“鲸钓攻击”兴起,美英企业高管成为关键目标

虽然这是一个可怕的前景,但未来的商业电子邮件妥协 (BEC) 骗局可能就是这样!

所谓 “鲸钓攻击” (Whaling Attack) 指的就是针对高层管理人员的欺诈和商业电子邮件骗局。如今,商业电子邮件妥协 (BEC) 攻击已经对全球各类型组织都构成了严重的威胁,而令人更为担忧的现实是,这种攻击类型正变得越来越复杂,遭受 “鲸钓攻击” 的受害者往往需要承受比普通网络钓鱼攻击更沉重的经济损失。

在这里,我们要为大家补充一下 “鲸钓攻击” 与普通 “网络钓鱼攻击” 甚至 “鱼叉式网络钓鱼攻击” 的不同之处:

鲸钓攻击vs.网络钓鱼攻击

顾名思义 “鲸钓攻击” 胃口更大,与随机窃取电脑使用者个人机密资料的 “网络钓鱼” (phishing) 不同,鲸钓攻击比网络钓鱼更懂得放长线钓大鱼!这类针对性网络钓鱼手法专门锁定企业高级主管,试图利用电子邮件来骗取信息。网络媒体《Lifewire》指出,鲸钓攻击电子邮件皆假冒某权威来源的电子邮件地址,并且要求收件人尽速解决某项紧急问题。黑客利用这样的手法来骗取员工信息、重要文件,甚至是关键系统的帐号密码。

鲸钓攻击vs.鱼叉式网络钓鱼攻击

鲸钓攻击与鱼叉式网络钓鱼有相似之处,都是针对特定的人群来进行社会工程攻击,不过这两者还是有一些差别。

鲸钓攻击虽说也是针对性攻击 (targeted attack),但目标主要还是集中在 C 级企业高管、政界人士和名人(这些人就是所谓的 “鲸”),据国外相关机构的统计,大约 35% 的 CEO 和 CFO 受到过鲸钓攻击。

此外,从受众面来看,鲸钓似乎影响会更大(这一点其实从字面就可以理解,一个是钓鱼,一个是鲸,哪个造成的危害更大可谓一目了然),但实际上攻击者更愿意选择鱼叉式网络钓鱼,这背后的原因或许在于这种攻击类型的成功率更高。

根据总部位于加利福尼亚州的网络安全公司赛门铁克的说法,该公司已经注意到这种利用钓鱼邮件针对企业高管进行高级社会工程攻击的 “鲸钓攻击” 类型的复杂程度正在稳步上升。

赛门铁克警告称,访问强大的机器学习工具意味着一系列音频和视频操作技巧可能很快也会成为此类攻击的一部分,这些攻击通常是高度个性化的,旨在成功引起企业高管们的关注。

该公司还发现,这种攻击类型的财务影响也在稳步上升中。(赛门铁克还指出,今年早些时候联邦调查局发布的《互联网犯罪报告》发现,BEC 攻击在 2018 年共计造成了 13 亿美元的损失——这一数字远超于五年前的 6000 万美元。)

赛门铁克研究人员发现,在过去 12 个月中,企业每月平均会收到 5 封 BEC 诈骗电子邮件。这就意味着每家企业有 17% 的机会每月至少收到一封 BEC 电子邮件。而在此之前的 12 个月中,一个组织每月平均会收到4封BEC电子邮件,这意味着 BEC 攻击正在呈稳步上升的趋势。

调查显示,美国企业是 BEC 骗局的最大受害者,占据所有 BEC 攻击的 39%,紧随其后的是占比 26% 的英国。令人意外的是,欧盟国家德国、比利时和荷兰 3 个国家加在一起仅占 BEC 攻击总数的 7%。

商业电子邮件妥协 (BEC) 攻击

BEC 骗局的本质是部分攻击部分社会工程,为了提高社会工程手段的成功率,威胁行为者会不断尝试新的关键词,而这些关键词的作用主要就是吸引、刺激或激怒收件人,以增加其点击邮件的可能性。

赛门铁克发现,在针对英国和美国企业的BEC攻击案例中,“重要 (Important) ” 这个词是最常用的,有超过 32,000 个记录在案的使用实例。然而,纵观全球 BEC 骗局,总体上最常用的关键词却是 “交易请求 (Transaction Request) ”,这显示了黑客非常擅长利用人类对于财务问题的焦虑情绪。

多年来,随着威胁行为者可以获取到越来越便宜的工具,如视频编辑和机器学习程序或僵尸网络,这些骗局也在不断发展精进。而随着这些改变或制作视频和音频的技术变得越来越复杂和便宜,毫无疑问,黑客们也将越来越多地使用这些工具实施犯罪活动。

对此,赛门铁克公司警告称,如今,BEC 诈骗者可以使用机器学习 (ML) /人工智能 (AI) 技术针对一个组织的高级财务主管或员工,这些员工通常可以直接与 CEO 沟通并且可以授权转账。当员工试图验证请求时,诈骗者可能会使用 CEO 的音频资料,例如 Earnings call(指的是上市公司管理者、分析师、投资者和媒体之间的电话会议,讨论公司在特定报告期,如季度或年度财报期的财务业绩情况)、YouTube 视频、TED 演讲以及其他之前的录音资料等,来欺骗该员工让其相信对话另一端确实是 CEO 的声音,是 CEO 授权了交易请求。然后,员工就会确信无疑地去执行该交易请求。

最后,赛门铁克强调称,虽然这是一个非常可怕的前景,但未来的 BEC 诈骗场景可能就是这样。

联邦调查局发布的《互联网犯罪报告》:

https://pdf.ic3.gov/2018_IC3Report.pdf

上一篇:入侵与攻击模拟工具的真相

下一篇:Online skimming:一种需要紧急意识和关注的新兴威胁