有各种各样的骗局 攻击者侵入公司的电子邮件系统 或创建欺骗性电子邮件模板,以说服员工将资金转移到欺诈性银行账户。 通常被描述为商业电子邮件入侵 (BEC),包括网络钓鱼、掠夺性电话或一般数据盗窃。
就造成的损害而言,这些基于电子邮件的攻击被认为是经济成本最高的网络犯罪。 根据 联邦调查局, 19,369 年记录了 2020 起基于电子邮件的攻击投诉,总损失高达 1.8 亿美元。
SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。
基于电子邮件的攻击如何运作?
BEC 诈骗者可能会使用以下任何一种策略:
欺骗网站或电子邮件帐户
BEC 黑客知道,如果邮件令人信服并且发件人是熟悉的交易伙伴(如供应商),则员工不会仔细检查发件人电子邮件地址中的每封信件。 发件人的电子邮件地址可能类似于 johndoe@example.com 但黑客会巧妙地将其更改为 jhondoe@example.com.
网络钓鱼电子邮件
钓鱼邮件 针对公司特定重要成员,诱骗受害者向黑客泄露敏感信息(如公司账户密码等资产)。
发送电话和信息
虽然不完全基于电子邮件,但那些使用网络钓鱼邮件或其他掠夺性电子邮件策略的人也使用移动电话、短信和语音邮件进行操作。 在这种策略中,公司官员联系受害者,指示进行金钱或文件转移。 众所周知,BEC 攻击者还使用深度伪造技术在电话和语音邮件消息中冒充公司高管。 这就是 2019 年发生在英国一家公司高管身上的事情,当时袭击者假装是他的老板,并指示他将钱转给一家匈牙利供应商。 罪犯逃脱了 220,000 欧元。
商业电子邮件入侵的突出例子有哪些?
网络犯罪分子已成功实施以下任何类型的商业电子邮件入侵或其中的任何一种。
首席执行官欺诈
在这种类型的商业电子邮件入侵中,网络犯罪分子假装是公司的高管,向公司财务部门的一名员工发送电子邮件,指示将资金转入攻击者的账户。
帐户妥协
公司员工的电子邮件帐户被黑,用于向客户或客户索取发票付款。 欺诈发票中的信息被操纵,以便将付款定向到 BEC 攻击者拥有的帐户。
冒充律师
攻击者通过电子邮件或电话冒充公司律师,并要求员工代表公司或经 CEO 批准转移资金。 目标受害者通常是较低级别的员工,他们没有权限或意识来验证此类请求。 狡猾的 BEC 诈骗者通常会在员工被迫完成工作的周末或长假之前采取这种策略。
数据防窃
人力资源或会计部门的员工是这次攻击的常见目标。 网络骗子试图欺骗员工泄露公司拥有的机密或关键信息。 如果成功获取这些数据,攻击者可以将这些数据出售给受害者的商业竞争对手和暗网,或者将其用作其他类型的 BEC 计划(例如 CEO 欺诈)的道具。
虚假发票计划
在这个骗局中,网络骗子伪装成公司的供应商或服务提供商。 他们向目标公司员工发送欺骗性电子邮件,要求为提供的服务或销售的供应品付款。 然后该员工被愚弄,将钱汇到一个欺诈账户。
SSL.com 如何保护您的公司免受商业电子邮件入侵?
BEC 如此有效的骗局的一个主要原因是它利用了人类的倾向:工作分心或压力以及受到权威的影响。 在需要效率的工作环境中, 人脑确实倾向于启发式思考,尤其是在处理熟悉的模式时。 培训员工提高警惕可能会有所帮助,但不能完全保证。 随着可以模仿人类语音模式的人工技术的兴起,欺诈性电子邮件可以得到支持。 我们需要的是能够带来更好的网络安全的全面证明方法。 这是 SSL.com 可以为您的公司提供帮助的地方。
保护您的电子邮件系统 S/MIME
安全/多用途 Internet 邮件扩展 (S/MIME) 是一种基于非对称加密和公钥基础设施的工具(PKI) 强加密和认证
电子邮件,从而证明电子邮件来源的身份。
我们的全球洞察力 S/MIME 服务通过鼓励一种协议有效地防止企业电子邮件妥协损害公司员工 S/MIME 由我们签署和验证的证书。 如果员工收到一封声称来自公司负责人但未进行数字签名的电子邮件,则可以指示他们不要回复,而是将其报告给 IT 部门以供专家确定。 该协议使即使是最疲倦或容易分心的员工也不会犯下严重错误。
文件签署
在处理帐户入侵时, 我们的文件签署服务 显示其价值 向您的客户和顾客保证他们收到的付款发票确实来自您。 如果没有 电子签名,那么无论他们看起来多么逼真,他们都不应该取悦他们。
对于虚假发票计划,您可以与您的供应商或服务提供商建立一个系统,您只能使用加密电子邮件进行通信,并且交易中使用的文件应具有经过验证和防篡改的数字签名。 至于您的员工,他们可以再次接受培训,以筛选传入的文件,并且只对经过数字签名的文件做出回应。
在MyCAD中点击 软件更新 这页 看看哪个 S/MIME SSL.com 的文档签名证书最适合您的需求。
