诈骗邮件攻击与网络安全的警示

关键要点

最近，一个针对第三方保险公司的诈骗邮件攻击事件被曝光，试图更改其托管账户的银行信息，并向一个虚假的标题保险公司支付3600万美元的账单。这起事件再次强调了企业在信息安全方面需保持高度的警觉，并加强员工培训。

在一篇博文中，Abnormal Security表示，虽然尚不清楚该保险公司是否已支付该账单，但他们成功地阻止了对其客户的一系列后续攻击，而该客户是一家知名的房地产公司，攻击者已经在电子邮件中抄送了他们。

Abnormal Security的首席信息安全官CISOMike Britton表示：“如果这次攻击成功，攻击者可能会继续对我们的客户和其他许多公司发起攻击。”

Britton解释说，攻击者首先通过欺骗性的凭证钓鱼攻击获取了与保险公司合作的房地产公司的“已发送”邮箱的访问权限。随后，攻击者建立了一个仿真的网站，并复制粘贴了关于这笔3600万美元账单的对话，唯一的变化是其通过一个“cam”域发送了一份更新的报价，附上更改银行账户信息的说明。

他指出，Abnormal的客户被抄送到电子邮件中以增加该通信的可信度。他进一步说明，在商业房地产行业，3600万美元的交易并不罕见，这种银行账户的更改理应引起警觉。

“人们因社交工程而受到影响，忽视了所有过程和程序，”Britton表示。“在这个案例中，除了银行账户信息之外，其他内容跟合法的账单没有太大区别。”

根据Abnormal Security的博客，与传统的商业电子邮件欺诈BEC不同，VEC攻击发生在攻击者控制了供应商的电子邮件账户或伪装成值得信赖的供应商，试图实施账单诈骗或其他财务欺诈。这些攻击非常成功，因为它们利用了供应商与客户之间的信任与既有关系，通过个性化和社交工程手段进行攻击。

Hoxhunt的联合创始人兼首席执行官Mika Aalto表示：“这一电汇欺诈攻击尤其狡猾和复杂，但本质上仍然只是商业电子邮件欺诈BEC手册中的一页。”

“从公开信息来看，这没有什么新鲜的，只是对高度针对性钓鱼攻击的更有效变体，每年有更多的企业因此而损失更多资金。”Aalto说，“我称之为‘教科书级别的可预防’，因为任何可能导致极大损害的人员，理应接受更全面的培训以抵御此类攻击。”

Aalto还提到，公司在面对非常规请求时，应始终仔细审查发件域名，并始终有信心致电所谓提出请求的高管。他表示，某些全球分公司的文化元素可能会使其更容易受到BEC攻击，因为员工可能不愿意质疑高层权威。

“安装简单的最佳实践和流程，比如通过安全的第二通道验证财务和数据请求，可以为公司节省大量费用。”Aalto说。“随着攻击者采用像ChatGPT这样的AI技术，这些攻击可能会变得更加复杂。我们的实验显示，尽管人类社交工程师在撰写钓鱼邮件方面仍然更优秀，但随着黑客在提示工程方面的进步，这一差距正在缩小。”

Inversion6的CISO Chris Clymer补充说，对员工，尤其是财务团队进行适当控制和严格流程的培训已经成为抵御这些攻击的重要部分，但我们不能完全依赖员工。

“像Abnormal这样的基于AI的工具在识别和阻止这些攻击