这意味着将纵深防御应用于整个企业的业务实践,而不仅仅是网络安全。任何临时付款请求都必须在付款发出之前进行正式审查。要求所有付款指令更改在批准之前使用合法途径进行验证。此类强力政策可以消除攻击者对员工实施社工攻击施加的紧迫感和恐惧感,尤其是攻击者冒充高管或上司提出异常请求时,这样强制执行的政策能够保护严格按规章办事的员工。
六、高风险变更和交易的带外验证:对于发票和财务交易政策,企业应特别注意如何验证和批准高风险交易和财务账户变更。实施严格的财务交易和数据请求验证流程至关重要,这是抵御BEC攻击的关键防御措施。企业为BEC设置后盾的一个重要方法是确保通过电子邮件触发的任何高风险事件都通过某种带外验证流程(可以是电话、通过安全系统或短信)进行跟进,切勿仅根据电子邮件请求更改付款/银行详细信息就进行交易。将这些流程嵌入到日常运营中可以形成强大的防御机制。
七、请求登记流程:由于来自外部欺骗电子邮件和内部受损电子邮件来源的双重威胁,企业想要预防BEC需要采取广泛的策略。企业可对所有敏感信息交换和变更采用辅助方法进行积极验证,包括收款人、银行信息、应收账款和员工数据。该机制包括一个内部安全的“请求寄存器”,可确保在任何信息交换或修改之前进行积极验证。通过这一政策和方法,每个敏感请求都会在集中式系统中注册,然后通过第二个因素获得批准,无论是电话、一次性密码 (OTP) 还是硬件安全密钥(例如FIDO2)。用户经过培训,可以在泄露信息或进行更改之前通过此寄存器验证敏感请求。
八、开放式汇报机制:企业制定政策、文化和流程时需侧重开放式汇报机制,让员工能够轻松报告异常请求事件,即使判断错误也无需担心惩罚。重要的是要确保员工不怕报告可疑事件。报告得越早,就越容易解决,但害怕的员工可能不愿意承认错误。企业需要建立报告可疑事件的文档步骤和机制,并尝试奖励阻止错误而不是惩罚错误。这将有助于培养员工的防御思维和零信任心态。
参考来源:
https://mp.weixin.qq.com/s/yJjG00RjiS50OGHP-45qmw
https://www.cloudflare-cn.com/learning/email-security/business-email-compromise-bec/
https://baijiahao.baidu.com/s?id=1790210600252222908&wfr=spider&for=pc