商业电子邮件妥协:从 Norfund 攻击中可以学到什么?

** 网络罪犯永远在磨练他们的技能和技巧。如果你不做同样的事情，那么只有一个赢家**

陷入冒名顶替者的邮件比你想象的要容易。最近的袭击使挪威的国有投资基金Norfund损失了令人瞠目结舌的1000万美元(1亿挪威克朗)。这归结为网络罪犯使用的一种简单但却极其有效的策略:伪造电子邮件地址。

从那以后，诈骗者伪造支付信息，并把现金转移到他们自己的账户上。Norfund在一份声明中表示，该事件仍在调查中，尽管它承认“我们现有的系统和程序不够安全。”

这些被称为商业电子邮件妥协(BEC)的攻击之所以奏效，是因为它们侵犯了人性，即每个人共有的固有心理特征。网络犯罪分子利用社会工程攻击欺骗员工，让他们窃取凭证、窃取敏感数据、更改工资支票和欺诈转移资金。

去年，86%的组织报告了BEC袭击事件，美国联邦调查局的最新报告显示，仅去年一年，美国的公司在美国损失了17亿美元。网络风险越来越成为执行董事会的首要考虑因素，不难理解为什么:网络犯罪分子现在以人为本，并在此过程中赚取数百万美元。

BEC的一个近亲是电子邮件账户泄露(EAC)攻击，攻击者的目标不仅仅是冒充你，而是变成你。攻击者将使用各种策略(如密码喷雾、网络钓鱼和恶意软件)接管用户的电子邮件帐户。一旦他们获得了这个账户，可能性是无穷无尽的。他们可以看到受害者是如何互动的，他们使用什么词汇，他们定期给谁发邮件，因此可以制作非常有说服力和及时的信息来欺骗目标。

你不能只保护自己不受BEC的影响，而被EAC保护。BEC和EAC非常复杂，难以防范，因为攻击者很聪明，能够适应环境，利用多种策略进入组织内部。他们通过网络或你的供应链，利用你的商业伙伴，甚至你的客户的合法领域。

问题是，区分真实的电子邮件和冒名顶替者的骗局并不总是容易的，所有工作级别和职能的员工都可能让你的业务面临风险。虽然BEC和EAC的攻击可能相当于一个简单的职业身份欺骗案例，但潜在的问题是全球员工缺乏网络安全意识。

如Proofpoint的《2020年Proofpoint’s State of the Phish Report》所述，全球相当多的工作人员对网络安全基础知识知之甚少甚至一无所知:只有61%的人理解网络钓鱼这个术语，近四分之一收到网络钓鱼邮件的人会打开邮件，超过10%的人会点击恶意链接或打开武器附件。从Norfund Attack BEC和EAC攻击中可以学到的是机会均等的骗局。

它们的目标是各种规模的组织和公司各层级的人员，难以发现和防范，尤其是使用传统工具、单点产品和本机云平台防御时。他们不使用可以用标准网络防御分析的恶意软件或恶意网址。

幸运的是，开始制定强有力的防御战略永远不会太晚——或者太早。因为这些攻击关注的是人的弱点而不是技术上的弱点，所以它们需要以人为本的防御，这种防御可以预防、检测和应对各种各样的BEC和EAC技术。以下是一些供安全团队考虑的建议:

• 整体解决BEC/EAC问题:BEC和EAC相互交织在一起。如果你只是在防范BEC，而不是在应对EAC，你的组织就暴露了。

• 实现DMARC:基于域的消息认证报告和一致性标准是第一个也是唯一一个能够使用户在电子邮件客户端看到的发件人地址可信的电子邮件认证技术。

• 实现DMARC是防止域欺骗和防止欺诈性使用您的受信任域的有效方法。DMARC还提供域名可见性，防止任何欺诈或损害品牌的电子邮件通过您的域名发送。

• 阻止对可疑网站的所有访问:攻击者经常使用网络钓鱼技术来破坏电子邮件帐户。确保您阻止了对可能窃取最终用户凭据的可疑站点的所有访问。

• 对有风险的人实施适应性控制:首先，你需要知道谁对你的组织有风险。一旦你看到了你的人类攻击面，你就可以对那些容易受到BEC/EAC攻击的人实施适应性控制。

• 培训你的最终用户:这些攻击针对的是人。您必须让最终用户了解身份欺骗策略和网络钓鱼企图。培训他们创建强密码以降低企业应用集成的风险也很重要。

无论是冒充可信同事的冒名顶替者，还是越来越令人信服的网络钓鱼电子邮件和恶意链接，在打击网络犯罪的战斗中处于第一线的都是最终用户。

这就是为什么以人为本的战略是组织必须的。这首先要确定你最脆弱的用户，并确保他们拥有保护你的组织的知识和工具。除了技术解决方案和控制措施之外，全面的安全意识培训计划必须成为您网络防御的核心。

网络罪犯非常专注——永远磨练他们的技能和技巧。如果你不做同样的事情，就只有一个赢家。Norfund不幸发现了这一点。