Nick Lewis(CISSP,GCWN))是一名信息安全分析师。他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划。2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位。在他09年加入目前的组织之前,Nick曾在波士顿儿童医院、哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作。
互联网犯罪投诉中心日前发布了有关企业电子邮件欺诈活动的警告。那么,这个欺诈活动是什么,它与网络钓鱼攻击有何不同?企业是否应该部署额外安全措施来保护自身?
Nick Lewis:互联网犯罪投诉中心日期发出了有关针对企业的电子邮件中间人攻击的警告。这个攻击活动被称为“Business Email Compromise”,据称在过去一年内,该攻击已经导致全球企业损失近2.15亿美元,其攻击目标是与国外供应商合作或定期进行电汇支付的公司。
在这种攻击中,恶意攻击者会感染电子邮件账户,或者创建与合法企业人员相似的账户,这些目标人员通常有权力进行金融交易或者指导他人进行金融交易。攻击者可能会通过搜索企业网站来瞄准CFO、CEO或其他有权力进行交易的特定人员。
Business Email Compromise攻击本质上是网络钓鱼攻击的扩展形式,不同之处在于,它需要诱使另一个人来完成受感染账户要求的金融交易。
企业可以部署一些措施来抵御这种电子邮件中间人网络钓鱼攻击。
其中一个关键安全策略是对金融交易的审批进行双控制。这将需要攻击者不仅仅诱骗最初的人员来完成交易;因为会有第二个人来验证订单为合法交易还是诈骗活动。
此外,使用强大的财务控制将帮助控制个人错误地信任受感染账户的风险或者限制个人直接执行欺诈的风险。
不幸的是,现在并没有很好的技术控制来阻止这种类型的攻击,而只能验证所使用的电子邮件为合法且没有受到感染。企业应该采用双因素身份验证,并教导员工在打开电子邮件链接或附件时要非常谨慎。此外,对高管或财务人员的安全意识培训必须包括对金融交易订单的验证。当然,对检测网络钓鱼攻击的标准建议(例如寻找拼写或语法错误)仍然适用,但在这种情况下不会太有效,因为熟练的攻击者会查看受感染账户的发送文件夹,以使用账户持有人在此前电子邮件交易中所使用的相同的语言。但这中间会有非常微妙的线索,毕竟攻击者在假冒收件人已经认识的人,所以你一定要问自己,“这个人是否应该在这个时候发邮件给我或者与不知名的公司进行交易?”如果邮件看起来可疑,则应该对邮件以及介质进行验证。
