10月27日,Coremail舉辦聚焦郵件安全熱點問題探讨交流會,Coremail CTO林延中莅臨直播間,為觀衆詳解Coremail對商業電子郵件詐騙(簡稱:BEC)的最新研究成果,并分享了應對建議。
商業電子郵件犯罪(Business Email Compromise,簡稱BEC)是一種進階的電子郵件攻擊,其本質是構造假身份欺騙受害者,盡量使用最少的、隐蔽性高的有效載荷(如URL或附件)來躲避檢測。
通常情況下,黑客會僞裝成目标受害者的同僚或目标受害組織的供應商,要求他們進行付款或發送一些敏感資料。
BEC作為當今常見的郵件詐騙手段,從美國矽谷著名風險投資公司,再到中國外貿行業,均頻繁遭遇BEC導緻損失巨額财産,使得郵件安全從業者面臨更艱巨的考驗。
一、BEC攻擊過程全解密
上圖為Coremail根據實際案例還原的BEC原理圖,黑客不僅冒充了CEO的姓名,也仿冒了該外貿客戶的域名,具有很強的欺騙性,結合黑客要求供應商、财務對指定賬戶進行打款的話術,一旦上當受騙就會遭受較大的财産損失。
二、什麼是域名仿冒?
Coremail CTO林延中舉了個例子,假設域名為http://yourdomain的情況下,黑客可能采用大小寫、數字進行替換,不仔細甄别很難發現是假冒域名。
大小寫、數字進行替換的域名仿冒
根據還原案例不難發現,BEC常見攻擊過程分為盜号-偵查-潛伏-發起攻擊-重複等五個步驟。
這也說明盜号過程(賬号監測) 和 攻擊過程(郵件監測)是兩個BEC的關鍵防護重點。
“從全網來看,被盜賬号是海量的,可能發生在每一個企業。那麼對于Coremail而言,我們的管理難點在于盡可能的減少盜号漏判,同時使用精準的算法識别最後攻擊環節的BEC郵件流量,并提供高效預警,通知對應企業的安全人員、管理人員,制止正在發生的BEC詐騙。”
——Coremail CTO 林延中
BEC防護措施一:CAC 2.0賬号監測與處置
為什麼處置被盜賬号如此重要?
這是因為黑客在實施BEC前期需要做大量資訊收集工作,通過盜号擷取員工-公司的曆史郵件往來資訊。
Coremail作為防守方,能夠通過大資料分析和行為習慣分析識别出被盜賬号。
黑客通過釣魚或暴力破解成功盜号後,其行為與正常使用者完全一緻的機率微乎其微,是以當賬号出現的行為與日常習慣偏離較大時,Coremail就能通過這部分異常特征識别可疑賬号并處置。
——Coremail CTO 林延中
Coremail賬号安全防護産品以防暴衛士為核心、威脅情報為輔,通過對郵箱賬号狀态進行檢測,檢視是否有外部的暴力破解、異常登入與内部的疑似被盜賬号,有效降低郵箱賬号被盜風險。
在過去的8月~10月,Coremail通過對全網檢測到的異常賬号進行了鎖定處置,使得全網異常賬号數量驟降。
由于異常賬号常常被黑客當做“殭屍電腦”發送BEC郵件,處置異常賬号也意味着BEC郵件、垃圾廣告的發送量大幅減少。
BEC防護措施二:監測仿冒域名:降低BEC攻擊影響
除了處置異常賬号,減少BEC郵件的發送量,Coremail每個月也會檢測到10~15個正在發生的BEC攻擊。
攻擊集中于制造業與海外貿易行業,為了減少BEC攻擊帶來的不良影響,Coremail通過大資料篩選+人工稽核的方式,對管理者及最終使用者進行告警,提醒使用者可能正在遭受域名仿冒類型的商業詐騙攻擊。
提醒示例
Coremail的舉措也得到了客戶的一緻好評,滿意度高達100%。
在過去的5月~9月,Coremail主動對39個客戶做了BEC詐騙風險提示,降低了客戶潛在的商業詐騙風險,挽回潛在金錢損失超千萬元。
郵件安全自動化處置也将成為趨勢,通過賬号安全+郵件威脅監測攔截,建構綜合安全體系,進而提升安全作用範圍,降低安全人員投入也将成為Coremail未來努力的方向。
Coremail始終倡導以“一站式解決所有郵件安全問題”為基礎理念,從現有客戶痛點出發,減少客戶的運維壓力,同時将自身的安全能力賦能給服務客戶,提升客戶綜合防護能力,共同建設良好的郵件安全生态。
以上就是本次交流會的部分内容,更多精彩歡迎登入Coremail管理者社群檢視完整回放。
精華檢視
了解Coremail CTO