Barracuda《焦點報告》:商業電郵詐騙使用的惡意電郵帳戶

Barracuda發表每月《焦點報告》(Threat Spotlight),發現網絡罪犯使用合法電郵進行冒充和商業電郵詐騙。 從2020年初起,便有6,170個使用Gmail,AOL和其他電郵服務的惡意電郵帳戶對接近6,000間機構進行超過 10萬宗的BEC攻擊,顯示有人以惡意電郵作商業詐騙。

重點威脅 

惡意電郵帳戶 — 網絡罪犯會利用合法的電郵服務註冊帳戶,用作仿冒和進行BEC攻擊。他們精心撰寫郵件,並只使用這些惡意電郵帳戶數次,以避開電郵服務供應商的偵測及攔截。每個用作BEC攻擊的電郵地址均被視為惡意電郵帳戶,為網絡罪犯的電郵詐騙方案提供重要資訊。   

自今年4月1日起被偵測到的BEC攻擊中,與惡意電郵帳戶相關的佔45%。這些網絡罪犯會屢次使用同一批惡意電郵帳戶,對目標機構反覆發動攻擊。

他們首選的電郵服務是Gmail,只因它容易取得、免費和容易註冊,而且其良好聲譽可令詐騙電郵通過服務商的安全過濾系統。 

雖然,網絡罪犯會重覆使用惡意電郵帳戶,但他們也會改變電郵所顯示的姓名以嘗試不同仿冒。 大部分的網絡罪犯都不會長時間使用惡意電郵帳戶。事實上,29%的惡意電郵帳戶只被使用24小時,造成這些帳戶壽命短的背後原因有: 

  • 惡意電郵帳戶可能被舉報並遭電郵服務供應商停用 
  • 網絡罪犯註冊了其他新帳戶 
  • 網絡罪犯利用惡意電郵帳戶發動首次攻擊後,將之暫時棄用,然後相隔一段長時間後才再度使用。    

雖然大部分的惡意電郵帳戶都只會被使用一段短時間,但亦有網絡罪犯會長年使用同一批惡意電郵帳戶發動攻擊,而且網絡罪犯在相隔一段時間後,重用惡意電郵帳戶發起攻擊的情況並不罕見。  

BEC本身是一種針對性的攻擊,網絡罪犯於經過初步研究後,就會冒充企業員工或值得信賴的夥伴進行電郵攻擊。網絡罪犯的首個電郵通常會用作建立聯繫和信任,並期待得到對方的回應,所以每次發出的電郵數量不多,而且非常個人化,以搏取更大機會得到回覆。惡意電郵帳戶每次會發出1至600封電郵,平均數為19封。

Barracuda 研究員對6,600個機構進行攻擊分析,發現在大部分情況下,網絡罪犯會利用相同的電郵地址去攻擊不同的機構,每個惡意電郵帳戶所發動的攻擊可以影響1個至256個機構,佔研究中所有機構的4%。

Barracuda發現,大部分的網絡罪犯都不會長時間使用惡意電郵帳戶。

如何保護機構免受惡意電郵帳戶的攻擊 

  • 投資防護解決方案免受BEC威脅。網絡罪犯專門設計BEC攻擊去越過電郵閘道。 為了避開偵測,他們只會利用惡意電郵帳戶進行少量的攻擊。人工智能可以幫助機構偵測BEC和其他欺詐攻擊,確認不尋常的電郵發件人、要求和其他通訊  
  • 攔截由惡意電郵帳戶所發出的電郵。要確認攻擊者所使用的帳戶並不容易,網絡罪犯往往利用欺騙(spoofing)等技巧進行攻擊,令確認實際的帳戶更困難。由於每個惡意電郵帳戶只發出少量的攻擊,同一所機構成為同一個帳戶兩次不同的BEC攻擊的可能性不大,因此與可信賴的供應商合作可以得到更周全的保護,他們可以提供同類攻擊在不同機構的實時威脅報告。 
  • 安排員工培訓提高對釣魚電郵的安全意識。令員工可以察覺到機構以外所發出的電郵和網絡罪犯的最新手法非常重要,因此安全意識培訓應該是機構安全保護措施的一部分。