Check Point: 企业如何防范“商业电子邮件入侵”?

在智能设备高度互联、企业采用混合办公的时代，网络威胁已成为渗透到企业运行的方方面面。无论规模大小，各类机构都会面临来自网络不法分子的威胁。更为重要的是，随着远程办公模式的采用和向基于云的 SaaS 应用的迁移不断增多，以入侵员工企业帐户为目标的攻击也在日益提升。黑客可通过入侵帐户访问敏感数据，并趁机进一步攻击其他员工以及供应链相关的其他机构。

攻击传播方法各不相同，但最常被利用的向量是电子邮件，后者可用作凭证收集网络钓鱼活动的载体。近年来，网络钓鱼的规模和复杂性普遍增长，从财务角度来看，最具破坏性的网络钓鱼形式是"商业电子邮件入侵"(BEC)。根据 Check Point Research 的研究，凭证收集约占所有电子邮件攻击的 15%，但却最具经济破坏性。

什么是"商业电子邮件入侵"？

商业电子邮件入侵 (BEC) 是一种网络钓鱼，攻击者使用看似合法的电子邮件地址，诱骗员工进行下一步操作。该电子邮件地址看似为真实地址，但可能缺少一个字母，或者来自免费的邮件帐户，而非公司域名。

最常见的 BEC 案例之一是商业报销诈骗，即黑客伪装成供应商，通过看似真实的电子邮件地址提交虚拟报销材料。电子邮件的收件人（可能是会计部门的工作人员）往往在没有验证邮件来源真伪时，就执行报销操作，从而造成企业财产损失。

另一种形式的 BEC 是"首席执行官"诈骗，即攻击者冒充企业高管，要求员工进行电汇转账，或者在安全网络之外共享敏感的公司数据。网络犯罪分子会精心策划骗局来让受害者深信不疑。他们通常会使用相似的电子邮件地址，并仔细推敲措辞，使其在通信中"听起来"更像"首席执行官"。诈骗分子会以高管的口吻提出紧急请求，企图利用收件人的紧迫感和畏惧心达成目的。

据美国联邦调查局 (FBI) 的数据显示，2022 年美国发生了超过 20,000 起 BEC 事件，损失总额高达 27 亿美元，而这仅仅是报告数据，实际数目可能更高。

BEC 3.0 的兴起

近年来，BEC 攻击日趋复杂，仅在 2023 年前两个月就发生了 4 万多起此类攻击。

BEC 1.0 兴起于新冠疫情期间，犯罪分子企图利用新的分布式工作环境兴风作浪。相比传统办公环境，远程办公员工更容易遭到网络钓鱼攻击，而远程办公模式也创造了更多冒充机会。在 BEC 1.0 中，电子邮件发件人伪装成同事、合作机构或知名品牌。

在一种最常见的攻击形式中，黑客冒充企业管理者，指示员工为厂商购买礼品卡。这些电子邮件大多都是纯文本，这就需要用户具有敏锐的洞察力或借助先进的人工智能 (AI) 和机器学习才能识破。BEC 1.0 至今日依然存在，但随着最终用户的安全意识不断提高，以及更多电子邮件安全层经过优化已能够检测出和阻止这些攻击，此类攻击的效果日益减弱。

在 BEC 2.0 中，电子邮件来自被入侵的帐户。这些帐户可能是同一公司内的帐户或是遭到入侵的合作伙伴帐户，其中黑客假扮业务代表实施报销诈骗，或窃取员工信息及其他敏感数据。这种形式的复杂性有所提高，因为它使用的是被入侵的合法的合作伙伴帐户。通常情况下，攻击者会从合作伙伴的现有邮件中寻找线索实施诈骗，或者先潜伏在合法对话中，等时机合适再劫持对话实施诈骗。

今年又迎来了第三波 BEC 攻击。在 BEC 3.0 中，黑客从 QuickBooks、Zoom 或 SharePoint 等合法 SaaS 服务和网站发送真实通知。从表面上看，这些通信并无不法或可疑之处，因为它们是直接从相关网站发送的。

黑客甚至可以使用与受攻击机构相同或相似的名称来让伪装看起来天衣无缝。为了实施攻击，他们会在报销材料或支付信息中添加一个电话号码，该电话号码指向一个虚拟的支持团队，打过去之后就可能会被骗。Check Point Research 在 2023 年前两个月检测到了近 4 万起此类攻击。

防范 BEC

防范 BEC 需要采取多重措施，包括采用先进技术、开展员工培训以及实施严格的数据和支付策略。

安全意识

用户必须制定并实施全面的员工培训计划，使员工能够快速识别并有效应对 BEC 威胁。员工需要仔细查看收到的电子邮件并鉴别其真实性。如果感觉不妥，则很可能存在猫腻。通过了解网络犯罪分子采用的伎俩，员工能够最大限度地降低 BEC 骗局带来的风险。

自动告警

反网络钓鱼防护是一道重要的防线，它采用复杂的人工智能 (AI) 算法来理解电子邮件语言、上下文以及发件人和收件人之间的关系，并将调查结果与作为基线的邮件数据进行比较。人工智能可以检测到不匹配的发件人地址、泄露的电话号码和书写风格的变化等危险信号 - 多种人工智能模型可帮助识别攻击迹象。在《2023 年第二季度 Forrester Wave️：企业电子邮件安全》报告中，Check Point Harmony Email & Collaboration 解决方案被评为行业领导者。该解决方案 Check Point 不仅提供内联 CAPES（云原生、支持 API 的电子邮件安全防护）部署选项（适用于 Microsoft 365 和 Google Workspace），同时还为 Teams、SharePoint、Slack 及 Dropbox 等通信和协作应用提供全面保护。

多重身份验证

最后，实施严格的数据和支付策略至关重要，这些策略应要求对资金转账或数据共享进行多重验证。通过实施上述措施，企业可以提高防御能力，确保发票和敏感信息送达预期接收者，同时降低遭遇 BEC 攻击的风险。