策略轉變導致商業電子郵件入侵激增

圍繞企業級電子郵件入侵的網路犯罪活動正在加速。Microsoft 觀察到攻擊者使用平臺的重要趨勢，例如 BulletProftLink，這是一個用於創建產業規模惡意郵件活動的熱門平臺。BulletProftLink 銷售端到端服務，包括 BEC 的範本、託管和自動化服務。使用此 CaaS 的攻擊者會接收受害者的憑據和 IP 位址。

然後，BEC 威脅執行者從與受害者位置相匹配的住宅 IP 服務購買 IP 位址，從而創建住宅 IP 代理，使網路犯罪分子能夠掩蓋其來源。現在，除了使用者名稱和密碼之外，BEC 攻擊者還擁有本地化的位址空間來支援他們的惡意活動，他們可以掩蓋移動，規避「不可能的移動」旗標，並打開網關進行進一步的攻擊。Microsoft 觀察到在亞洲和東歐國家/地區的威脅執行者最常部署這種策略。

「不可能的移動」是一種偵測，用於指示使用者帳戶可能已遭入侵。這些警示旗標標記物理限制，表明任務正在兩個位置執行，而沒有適當的時間從一個位置移動到另一個位置。

網路犯罪經濟這一領域的專業化和整合可能會加劇使用住宅 IP 位址來逃避偵測。大規模映射到各個位置的住宅 IP 位址為網路犯罪分子提供了收集大量遭入侵登入資訊和存取帳戶的能力和機會。威脅執行者正在使用 IP/代理服務，行銷人員和其他人可能使用這些服務進行研究，以擴大這些攻擊的規模。例如，一個 IP 服務提供者擁有 1 億個 IP 位址，這些位址每秒可以輪換或更改一次。

雖然威脅執行者使用 Evil Proxy、Naked Pages 和 Caffeine 等網路釣魚即服務來部署網路釣魚活動並獲取遭入侵的登入資訊，但BulletProftLink提供了去中心化的網路閘道設計，其中包括用於託管網路釣魚和 BEC 網站的網際網路電腦公共區塊鏈節點，從而創建了更複雜的去中心化網路產品，更難破壞。由於公共區塊鏈的複雜性和不斷發展，這些網站的基礎設施分布在公共區塊鏈上，使得識別這些網站和調整打擊行動變得更加複雜。雖然您可以刪除網路釣魚連結，但內容仍保持在線狀態，網路犯罪分子會返回創建指向現有 CaaS 內容的新連結。

成功的 BEC 攻擊每年使組織損失數億美元。2022 年，聯邦調查局的追償資產團隊對 2,838 起涉及國內交易的 BEC 投訴發起了金融欺詐攻擊鍵，潛在損失超過 5.9 億美元。

儘管財務影響很大，但更廣泛的長期損害可能包括個人身份資訊 （PII） 遭入侵時的身分識別盜用，或者機密數據丟失，如果敏感信函或智慧財產權在惡意電子郵件和訊息流量中暴露的話。

儘管威脅執行者已經創建了專門的工具來促進 BEC，包括網路釣魚工具包和針對 C-Suite 領導者、應付賬款潛在客戶和其他特定角色的經過驗證的電子郵件地址清單，但企業可以採用多種方法來預防攻擊並降低風險。

例如，基於域的郵件身份驗證、報告和一致性（DMARC）的「拒絕」策略提供了針對詐騙電子郵件的最強保護，確保郵件伺服器上未經身份驗證的郵件甚至在傳遞之前就會被拒收。此外，DMARC 報告為組織提供了一種機制，使其了解明顯偽造的資料來源，即他們通常不會收到的資訊。

儘管各類組織管理完全遠端或混合式工作團隊方面已有數年，但在混合工作時代仍然需要重新思考安全性意識。由於員工正在與更多的供應商和承包商合作，從而收到更多「初見」電子郵件，必須意識到這些工作節奏和通信的變化對您的受攻擊面的意味。

威脅執行者的 BEC 嘗試可以採取多種形式——包括電話、文字簡訊、電子郵件或社交媒體消息。詐騙身份驗證請求消息以及冒充個人和公司也是常見的策略。

良好的防禦步驟是加強會計、內部控制、工資單或人力資源部門的政策，關注在收到有關支付工具、銀行或電匯的變更請求或通知時如何應對。退後一步，將疑似未遵守原則的要求擱置一旁，或通過其合法網站和代表聯繫請求實體，可使組織免於巨大的損失。

BEC 攻擊提供了一個很好的例子，說明需要以跨職能方式解決網路風險的原因，讓高管和領導者、財務員工、人力資源經理和其他有權訪問員工記錄（如社會安全號碼、稅務報表、聯繫資訊和日程安排）的人員，與 IT、合規和網路風險官一起參與討論。

通過高級威脅情報分析師  Simeon Kakpovi的見解，了解有關 BEC 和 伊朗網路威脅執行者的更多資訊。