商业电子邮件泄露攻击是一种针对组织员工的骗局,攻击者冒充高层管理人员或其他与企业有关的受信任者。诈骗者通常试图欺骗受害者汇钱,改变工资账户或采取其他行动,使他们能够窃取公司资金。虽然BEC攻击通常是通过电子邮件进行的,但他们现在使用SMS短信来打击收件人。网络安全公司Trustwave最近的一份报告讨论了基于短信的BEC攻击的增加,并就如何打击它们提供了建议。
基于短信的BEC攻击如何运作
基于短信的BEC活动实际上在2019年开始浮出水面,有报道称短信被发送到手机上。通常情况下,BEC攻击从一封电子邮件开始,诈骗者通过该电子邮件询问受害者的电话号码。有了这些信息,网络犯罪分子就会转而使用短信作为主要的通信方式。
第一条信息通常是为了与收件人建立关系,以获得他们的信任;该信息还可能传达一种紧迫感,促使受害者迅速采取行动。为了避免被发现,攻击者可能会说他们正在开会或参加电话会议,不能接受电话。
在受害者回复信息后,攻击者就会发起骗局,通常以金融交易为中心。在一种流行的欺诈类型中,收件人被要求购买一张礼品卡,并承诺他们会得到补偿。如果这种伎俩成功,攻击者会通过一张刮开的卡的照片告诉受害者将礼品卡的代码发给他们。
攻击者如何获得手机号码
除了使用最初的电子邮件对话,攻击者还可以通过其他方式获得手机号码。在数据泄露事件中,电话号码经常与一个人的姓名、电子邮件地址和其他相关个人信息一起被泄露。在社交媒体网站上分享的电话号码可以被攻击者通过人工处理或使用机器人来刮取。
人员搜索网站为网络犯罪分子提供了另一种获取电话号码的方式。数据经纪人收集并出售消费者的个人信息,然后在这些搜索网站上免费或以小价格提供。然而,另一种获取电话号码的方法是通过 "移植 "骗局,也被称为SIM卡交换。在这种情况下,攻击者冒充受害者,安排受害者的电话号码被转移到一个不同的供应商和该攻击者使用的账户。
防范BEC攻击的建议
为了帮助保护组织免受BEC攻击,Trustwave向安全专家和用户提供了以下建议。
提供安全意识培训
BEC信息旨在挫败垃圾邮件过滤器,并利用人类的弱点;因此,IT和安全专家应向员工提供适当的培训,让他们了解如何识别可疑或恶意的电子邮件和文本信息。用户应该知道,如果他们认为某条信息可能是欺诈性的,应该采取什么措施,与谁联系。
要求通过电话验证金融交易
BEC攻击者通常将其通信限制在短信中,以避免在电话中被发现。为了避免这种陷阱,坚持要求你的组织中的任何要求的金融交易都要通过电话或亲自确认。任何与你的公司有业务往来的人都应该在官方目录中登记,以核实其身份。
实施多因素认证
添加MFA要求意味着即使账户凭证被破坏,如果没有这种辅助形式的认证,攻击者将无法获得访问权。MFA可以通过专门的认证器应用程序、一次性密码、安全问题或生物识别技术(如面部或指纹识别)来实现。
倡导社交媒体意识
确保员工意识到,在网上发布的任何数据都可能被窃取或收集。这意味着他们需要避免发布联系信息、个人信息或公司信息,如工作职责和组织结构图。
