原标题:预防BEC诈骗,从邮件安全做起!
针对BEC诈骗这样的攻击,近期我们也看到一些电子邮件安全产品中,提供新的社交工程攻击防护技术,像是内建了BEC的防护选项。借由侦测与交叉分析,针对像是邮件标题、内文与递送资讯等。(图为趋势Hosted△Email△Security产品介面)
经营企业最主要的目的就是“创造利润”,说白一点就是要赚钱,虽然过程中可能面对市场变化与经营不善,但如果是因为诈骗而造成损失,应该很不甘心。
面对商业电子邮件诈骗(BEC)这样的威胁,由于是企业本身疏于资安保护,如何“预防”交易汇款被骗走,就是企业最关心的事情。
因为BEC诈骗已经为企业带来巨额损失,我们需要有更多的警惕,至于该如何预防,如何强化电子邮件安全,就是一大议题。这次,我们也询问了多家邮件安全与资安厂商,并整理出现有应对BEC诈骗各环节的作法,以及能利用的防护技术,让企业能够多些因应之道。
养成安全的邮件使用习惯
电子邮件已经是普遍企业传递讯息不可或缺的工具,尤其是与海外业者交易联系的重要管道。
而BEC诈骗的最大特点是,都是利用普遍人们对于电子邮件太过信任的习惯,没有想到要去进一步确认寄件者,是否就是当事人,而误信更改汇款帐号与紧急电汇的内容。
一般企业该如何防范呢?由于公司本身疏于资安防护,我们先从基本的资安防护面向来看,供企业作为因应参考。
?不要用免费信箱与共用帐号?
尽量不要使用免费网络信件空间,也千万不要共用邮件帐号。要知道,这容易成为网络犯罪分子锁定的目标。
有企业可能认为,他们连公司网站都没有,怎么会成为目标,其实在参展的各式交际与交换名片过程中,就有机会被骇客搜集到资料而锁定,特别是当他们发现,有使用免费信箱与共用信箱的情形时,很有可能判断该公司是容易下手的目标,因为资安防护薄弱。
对于一些传统的中小企业而言,老板、会计与业务人员,可能都没有这方面的概念,也欠缺专业IT人员,即便生意规模可能已经作的很大。也许,当大家在接触到这样的企业时,可以适时做出一些提醒,共同提升防护意识。
?做好基本密码安全与端点防护?
由于BEC诈骗在早期发生阶段,骇客也会监看电子邮件中的财务往来细节。因此在邮件帐号与登入方面,像是密码设定不能太过简单,避免轻易遭到暴力破解,同时也要做好基本端点防护,减少骇客入侵、木马程式植入的机会,防止电邮诈骗案的发生。
?培养员工资讯安全意识?
面对各式钓鱼信件、诈骗信件,企业员工只要稍不注意,就可能一次造成巨额的损失。因此,企业平时就需要培养员工正确的资讯安全观念,尤其是交易负责人与财务相关经办人员,他们是BEC诈骗的主要收件者对象。
特别是在回复电子邮件时,也应留意收件者的E-mail△是否正确,像是来自甲的电子邮件,回复时寄件者却是乙,就是问题,但一般使用者可能并不知道会有这样的情形。同时,使用者也应对窜改电子邮件帐号的假冒与混淆手法,有些概念,才比较容易发现异常。
通过邮件安全产品的进阶防护功能,加强企业本身的资安保护
不过,对于一般使用者来说,要识破这类假冒的电子邮件,纯粹用人眼来看出也很难,也还是会有疏忽,因此通常也会建议,强化强化电子邮件系统的使用安全性,搭配一些邮件安全防护产品或辅助功能,来避免这样的状况发生,或是帮助使用者过滤。
?应用邮件加密方式确保内容安全?
企业可要求员工对重要信件进行附档加密,或是通过具有自动加密的邮件防护产品,将整封重要信件加密成ZIP、PDF,而收到信件的用户,需搭配事前通过电话约定之密码才能开启。而若要运用这样的功能,已经有一些邮件安全产品可以提供这样的功能,例如台湾本土厂商网擎。
?发送BEC测试信,提升员工资安意识?
当然,如果想要强化人员对于BEC诈骗的资安意识,也有对应的作法。像是台湾本土邮件安全厂商基点表示,他们提供的邮件渗透测试服务,也可与企业承办人员探讨订制化、针对式攻击的BEC模拟样本。
例如:寄件人伪冒为该公司的总经理,收件人为该公司的财务人员,也就是测试信的受测对象。至于邮件主旨,可以是“欧盟新开帐户及信用额度”,邮件本文则是“欧盟XX厂商要新开帐户及信用额度,此事很急,今天下午2点前要办妥,并署名总经理。”这种寄发测试信的方式,也能达到提升警觉性的效果,针对上当的使用者。
?可启用专属的BEC防护功能?
此外,近年不少邮件安全厂商,也很关注BEC诈骗的猖獗,开始在邮件防护相关产品中,加入BEC相关的防护功能。举例来说,像是趋势与Cisco的产品中就有相关设定选项,一旦系统侦测到有问题,系统预设动作会在邮件内文或标提前面加上警示字样,能够帮助使用者察觉到邮件异常,提醒使用者要进一步去确认。
台湾邮件安全厂商中华数位同样表示,现在他们的邮件过滤产品也加入智慧型诈骗邮件行为特征检测,并可针对汇款诈骗、冒名伪造网域社交邮件防御等,同时不会因为白名单设定不正确而影响判别结果。同样,也会有做出警示,企业管理者管理者只需要宣导收到类似信件警示,需做第二管道的确认,即可降低诈骗邮件入侵的风险。
而趋势科技也提到一些他们在BEC防护的技术原理,针对BEC诈骗社交工程手法,可通过机器学习来做到更精准的判断,从邮件行为与意图来侦测与交叉分析,分析邮件标头,还有像是这类社交工程信件内容有太多种写法,通过庞大的样本来学习分析,提升准确性。
?自行设定邮件管控原则?
一些邮件安全防护产品也有内寄外送的管控机制,使用者也能简单设定一些条件,像是将取名与CEO名字相同的信,如果不是内部传送的话,都要做一些特殊的处理,放到隔离区或警示。
?强化邮件帐号登入安全?
避免邮件帐密被盗遭入侵,也是避免身份遭冒用,以及邮件内容被监看的防护重点。
因此,在邮件帐号与登入安全上,企业也能强化相关防护的机制,特别像是一些企业内部如有开放员工,通过网页邮件服务、行动邮件App来收发信,应考虑是否强化相关的身份验证机制,像是搭配双因素认证,例如,以个人智慧型手机作为验证装置,确保登入邮件服务的使用者是否为本人,多一道验证程序。又或者是要有异地登入警示的机制,才不至于让企业帐号被盗,却无法立即察觉。
?采用邮件身份验证等机制?
若企业对于邮件安全有更高的条件需求,也可以注意邮件产品能够提供的SPF、DKIM与DMARC等邮件身份验证机制,或是S/MIME、PKI等加密以及签章技术,从而降低钓鱼邮件及伪造邮件的发生,甚至防护邮件传送过程中不会遭到窜改,只是,这类方法通常也要寄收件双方都能配合,施行难度较高。
至于针对假冒网域的情况,除了使用者最好要认识窜改E-Mail的混淆手法,过去有些公司在注册网域名称时,为了怕有被冒用的可能性,其实就会将这些看起来很像的网域,预先注册以防范,也是一种方法。
强化企业汇款确认流程,也是预防BEC诈骗的关键方法从BEC诈骗事件来看,都是对于电子邮件太过信任,误信更改汇款帐号与紧急电汇的内容,汇款方不察或基于信任未再向请款方求证,导致汇款至诈骗帐号,使企业可能蒙受财务损失,且双方也容易衍生交易纠纷。
若从商业流程的角度来看,由于公司本身可能疏于汇款确认,应加强公司内部商业流程的内控机制。
如以近期的BEC诈骗情境来看,简单的作法就是,看到“客户变更汇款帐户”、“CEO通知紧急电汇”的邮件内容,一定要以第二管道联系,像是立即电话确认,增加交易的安全性。
或是请执行长与财务主管能提供一些汇款帐号清单,并建立确认帐号的标准流程。让不在清单内的帐号,以及变更汇款与紧急电汇,都能有多一道审核程序。
iThome△Security
相关:
商业电子邮件诈骗事件频传,国内近年已有多家企业受害,并造成巨额损失,若是企业真的不幸遭遇,刑事警察局国际刑警科表示,可至分局以上单位报案,向165反诈骗咨询,并请银行方面同步处理。图为科技研发科股长罗国
资料来源:刑事警察局165统计,iThome整理制表,2017年9月 近年来,内政部警政署刑事警察局已经公布两起电子邮件诈骗案例,也让我们实际见识BEC诈骗所用的手段。内政部警政署刑事警察局科技研发科股长罗国良表示,
今年6月,美国FBI网络犯罪申诉中心IC3公布2016年度网络犯罪报告,其中商业电子邮件诈骗(BEC)类型造成企业3.6亿美元损失,占该年网络犯罪金额的27.1%,而它的申诉案件只占该年网络犯罪案的4%。比起勒索软件攻击,
才刚开放预订手机就搞乌龙,Essential竟因设定邮件出错外泄预订者个资
Essential手机在8月中才开放预购。 图片来源: Essential Android发明人Andy△Rubin自立门户发表的首款手机Essential在8月中才在众人期盼开放预购,但周三却传出邮件设定乌龙事件,导致预购消费者个资遭到外泄。Rub
Essential手机在8月中才开放预购。 图片来源: Essential Android发明人Andy△Rubin自立门户发表的首款手机Essential在8月中才在众人期盼开放预购,但周三却传出邮件设定乌龙事件,导致预购消费者个资遭到外泄。Rub