這些員工沒看穿的騙局,造成的損失可能比病毒還大- 企業常見四種電子郵件威脅

儘管社群媒體和即時通變得越來越普及,但電子郵件仍是企業重要的溝通工具。不幸的是,電子郵件的廣泛使用也讓它成為網路犯罪的理想平台。在本篇文章中將會介紹四種電子郵件威脅垃圾郵件網路釣魚(Phishing)、詐騙郵件和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)

垃圾郵件(Spam


儘管有許多方法可以過濾掉這些不想要的電子郵件,但垃圾郵件仍舊讓企業吃了不少苦頭。雖然一般都只將將垃圾郵件視為擾人的事情,但真正危險的是透過垃圾郵件散播的惡意軟體。在2016年,有71%的勒索病毒Ransomware (勒索軟體/綁架病毒)透過垃圾郵件傳播,讓電子郵件成為最常見的攻擊媒介。與網路釣魚郵件一樣,垃圾郵件也可以偽裝成像從銀行或網路商家等合法來源寄出,增加無辜使用者下載可疑檔案的機會。CerberPetyaLocky等勒索病毒攻擊事件也顯示出惡意垃圾郵件攻擊的規模可以發展得有多大。

 

快速提示:網路管理員應確保正確地設定垃圾郵件過濾器,包括政策管理威脅偵測等級設定。此外,全面性的電子郵件安全閘道需要具備網頁信譽評比追踪文件漏洞攻擊偵測客製化威脅情報等功能,能夠在針對性攻擊到達使用者之前先加以封鎖。

 

網路釣魚(Phishing

網路釣魚是種利用操縱心理手法來誘使收件者洩露敏感資訊的電子郵件威脅,駭客再將這些敏感資料拿去販賣或用在其他惡意用途。網路釣魚攻擊通常會使用以假亂真的寄件者加上社交工程(social engineering )過的郵件內容,讓缺乏這類詐騙意識的一般使用者很難加以分辨。網路釣魚郵件還可能夾帶了惡意軟體附件檔、詐騙網站連結或是兩者都有。

魚叉式釣魚(spear phishing)是一種更加針對性的網路釣魚攻擊,它會針對特定個人或組織進行高度客製化的攻擊。在此類攻擊中,駭客通常會對目標受害者進行廣泛的研究,以求製作的電子郵件看起來更像真的。雖然一般使用者常常成為魚叉式釣魚攻擊的目標,但大型企業也會成為駭客的目標,如2016年的「Pawn Storm行動」。

快速提示:網路犯罪分子會利用各種社交工程(social engineering)來迫使目標受害者下載檔案或給出敏感資訊,因此教育員工如何防範網路釣魚攻擊非常重要。如果企業的安全軟體整合了網路釣魚防護功能,則應該啟用並正確地設定。

郵件詐騙(Spoofing

欺騙性郵件會變造寄件者身份來偽裝成受害者熟悉的人或企業等合法來源。這類惡意郵件爲企業帶來兩種不同的威脅。第一種會偽造企業網域來寄送惡意電子郵件。這類詐騙攻擊會造成很大的商譽損害,特別是當受害者也是客戶時。第二種或許也更為重要的威脅是駭客會利用詐騙郵件來攻擊企業員工,讓他們成為惡意軟體的進入點。

有意進行攻擊的駭客可以輕易地騙過設定不良的伺服器,因為SMTP協定本身缺乏對郵件地址進行身份驗證的機制。一旦跟網路釣魚結合使用,郵件詐騙就會變得特別危險,使得區分合法郵件和惡意郵件變得更加困難。

快速提示:為了防止網路犯罪分子偽造公司網域,IT管理員應該要採用寄件者策略框架(SPF)、Sender ID、網域金鑰驗證郵件(DKIM)和以網域為基礎的郵件驗證、報告和一致性(DMARC)等安全措施。另一方面,想要保護企業抵禦郵件詐騙也需要最終使用者層級保持小心警慎。必須要教育員工解讀電子郵件標題,並且要能夠識別郵件內容的威脅指標,如排版錯誤或不尋常的連結(不要點入,只需讓滑鼠懸停在上面來顯示網址)。如果可以的話,網路管理員可以在電子郵件安全閘道設定客製化的寄入郵件過濾層級

 

商業電子郵件入侵(Business Email Compromise

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)是一種社交工程攻擊,牽涉到企業最高層的詐騙。BEC詐騙也被稱為執行長詐騙(CEO Fraud),因為有許多詐騙都是透過入侵高階主管的電子郵件進行。接著利用這電子郵件帳號來欺騙財務或會計部門員工將資金轉移到詐騙者控制的帳戶。其他BEC詐騙也是用類似的手法,利用入侵的電子郵件帳號來誘騙客戶或供應商將資金轉到詐騙帳戶。根據FBI的公告,BEC詐騙已經造成多達30億美元的損失。

快速提示:企業應該要考慮在轉帳時使用多層識別流程,這樣子可以防止大量的BEC詐騙。IT管理員和企業員工也應該要熟悉BEC詐騙指標並遵循良好的電子郵件使用習慣,例如仔細檢查進出郵件的來源和內容。

 

防禦電子郵件威脅的最佳作法

設立集中回報可疑郵件的機制 – 收集安全資料是項艱鉅的任務,尤其對擁有數千個使用者的企業來說。為了簡化和集中資料收集,IT管理員需要提供能夠輕鬆便利地回報可疑郵件的管道給員工。

使用沙箱技術分析附件檔案 – 許多惡意郵件都帶有包含惡意程式的可疑附件檔案。所以沙箱技術變成防禦電子郵件攻擊的重要措施,它可以讓管理員在安全的環境隔離和分析潛在惡意程式而不會影響到整個網路。對於複雜的電子郵件威脅,智慧型沙箱能夠提供更進階的資料收集和分析功能。IT管理員可以尋找結合電子郵件安全閘道與沙箱分析技術的安全解決方案

根據組織需求客製化解決方案 – 電子郵件安全不僅僅是靠安裝安全軟體就期望它能夠自動防禦每次攻擊。它需要全面性的策略,根據組織情況和需求而加以改變。例如,使用雲端郵件代管服務的組織所需要的特定解決方案可能就和本地端電子郵件軟體所用的解決方案不同。

從電子郵件攻擊回復

不管公司的資安政策做得如何好,還是有可能發生讓駭客成功侵入網路的狀況。如何從攻擊回復會隨著具體情況而有所不同,取決於攻擊的種類和後果。對於網路釣魚攻擊,應該要優先重設密碼並且主動刪除電子郵件。網路管理員還必須主動通知使用者不要點開未經驗證的電子郵件連結或可執行檔。

建立安全文化

要保護企業對抗電子郵件威脅的最終作法是內部各層級的共同合作,從執行長到一般員工都必須參與。IT管理員必須正確地設定安全解決方案和相關軟體,並且做到定期更新。最終使用者也必須要了解最佳安全作法,例如仔細檢查電子郵件內容並避免點入郵件內嵌的連結。重點是,企業的防護程度取決於人的資安意識。建立安全文化就跟使用打擊惡意軟體的解決方案一樣有效。

趨勢科技解決方案

作為趨勢科技Network Defense解決方案的一部分,趨勢科技的InterScan Messaging Security可以在雲端利用全球威脅情報來封鎖電子郵件威脅,透過資料遺失防護和加密功能來保護你的資料,並且識別針對性電子郵件攻擊、勒索病毒和進階持續性威脅(APT)。混合式SaaS部署結合了本地端虛擬裝置的隱私與控制以及雲端過濾服務的主動防護。

趨勢科技Deep Discovery進階網路安全防護 透過特製引擎、客製化沙箱和跨越整個攻擊生命週期的無縫關聯技術來對漏洞攻擊及其他類似威脅進行偵測、深入分析和主動回應,從而可以無需更新引擎和特徵碼就能夠偵測上述零時差攻擊等威脅。

趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件、勒索病毒和進階針對性攻擊進入企業網路前先加以封鎖。它可以保護Microsoft Exchange、Cloud App Security for Microsoft Office 365、Google Apps及其他代管和本地端電子郵件解決方案。

 

@原文出處:InfoSec Guide: Mitigating Email Threats