Nick Lewis(CISSP,GCWN))是一名信息安全分析師。他主要負責風險管理項目,并支持該項目的技術PCI法規(guī)遵從計劃。2002年,Nick獲得密歇根州立大學的電信理學碩士學位;2005年,又獲得Norwich大學的信息安全保障理學碩士學位。在他09年加入目前的組織之前,Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學院初級兒科教學醫(yī)院,以及Internet2和密歇根州立大學工作。
互聯(lián)網(wǎng)犯罪投訴中心日前發(fā)布了有關企業(yè)電子郵件欺詐活動的警告。那么,這個欺詐活動是什么,它與網(wǎng)絡釣魚攻擊有何不同?企業(yè)是否應該部署額外安全措施來保護自身?
Nick Lewis:互聯(lián)網(wǎng)犯罪投訴中心日期發(fā)出了有關針對企業(yè)的電子郵件中間人攻擊的警告。這個攻擊活動被稱為“Business Email Compromise”,據(jù)稱在過去一年內,該攻擊已經(jīng)導致全球企業(yè)損失近2.15億美元,其攻擊目標是與國外供應商合作或定期進行電匯支付的公司。
在這種攻擊中,惡意攻擊者會感染電子郵件賬戶,或者創(chuàng)建與合法企業(yè)人員相似的賬戶,這些目標人員通常有權力進行金融交易或者指導他人進行金融交易。攻擊者可能會通過搜索企業(yè)網(wǎng)站來瞄準CFO、CEO或其他有權力進行交易的特定人員。
Business Email Compromise攻擊本質上是網(wǎng)絡釣魚攻擊的擴展形式,不同之處在于,它需要誘使另一個人來完成受感染賬戶要求的金融交易。
企業(yè)可以部署一些措施來抵御這種電子郵件中間人網(wǎng)絡釣魚攻擊。
其中一個關鍵安全策略是對金融交易的審批進行雙控制。這將需要攻擊者不僅僅誘騙最初的人員來完成交易;因為會有第二個人來驗證訂單為合法交易還是詐騙活動。
此外,使用強大的財務控制將幫助控制個人錯誤地信任受感染賬戶的風險或者限制個人直接執(zhí)行欺詐的風險。
不幸的是,現(xiàn)在并沒有很好的技術控制來阻止這種類型的攻擊,而只能驗證所使用的電子郵件為合法且沒有受到感染。企業(yè)應該采用雙因素身份驗證,并教導員工在打開電子郵件鏈接或附件時要非常謹慎。此外,對高管或財務人員的安全意識培訓必須包括對金融交易訂單的驗證。當然,對檢測網(wǎng)絡釣魚攻擊的標準建議(例如尋找拼寫或語法錯誤)仍然適用,但在這種情況下不會太有效,因為熟練的攻擊者會查看受感染賬戶的發(fā)送文件夾,以使用賬戶持有人在此前電子郵件交易中所使用的相同的語言。但這中間會有非常微妙的線索,畢竟攻擊者在假冒收件人已經(jīng)認識的人,所以你一定要問自己,“這個人是否應該在這個時候發(fā)郵件給我或者與不知名的公司進行交易?”如果郵件看起來可疑,則應該對郵件以及介質進行驗證。
京公網(wǎng)安備 11010502049343號