老話說，授人以魚不如授人以漁。但如今，黑客甚至都不用網絡釣魚就能入侵商業(yè)電子郵件賬戶了。

FBI今年早些時候發(fā)布的一份警報中顯示，2013年10月以來，商業(yè)電子郵件入侵(BEC)和電子郵件賬戶侵害(EAC)共造成了120億美元的損失。傳統(tǒng)上，社會工程和入侵技術是攻擊者染指商業(yè)電子郵件賬戶和誘騙人們轉賬到騙子所控賬戶的常見方式。這些方法是這么執(zhí)行的：

1. 社會工程和電子郵件欺詐

攻擊者運用社會工程方法假扮成公司同事或商業(yè)合作伙伴，發(fā)送要求轉賬或獲取信息的虛假請求。因為攻擊者事先花費精力篩選出合適的受害者并注冊幾乎可以假亂真的域名，這些社工電子郵件非常具有說服力，乍看之下跟真的出自同事或供應商之手一樣。

2. 接管賬戶

攻擊者用信息竊取型惡意軟件和鍵盤記錄器劫持公司電子郵件賬戶，然后用這些被盜賬戶向同事、會計部門和供應商發(fā)送虛假請求。他們還可以修改郵箱規(guī)則，轉發(fā)受害者的郵件到自己的郵箱，或者讓已發(fā)送郵件列表中不顯示攻擊者發(fā)出的郵件。

這些技術在相當一段時間里給攻擊者帶來了莫大利益。但如今又出現(xiàn)了新的更加敏捷的入侵商業(yè)電子郵件賬戶的方法。犯罪論壇上提供的被盜憑證，第三方暴露的憑證，以及錯誤配置的備份及文件共享服務揭示的憑證，讓通過BEC獲利變得更加容易了。電子郵件收件箱不僅僅被用于要求轉賬，也被攻擊者用于盜取賬戶中存儲的金融相關信息，或者向其他雇員索要敏感信息。隨著BEC門檻的降低，以及此類詐騙變現(xiàn)方式的增多，BEC所致?lián)p失可能會持續(xù)上升，甚至加速上升。

新的BEC方法是如何運作的：

1. 購買訪問權

犯罪論壇上共享和售賣賬戶的現(xiàn)象很常見，財務部門和CEO/CFO的電子郵箱也不例外。獲取郵箱權限的工作甚至還可以外包給網絡黑客，他們會以收益提成或固定價格的方式從公司憑證上盈利。(起價甚至會低到150美元)。

2. 從以往被黑的憑證中尋找機會

人們常會在多個賬戶上重復使用口令。一項研究中，某第三方數(shù)據(jù)泄露存儲庫中就暴露出超過3.3萬個財務部門電子郵件地址，其中83%都有相關聯(lián)的口令。因為很多財務部門電子郵件賬戶的郵箱和口令組合已經被泄，網絡罪犯可從中找到大量機會。

3. 搜索錯誤配置的文件存檔

收件箱，尤其是財務部門和CEO/CFO的郵件收件箱，充滿財務相關信息，比如合同掃描件、采購訂單、工資及稅單。這些信息可被用于詐騙或在論壇和黑市上重復售賣。殘酷的現(xiàn)實是，根本無需深入暗網，公網上就有很多免費的敏感數(shù)據(jù)。公司雇員和承包商有時候會貪圖方便而以不安全的方式存檔電子郵件。僅一項調查就發(fā)現(xiàn)，因為未經身份驗證或配置錯誤的文件存儲，包含“發(fā)票”、“支付”或“采購訂單”的1250萬封電子郵件存檔和5萬封電子郵件暴露在了公網上。

無論攻擊者使用何種BEC欺詐方法，以下7種安全措施都有助于緩解這一風險。

• 更新安全意識培訓項目內容，納入BEC場景。這應是新員工培訓的一部分，但如今還需針對該場景進行特別培訓。
• 將BEC納入應急響應計劃，就像你將勒索軟件和破壞性惡意軟件歸入事件響應/業(yè)務連續(xù)性計劃中一樣。
• 與轉賬應用供應商合作建立大額轉賬手動控制機制和多人授權方式。
• 監(jiān)視已暴露的憑證。不僅僅是財務部門電子郵件，所有用戶賬戶都要監(jiān)視。多因子身份驗證可以增加攻擊者執(zhí)行賬戶接管操作的難度。
• 對高管數(shù)字蹤跡執(zhí)行持續(xù)評估?？梢詮氖褂霉雀鐰lerts跟蹤與他們相關的新Web內容開始。
• 防止電子郵件存檔被公開。對服務器消息塊(SMB)、異地備份和文件傳輸協(xié)議(FTP)之類的服務，各自采用唯一的強口令，禁用來賓或匿名訪問，并用防火墻屏蔽掉面向互聯(lián)網的端口。如果服務必須放在互聯(lián)網上或者不能設置口令，那就設置白名單，只將明確允許訪問該資源的IP納入該白名單。
• 關注將電子郵件備份在網絡附加存儲(NAS)設備上的承包商帶來的風險。用戶應設置口令并禁用來賓/匿名訪問，選擇默認安全的NAS設備。理想狀態(tài)下，公司企業(yè)應提供家用NAS硬盤使用風險的培訓，并拿出備份解決方案，以便承包商和雇員不用在自己家里備份設備。

因為公司企業(yè)為黑客獲取郵件中有價值信息打開了方便之門，BEC正變得越來越有利可圖。但只要人員、過程和技術到位，公司企業(yè)還是可以緩解這一風險。

網站欄目：黑客無需網絡釣魚進入Email收件箱
URL網址：http://uogjgqi.cn/article/cojeddp.html