信息化觀察網(wǎng)

Pen Test Partners研究人員發(fā)現(xiàn)，黑客正在利用BEC（電子郵件妥協(xié)）攻擊航運(yùn)業(yè)獲取重要憑證，針對(duì)行業(yè)內(nèi)各類雇員通過網(wǎng)絡(luò)或者電話等形式，進(jìn)行有深度的社會(huì)工程欺詐研究，甚至有可能因此破壞關(guān)鍵系統(tǒng)。

航運(yùn)業(yè)因安全措施寬松成為包括BEC攻擊在內(nèi)的各類網(wǎng)絡(luò)攻擊的黃金目標(biāo)，在這里BEC攻擊行為尤為猖獗。聯(lián)邦調(diào)查局的數(shù)據(jù)顯示，2018年由BEC攻擊造成的損失超過125億元（其中有涉及50億美元的騙局），是2017年的兩倍多。

在許多情況下，詐騙者通過社交媒體和其他工具收集的數(shù)據(jù)，利用社會(huì)工程來模仿高層管理人員，欺騙毫無防備的受害者進(jìn)行打開不明文件、向不明賬戶轉(zhuǎn)賬等各種操作。

“他們的行為動(dòng)機(jī)很可能是獲取非法收入，也可能是這些系統(tǒng)本身安防措施不足，本身很容易進(jìn)入。盡管企業(yè)越來越注重網(wǎng)絡(luò)安全，但培訓(xùn)員工警惕性的工作常常不如人意。”Pen Test Partners指出。

社會(huì)工程攻擊

詐騙者首先收集一系列有關(guān)目標(biāo)的公開信息，比如來自社交媒體頁(yè)面的數(shù)據(jù)，F(xiàn)acebook上的個(gè)人信息（生日，位置等）和領(lǐng)英上的商業(yè)信息（名字、同事、業(yè)務(wù)組織結(jié)構(gòu)、甚至業(yè)務(wù)上與供應(yīng)商的交互方式）。

例如，如果有人公開展示了自己的會(huì)議照片，那么詐騙者就可以在電子郵件中說他們?cè)谀谴螘?huì)議上遇到了他們。在常見的攻擊場(chǎng)景中，受害者的應(yīng)付賬款部門收到一封電子郵件，說供應(yīng)商的銀行賬戶信息發(fā)生了變化（標(biāo)識(shí)是正確的，提出請(qǐng)求的人的名字是受害者認(rèn)識(shí)的），要求更改下次的付款賬戶相關(guān)信息——這是個(gè)騙局。在另一種常見情況中，趁受害者在假期或者長(zhǎng)途飛行時(shí)，利用他們?cè)诰W(wǎng)上發(fā)現(xiàn)的受害者信息冒充CEO或其他高管，向財(cái)務(wù)團(tuán)隊(duì)發(fā)送電子郵件，要求他們進(jìn)行緊急付款，當(dāng)收件人試圖向本人驗(yàn)證時(shí)卻難以聯(lián)系到，就可能因事態(tài)的“緊急”而及時(shí)付款。

及時(shí)發(fā)現(xiàn)這些攻擊可能很難，因?yàn)樗麄兘?jīng)常使用不同的數(shù)據(jù)點(diǎn)來創(chuàng)建令人信服的圖片，通常在對(duì)高價(jià)值目標(biāo)的攻擊中，發(fā)送電子郵件之前，犯罪分子會(huì)打電話給受害者。在大公司內(nèi)，CEO具有非同尋常的號(hào)召力，而很多受害者甚至在接電話之前并沒有見過CEO或能充分識(shí)別出聲音，如此一來，他們很有可能直接“聽從號(hào)令”，采取行動(dòng)。

通過電子郵件附件向受害者發(fā)送惡意軟件是攻擊航運(yùn)業(yè)系統(tǒng)的另一種有效方式。電子郵件的構(gòu)建和制作通?？雌饋硐袷怯蓛?nèi)部發(fā)送，騙子常用的簡(jiǎn)易的方法是創(chuàng)建一個(gè)與官方相似的電子郵件地址，通常利用字母之間的細(xì)微差別，如'1'，'l'，以欺騙讀者認(rèn)為它是一個(gè)合法的電子郵件。”

由此可見，傳統(tǒng)行業(yè)的公司要想充分實(shí)現(xiàn)系統(tǒng)安全性，不僅要在硬件和技術(shù)上提升實(shí)力，還應(yīng)重視對(duì)公司各層級(jí)雇員的相關(guān)安全培訓(xùn)。