電子郵件安全問題分析

童岳

無論是全新的網絡攻擊還是抵御攻擊，電子郵件安全永遠是最先討論的話題，因為每個人都在使用它，而且電子郵件潛在威脅巨大。有機構在2019年第二季度進行了郵件安全調查，以下是調查中人們最關心的問題：

假冒攻擊，商務郵件泄露（BEC）；

用戶電子郵件帳戶泄露，被盜賬戶用于還款；

來自可信第三方的網絡釣魚電子郵件；

用戶不確定電子郵件是否為網絡釣魚；

用戶在移動設備上發現網絡釣魚電子郵件的能力。

接下來將討論每一個關鍵問題，并提供解決問題的建議。

最受歡迎的攻擊手段

現代企業依賴于電子郵件———它是大多數公司的主要溝通形式，在一段時間內電子郵件并不會消失。

不幸的是，它恰好是攻擊者的主要入口。每一百封電子郵件中就有一封是惡意郵件。從表面上看，似乎不是一個很大的數字；然而，當全球每天發送數十億封電子郵件時，惡意郵件的數量就會變得很龐大。受害者只需與惡意電子郵件進行一次交互，攻擊者就可以通過惡意電子郵件令目標受到重大經濟損失。

假冒攻擊

商業電子郵件泄露（BEC）和首席執行官欺詐等假冒攻擊正成為網絡犯罪分子的攻擊重點。這些攻擊經常欺騙用戶進行電匯或泄露公司信息。電子郵件來源可信，郵件內容通常充滿了緊迫感，這使電子郵件安全解決方案和用戶難以識別此類攻擊。例如，攻擊者會冒充一個高級經理或供應鏈合作伙伴，欺騙一個員工采取諸如授權付款等事件。

在最近的FireEye CAB會議期間，企業客戶注意到假冒攻擊與郵件有密不可分的聯系。冒充攻擊的后果包括用戶、行政人員的挫敗感以及經濟損失，許多客戶分享了影響組織的假冒攻擊示例。

FireEye發現假冒技術的使用顯著增加，而攻擊者也在創新攻擊方式以繞過安全防御。在Q1 2019年電子郵件威脅報告中描述了惡意郵件截獲了新的變體。其中一個例子是針對財務部門CEO欺詐電子郵件。在該惡意郵件中，攻擊者扮演執行者的角色，并要求改變存款相關賬戶信息。

另一個新的變種是供應鏈假冒攻擊。在這種情況下，攻擊者會攻陷或冒充一個可信任的合作伙伴，該合作伙伴通常與目標組織的用戶進行交互，攻擊者利用信任關系獲取信息或竊取資金。

使用這些技術的惡意電子郵件通常不含惡意軟件，只需改變顯示名稱或郵件頭。依賴附件和URL分析的電子郵件安全防御無法檢測這種攻擊方式。由于這些技術很難被檢測到，因此組織可能缺乏應對這些類型消息管控方式。

用戶郵件賬號泄露

網絡犯罪分子一直在創新，為了找到最好的方法來欺騙目標。有時，只要在假冒攻擊中操縱郵件顯示名稱就足夠，但有時還需要更多的手段。這時，用戶電子郵件帳戶安全防護就可能會被繞過，可疑的電子郵件攻擊轉化為完全信任的攻擊。

用戶電子郵件帳戶泄露是一個大問題。特別是攻擊者引誘員工分享他們的電子郵件登錄憑證。例如，攻擊者送一封帶有URL的電子郵件，該URL指向一個看起來合法的登錄頁面，但實際上是一個網絡釣魚網站。

一旦攻擊者攻陷合法可信的電子郵箱賬戶，該帳戶就會被接管，并可用于各種惡意活動。經常看到攻擊者利用受攻擊的合法帳戶，從該公司的用戶帳戶向該組織財務（AP）部門發送電子郵件，進行電匯詐騙。

建議

電匯欺詐已經非常普遍，許多組織已經修改了內部控制規則，需要2個人在超過規定限額的電匯上簽字。在此還建議制定新的程序，以確認員工提出的任何更改個人詳細信息的請求。此外，定期的安全培訓有助于提高對最新電子郵件威脅的認識，包括假冒攻擊和用戶電子郵件帳戶泄露造成的威脅。