[[171275]]

目前而言，勒索軟件攻擊可能是企業和機構面臨的最新威脅，但其實它只能算企業和機構必須警惕的威脅之一，另一個更為突出的應該就非商業電郵詐騙(BEC)莫屬了。

BEC詐騙

從字面上看，BEC還真不容易理解，到Google搜一下，首先看到的竟然是FBI的定義。引用FBI給的圖，基本就能明白BEC詐騙的意思了。

它是一種具有高度針對性的魚叉式釣魚，通過冒充決策者的郵件，來下達與資金、利益相關的指令，其目標并不只是竊取個人信息，而是直接竊取資金。

近期趨勢

一般情況下，受害者是這樣遭受BEC詐騙的：收到一封包含釣魚鏈接的電子郵件，點擊鏈接后，會下載運行惡意軟件。惡意軟件會自動收集受害者的密碼和財務賬號信息等。

目前發現的BEC詐騙主要有以下四種類型：

類型1：偽造郵件、電話，要求轉賬到另一個賬戶;

類型2：高管的email被盜用，像財務部門發送資金申請的郵件;

類型3：員工email被盜用，向所有聯系人發送付款要求;

類型4：詐騙者冒充律師來處理機密或時間緊急的事件，或資金轉移。這種形式會給受害者帶來心里壓力，通常發生在工作日快結束時，或財務機構快關門時。

BEC攻擊者可以針對任何人發起攻擊，尤其偏好那些存在國際商業合作的企業，因為他們經常需要進行電匯付款，且往往款項數額龐大。攻擊者的目標主要集中在美國、英國以及澳大利亞等國家，但是偶爾也會針對其他國家發起攻擊(如比利時Crelan銀行和奧地利飛機 零件制造商 FACC 等)。

符合上述條件的企業應該盡早的教育自己公司的員工，尤其是公司的財務人員，如何正確地防范此類安全威脅，避免不必要的損失。因為在超過40%的商業電郵詐騙案中，都是針對目標企業的首席財務官發送釣魚郵件并誘導其進行資產轉移。財務總監以及財務控制人員 等也在釣魚攻擊之列：

BEC詐騙變化趨勢顯示：今年早些時候BEC詐騙數量呈飆升趨勢；攻擊者開始關注員工的工資單信息;安全意識培訓公司KnowBe4的新任首席財務官通過確定什么是所謂的BEC釣魚郵件，成功挫敗了此類攻擊。

釣魚郵件中的請求，看起來像是公司的CEO發送的。此類釣魚郵件首先傳遞給公司的財務控制人員，但是事實上該財務人員并不具備訪問工資信息的權限，隨后該人員將請求郵件轉發給公司的首席財務官。

趨勢科技的研究人員表示，員工們應該格外警惕這些看似由公司CEO，總裁或總經理發送的，要求進行緊急電匯的電子郵件。

這些電子郵件的主題通常是較為簡單和模糊不清的，多數只有一個詞組成，例如 “Transfer(轉發)” “Request(請求)” “Urgent(緊急)” 等。

這些郵件可以由真正的公司CEO的電子郵件賬號發出，而這個過程需要鍵盤記錄程序或后門程序的幫忙，或只是將其偽造成CEO的電子郵箱賬號的樣子。

BEC詐騙者通常利用大量的可用工具來準備和實施攻擊活動：

截止目前，BEC詐騙者已經從全球17000多家組織獲取超過23億美元的資金，而且，這僅僅是目前我們所得知的而已，不排除有相關受害者沒有通知當局關于詐騙的信息。因為擔心攻擊事件曝光后會對公司的信譽造成無法挽救的影響。

通過詐騙行為獲取的高額回報可能讓這種詐騙行為在短期內終止的可能性變得微乎其微。

因此，企業應該將更多的精力投注于員工安全意識培訓中，相關保護措施如下：

建立入侵檢測系統，標記那些長得和自己公司郵件很相似的郵件(abc_company.com 和 abc-company.com);

記錄那些和真實公司域名長得類似的山寨域名;

涉及到資金交易時，多方面校驗：電話，或多封郵件確認;

了解客戶的習慣，包括所需資金的總數，以及每筆轉賬背后的原因;

仔細檢查每一個關于轉賬的email，特別是那些不按常理出牌的;

拓展閱讀：10家專注網絡釣魚培訓的公司

1. PhishMe

[[171276]]

PhishMe公司的釣魚模擬、訓練和報告平臺目前在全球范圍內擁有超過800家企業客戶，包括其中有近一半的客戶是財富100強的企業，這些企業客戶采用他們的工具和服務來積極的讓數千名員工在模擬條件下檢測和報告網絡釣魚攻擊的威脅。

PhishMe公司還提供了一款網絡釣魚事件響應平臺，能夠針對網絡釣魚郵件更快的響應，進行自動并優先的報告發送;而他們的另一項威脅情報服務，則能夠幫助安全威脅分析人員通過診斷他們所看到的網絡釣魚活動以驗證外部威脅。

此外，PhishMe公司還提供了十幾款免費的培訓模版，以交互式的PDF文件格式或符合SCORM兼容的文件格式，可以通過一家企業客戶的學習管理系統運行。

2. PhishLabs

[[171277]]

PhishLabs的客戶包括了排名美國前五大金融機構的其中四家、全球排名前25的金融機構的其中七家、領先的社交媒體和求職網站、以及頂級的醫療保健企業、零售商、保險和科技公司。

PhishLabs公司的創始人兼首席執行官約翰·拉科建議說：

“讓模擬場景盡可能的真實。如果您希望您企業的員工們能夠及時發現并報告真實世界的網絡安全攻擊，那么，您的模擬測試絕對需要能夠反映他們最有可能在真實世界的所看到的網絡攻擊。”

3. IronScales

[[171278]]

IronScales公司為企業客戶提供網絡釣魚模擬和游戲化的企業員工安全意識培訓。

根據從約60多家企業所收集到的數據顯示，其結果是，網絡釣魚郵件的點擊率將明顯降低，而員工向安全管理人員轉發網絡釣魚郵件的比例比之前增長了200%。

4. MediaPr

[[171279]]

Mediapro公司為企業客戶提供培訓和鞏固方案，以及自適應的網絡釣魚模擬器。該公司的客戶包括微軟、T-Mobile、Expedia、思科、甲骨文、波音公司、萬豪酒店、Costco和其他財富500強企業。

MediaPro Holdings, LLC公司的董事總經理史蒂夫·康拉德表示：

“并非所有的網絡釣魚活動都是一樣的，而且也不應該是一樣的。您企業將需要使用不同的模式，來測試發送復雜程度完全不同的網絡釣魚郵件，而那些不同的模式會產生不同的效果。而如果一而再，再而三的發送相同或類似的 網絡釣魚郵件，您郵件的最終用戶所顯示的網絡釣魚報告將是：郵件的點擊率固然會大幅下降，但這并不會幫助您實現您最初的測試目標。”

5. KnowBe4

[[171280]]

KnowBe4擁有面向安全意識培訓的解決方案和旨在加強日常用戶教育的模擬網絡釣魚平臺。這家總部位于佛羅里達州克利爾沃特的公司在過去三年的增長率達到了2528%，2015年銷售額680萬美元。公司在INC 5000上總分排名第139位。世界頭號黑客大神凱文·米特尼克是KnowBe4公司的首席黑客官。

KnowBe4公司也提供了一款免費的釣魚安全測試。該公司還提供一次性的免費電子郵件曝光檢查，以幫助確定企業雇員的電子郵件地址是否被暴露于公眾。

6. Wombat

[[171281]]

Wombat公司聲稱擁有1000多家企業客戶，并提供自動化的網絡釣魚測試和培訓模塊服務。

該公司是在這個領域最早的供應商之一，于2008年由卡內基·梅隆大學的一個研究項目發展而來。此后，該公司繼續專注于研究，并定期推出有關網絡釣魚的趨勢和培訓效果的研究報告。例如， Wombat公司與安全研究中心Ponemon Institute進行合作，以確定平均執行程序導致了37倍投資的回報。

7. Inspired eLearning

該公司為其客戶提供了反網絡釣魚訓練，以幫助企業客戶的員工時刻將保持網絡安全放在首位。該公司的客戶包括富蘭克林鄧普頓投資公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集團(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美國農業部(the USDA)和ABB。

其PhishProof產品可作為一款完全托管的服務，而該公司的專家設計團隊則提供部署評估和培訓，或作為軟件即服務模型，可通過在線軟件的形式在幾分鐘內用于創建和部署評估。

8. Blackfin

Blackfin Security公司是賽門鐵克的下屬子公司，該公司提供網絡釣魚模擬和培訓服務。網絡安全意識培訓可以被集成整合到在線的網絡釣魚模擬評估即時培訓，或者企業用戶也可以根據他們的日程來安排適合他們的后續培訓。

此外，該公司還提供了針對社會工程、惡意軟件、物理安全、和使用公共WiFi網絡的培訓模塊，以及其他一般的安全議題。

9. PhishLine

[[171282]]

PhishLine公司不僅支持反釣魚測試，還將目標瞄準了更廣泛的社會工程攻擊，包括短信、電話、甚至是“不小心丟失”的U盤。

今年早些時候，PhishLine公司為基于第三方的計算機市場推出了培訓材料，包括數以百計的釣魚模板，自定義的登陸頁面，風險評估調查和多語種的安全培訓內容。

除了訓練和模擬服務，該公司還提供測量工具，使得企業用戶可以跟蹤他們的計劃是否成功。例如，其中的一款測量工具可用于游戲化，是基于風險的評 分工具。企業用戶可以在這里設置訓練成績，進而可以對員工個人，部門或其他團體的評分進行比較，或對企業內部或外部的評分基準進行定制。

10. InfoSec Institute

[[171283]]

這家公司最出名的是他們的企業安全培訓、新兵訓練營和認證計劃。

他們還提供了交互式的安全意識在線培訓模塊。他們的SecurityIQ產品結合了基于計算機的安全意識培訓和一款基于云的網絡釣魚模擬器服務。企業用戶可以設置自動的項目，隨著時間的推移為其雇員發送網絡釣魚測試，或提醒雇員報名參加他們的網絡安全意識培訓。