最新动态
NEWS
最新动态 > 商业欺诈邮件(BEC)造成的损失是勒索软件的64倍
商业欺诈邮件(BEC)造成的损失是勒索软件的64倍
2021-03-22

最新发布的《2020年互联网犯罪报告》显示,商业电子邮件泄露(BEC)诈骗2020年给企业造成的损失超过18亿美元。根据FBI公布的统计结果,BEC攻击造成的损失比勒索软件造成的损失严重64倍。

报告显示,2020年美国联邦调查局接获的投诉和经济损失金额创下新高,互联网犯罪投诉中心(IC3)去年收到791,790宗投诉,较2019年增长69%,造成超过40亿美元的损失。

尽管勒索软件往往在网络犯罪的头条新闻中占据主导地位,但是与商业电子邮件欺诈造成的损失相比却是小巫见大巫。虽然大多数投诉是针对网络钓鱼,未付款/未送达诈骗和勒索,但大约一半的损失是由商业电子邮件欺诈(BEC)、信任诈骗以及投资欺诈造成的。

Agari威胁研究高级总监Crane Hassold说。“勒索软件是最受媒体关注的话题,但仅占网络犯罪损失的1%。BEC占去年所有网络攻击损失的37%。这是一个令人发指的数字。鉴于‘欺骗’可能是BEC的一部分,因此总损失额接近21亿美元。”

商业邮件诈骗(BEC),是一种复杂的骗局,通常针对公司财务等要职人员,通过社会工程学和网络入侵等各种方式,诱骗相关人员将钱转入看起来是可信赖合作伙伴,实际上却是犯罪分子银行账户的欺诈电子邮件。

由于BEC攻击往往不携带可检测拦截的URL或恶意附件等攻击载荷,因而能轻易地避开大多数传统的安全防护技术,传统的邮件安全解决方案难以识别。用户往往会被误导执行操作,最终给企业带来不可挽回的巨大损失。

攻击者一般通过鱼叉式钓鱼、社会工程学、恶意软件等方式实施攻击。他们会提前做足了功课,了解受害者的基本信息,对高管了如指掌,同时了解公司的组织架构和汇报流程机制等。明白针对谁,冒充谁,怎么说,什么时候说等,攻击者可以把邮件骗局编造得天衣无缝、真实可信,受害者们很难发现和识破。

商务密邮:因攻击者知道的太多太具体,才能发动如此迷惑性强且精准的BEC攻击。所以推断,受害企业可能存在通信外泄导致的连锁反应。

如何拥有一双“慧眼”,避免商业欺诈邮件攻击呢?

1、首先,仔细核对邮件地址的合法性,最好使用企业专属邮件收发软件,具有内部通信录,一旦有冒名邮件也能快速识别。

2、对要求比较敏感的邮件应谨慎处理,如涉及转账、汇款、重要信息传送的,应及时于对方进行电话沟通,确认信息的准确性。

3、加密收发电子邮件。办公或重要文件传达时,应在安全可靠的网络环境下,进行加密后发送。即使因

4、不连接公共wifi。在外如需收发敏感信息,尽可能使用4G或5G手机移动网络,加密收发。

5、企业应部署管控策略。如离职管控、邮件水印、禁止转发、邮件备份、邮件跟踪等,企业机构可对内外邮件进行跟踪、过滤、管控、溯源,最大限度减少数据外泄。

6、企业应部署邮件防泄漏系统(DLP),一旦含有敏感数据的邮件外发,将立即阻断涉密邮件,并及时告警审批,有效防控内部邮件外泄风险。

我们使用互联网,就是与互联网不断的进行数据交互,数据传存,中间任何环节漏洞都将成为黑客入侵的通道,从而引发数据泄露。

数据安全就是企业生存的命脉。所以,企业级用户不能仅靠提高员工安全意识,来保障数据安全。还应与专业的安全机构合作,制定符合企业标准的安全策略和防护手段,这样才能让企业有底气吹响 “冲锋” 的号角。