上个月,美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)发布了2018年《互联网犯罪报告》。

该年度报告显示了向FBI报告的犯罪统计数据,以及互联网上犯下的罪行总数。数据显示,仅在2018年,IC3收到的投诉数量就已高达35万起,平均来看,每天接收的投诉数量就超过900起;而2018年因网络犯罪造成的总经济损失约高达27亿美元,这一数据几乎是2017年的两倍(2017年的经济损失总额约为14.2亿美元)。在这近乎30亿美元的亏损中,商业电子邮件诈骗(BEC)或电子邮件账户入侵(EAC)诈骗几乎占据2018年报告的总损失的一半——高达近13亿美元。

为什么商业电子邮件诈骗(BEC)如此盛行?

FBI在其官网上明确给出了 “商业邮件诈骗(BEC)” 的定义——一种复杂的骗局,通常针对公司财务相关人员,通过社会工程学和网络入侵等各种方式,诱骗相关人员将钱转入看起来是可信赖合作伙伴实际上却是犯罪分子的银行账户。

由于BEC攻击往往不携带可检测拦截的URL或恶意附件等攻击载荷,因而能轻易地避开大多数传统的安全防护技术,传统的邮件安全解决方案难以识别其不真实性。同时因这些攻击来自信任的对象,且时间紧迫,用户往往也难以识别真假,最终给企业带来不可挽回的巨大损失。

据IC3报告指出,BEC/EAC诈骗造成的经济损失总额要比 “互联网犯罪中导致经济损失第二高” 的类型——信心(Confidence,这里可不是指受骗者有信息赢得赌注,而是行骗者稳操胜券,设下一个赢你没商量的圈套)/浪漫诈骗(Romance scams,浪漫诈骗者常使用约会网站,创建虚假个人档案,或者使用某人的真实身份,在脸书和其他非约会类社交媒体网站上培养目标,最终实现诈骗目的)高出近10亿美元,信心/浪漫诈骗所涉及的损失金额为3.62亿美元。

这一显著差异显示了BEC诈骗的普遍性。在对被盗公司电子邮件账户市场进行分析时,Digital Shadows的研究人员发现,仅需150美元就能够完成针对企业电子邮件账户的入侵操作。根据联邦调查局的说法,自2013年10月以来,这些针对企业和个人的诈骗行为已经造成了共计120亿美元的经济损失。未来,攻击者还会有更多的获利机会;因为目前曝光的会计电子邮件凭证已超过33,000个,错误配置的在线文件存储中也有1250万份公开的电子邮件存档文件。

BEC风险缓解措施

对于威胁行为者来说,BEC诈骗正变得越来越有利可图,这也驱动了越来越多的攻击者访问电子邮件收件箱中的有价值信息。组织可能无法完全缓解这些问题;但是,通过强化下述流程将可以最大限度地确保数据暴露保持在最低水平:

  • 更新安全意识培训内容,将BEC方案包含其中;

  • 针对勒索软件和恶意软件的现有事件响应/业务连续性计划制定BEC应急计划;

  • 构建手动控制以及多人授权模式,以便与电汇应用程序供应商一起审批重要的电汇信息;

  • 监控公开的凭证,包括可用于执行帐户接管的财务部门电子邮件和用户帐户;

  • 对高管的数字足迹进行持续评估,并采取措施删除可能使他们暴露的敏感数据;

  • 为可能无意中造成风险的第三方设置限制。在网络附加存储(NAS)设备上备份电子邮件的承包商,应添加密码并禁用访客/匿名访问,以及选择默认安全的NAS设备。

除了上述预防措施之外,为了对抗BEC/EAC金融欺诈的增长,IC3还于2018年2月成立了其资金恢复团队(RAT),旨在协调金融机构间的沟通,以期更好地冻结和撤回转向美国账户的虚假转账。相关数据显示,2018年2月2日至2018年12月31日期间,RAT共处理了1,061起此类国内诈骗。这些骗局给受害者造成的总损失为2.571亿美元,但RAT找回了1.927亿美元,恢复率为75%。此外,IC3还设置了 “互联网犯罪受害者专家”(VSIC)的新职位,旨在为网络犯罪活动中的受害者提供危机干预服务,评估受害者的需求,为受害者介绍更多的资源。

其他攻击类型

据联邦调查局介绍,勒索式攻击事件在2018年同样呈现增长的趋势,整体较上一年增长了242%,造成了8300万美元的经济损失。此外,值得一提的是,IC3所处理的大多数勒索投诉都与2018年下半年发生的大规模sextortion活动相关。

除了勒索攻击外,还有一种值得注意的高财务风险诈骗类型——“工资单转移诈骗”(payroll diversion scam),这种诈骗形式虽然并不如BEC诈骗常见,但其所造成的财务影响同样不容忽视。在这种漏洞利用中,威胁行为者可以从不知情或容易被欺骗的员工那里获取员工登录信息,然后访问员工的工资核算账户,禁用可能提醒员工账户变更的任何通知,并最终将员工的直接存款信息替换为他们自己的。根据IC3的统计数据显示,每次工资转移事件的平均损失成本为100万美元,而BEC诈骗事件的平均损失约59,000美元。据报道,受到工资单转移诈骗影响的100名受害者,合计损失高达1亿美元。

IC3接到的投诉数量和报告的损失数额正在增加

自2014年以来,IC3所接收到的投诉事件数量就呈稳步增长的趋势——2014年接到26.9万起;2015年28.8万起;2016年29.9万起;2017年30.2万起——但2018年却出现了令人担忧的大幅增长现象(35.2万起),与2017年相比,2018年接到的投诉数量增加了约50,000起,比上一年的增幅(2017年较之2016年增加3000起)高出了近15倍。

联邦调查局与美国和全球公共和私营行业保持着密切的合作伙伴关系,在进行调查时可以充分发挥整个美国情报界的作用。如果企业遭遇潜在事件或攻击后不久,联邦调查局建议该公司可以遵循下述措施:

  • 遵循公司应急计划并开始保护数据;

  • 致电当地FBI外地办事处;

  • 保留原始媒体作为证据或制作取证图像;

  • 从副本而不是原始资源(如果可能的话)中进行内部分析;

  • 收集所有相关的日志文件,包括DNS、防火墙、代理、系统事件日志等;也可以联系ISP获取其他日志信息;

  • 执行受灾评估,包括受灾价值评估。

以上信息对于执行事件调查的人员来说非常有帮助,所以,一旦有组织遭遇潜在事件或攻击,请务必根据相关部门给出的建议执行上述操作,以便充分、清楚地获取有关事件的详细信息。

2018《互联网犯罪报告》地址:

https://www.ic3.gov/media/annualreport/2018_IC3Report.pdf

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。