Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負責風(fēng)險管理項目，并支持該項目的技術(shù)PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

互聯(lián)網(wǎng)犯罪投訴中心日前發(fā)布了有關(guān)企業(yè)電子郵件欺詐活動的警告。那么，這個欺詐活動是什么，它與網(wǎng)絡(luò)釣魚攻擊有何不同?企業(yè)是否應(yīng)該部署額外安全措施來保護自身?

Nick Lewis：互聯(lián)網(wǎng)犯罪投訴中心日期發(fā)出了有關(guān)針對企業(yè)的電子郵件中間人攻擊的警告。這個攻擊活動被稱為“Business Email Compromise”，據(jù)稱在過去一年內(nèi)，該攻擊已經(jīng)導(dǎo)致全球企業(yè)損失近2.15億美元，其攻擊目標是與國外供應(yīng)商合作或定期進行電匯支付的公司。

在這種攻擊中，惡意攻擊者會感染電子郵件賬戶，或者創(chuàng)建與合法企業(yè)人員相似的賬戶，這些目標人員通常有權(quán)力進行金融交易或者指導(dǎo)他人進行金融交易。攻擊者可能會通過搜索企業(yè)網(wǎng)站來瞄準CFO、CEO或其他有權(quán)力進行交易的特定人員。

Business Email Compromise攻擊本質(zhì)上是網(wǎng)絡(luò)釣魚攻擊的擴展形式，不同之處在于，它需要誘使另一個人來完成受感染賬戶要求的金融交易。

企業(yè)可以部署一些措施來抵御這種電子郵件中間人網(wǎng)絡(luò)釣魚攻擊。

其中一個關(guān)鍵安全策略是對金融交易的審批進行雙控制。這將需要攻擊者不僅僅誘騙最初的人員來完成交易;因為會有第二個人來驗證訂單為合法交易還是詐騙活動。

此外，使用強大的財務(wù)控制將幫助控制個人錯誤地信任受感染賬戶的風(fēng)險或者限制個人直接執(zhí)行欺詐的風(fēng)險。

不幸的是，現(xiàn)在并沒有很好的技術(shù)控制來阻止這種類型的攻擊，而只能驗證所使用的電子郵件為合法且沒有受到感染。企業(yè)應(yīng)該采用雙因素身份驗證，并教導(dǎo)員工在打開電子郵件鏈接或附件時要非常謹慎。此外，對高管或財務(wù)人員的安全意識培訓(xùn)必須包括對金融交易訂單的驗證。當然，對檢測網(wǎng)絡(luò)釣魚攻擊的標準建議(例如尋找拼寫或語法錯誤)仍然適用，但在這種情況下不會太有效，因為熟練的攻擊者會查看受感染賬戶的發(fā)送文件夾，以使用賬戶持有人在此前電子郵件交易中所使用的相同的語言。但這中間會有非常微妙的線索，畢竟攻擊者在假冒收件人已經(jīng)認識的人，所以你一定要問自己，“這個人是否應(yīng)該在這個時候發(fā)郵件給我或者與不知名的公司進行交易?”如果郵件看起來可疑，則應(yīng)該對郵件以及介質(zhì)進行驗證。