10月27日,Coremail举办聚焦邮件安全热点问题探讨交流会,Coremail CTO林延中莅临直播间,为观众详解Coremail对商业电子邮件诈骗(简称:BEC)的最新研究成果,并分享了应对建议。
商业电子邮件犯罪(Business Email Compromise,简称BEC)是一种高级的电子邮件攻击,其本质是构造假身份欺骗受害者,尽量使用最少的、隐蔽性高的有效载荷(如URL或附件)来躲避检测。
通常情况下,黑客会伪装成目标受害者的同事或目标受害组织的供应商,要求他们进行付款或发送一些敏感数据。
BEC作为当今常见的邮件诈骗手段,从美国硅谷著名风险投资公司,再到中国外贸行业,均频繁遭遇BEC导致损失巨额财产,使得邮件安全从业者面临更艰巨的考验。
一、BEC攻击过程全解密
BEC还原案例原理图
上图为Coremail根据实际案例还原的BEC原理图,黑客不仅冒充了CEO的姓名,也仿冒了该外贸客户的域名,具有很强的欺骗性,结合黑客要求供应商、财务对指定账户进行打款的话术,一旦上当受骗就会遭受较大的财产损失。
什么是域名仿冒?
Coremail CTO林延中举了个例子,假设域名为yourdomain.com的情况下,黑客可能采用大小写、数字进行替换,不仔细甄别很难发现是假冒域名。
大小写、数字进行替换的域名仿冒
根据还原案例不难发现,BEC常见攻击过程分为盗号-侦查-潜伏-发起攻击-重复等五个步骤。
这也说明盗号过程(账号监测) 和 攻击过程(邮件监测)是两个BEC的关键防护重点。
“从全网来看,被盗账号是海量的,可能发生在每一个企业。那么对于Coremail而言,我们的管理难点在于尽可能的减少盗号漏判,同时使用精准的算法识别最后攻击环节的BEC邮件流量,并提供高效预警,通知对应企业的安全人员、管理人员,制止正在发生的BEC诈骗。”
——Coremail CTO 林延中
BEC防护措施一:CAC 2.0账号监测与处置
为什么处置被盗账号如此重要?
“这是因为黑客在实施BEC前期需要做大量信息收集工作,通过盗号获取员工-公司的历史邮件往来信息。
Coremail作为防守方,能够通过大数据分析和行为习惯分析识别出被盗账号。
黑客通过钓鱼或暴力破解成功盗号后,其行为与正常用户完全一致的概率微乎其微,所以当账号出现的行为与日常习惯偏离较大时,Coremail就能通过这部分异常特征识别可疑账号并处置。
——Coremail CTO 林延中
Coremail账号安全防护产品以防暴卫士为核心、威胁情报为辅,通过对邮箱账号状态进行检测,查看是否有外部的暴力破解、异常登录与内部的疑似被盗账号,有效降低邮箱账号被盗风险。
在过去的8月~10月,Coremail通过对全网检测到的异常账号进行了锁定处置,使得全网异常账号数量骤降。
由于异常账号常常被黑客当做“肉鸡”发送BEC邮件,处置异常账号也意味着BEC邮件、垃圾广告的发送量大幅减少。
BEC防护措施二:监测仿冒域名:降低BEC攻击影响
除了处置异常账号,减少BEC邮件的发送量,Coremail每个月也会检测到10~15个正在发生的BEC攻击。
攻击集中于制造业与海外贸易行业,为了减少BEC攻击带来的不良影响,Coremail通过大数据筛选+人工审核的方式,对管理员及最终用户进行告警,提醒用户可能正在遭受域名仿冒类型的商业诈骗攻击。
提醒示例
Coremail的举措也得到了客户的一致好评,满意度高达100%。
在过去的5月~9月,Coremail主动对39个客户做了BEC诈骗风险提示,降低了客户潜在的商业诈骗风险,挽回金钱损失超千万元。
邮件安全自动化处置也将成为趋势,通过账号安全+邮件威胁监测拦截,构建综合安全体系,进而提升安全作用范围,降低安全人员投入也将成为Coremail未来努力的方向。
Coremail始终倡导以“一站式解决所有邮件安全问题”为基础理念,从现有客户痛点出发,减少客户的运维压力,同时将自身的安全能力赋能给服务客户,提升客户综合防护能力,共同建设良好的邮件安全生态。
以上就是本次交流会的部分内容,更多精彩欢迎登录Coremail管理员社区查看完整回放。