邮件加密普及之日就是欺诈邮件消亡之时
根据美国联邦调查局(FBI)互联网犯罪投诉中心(IC3)发布的《2023年互联网犯罪报告》显示,商业邮件攻击(Business Email Compromise, BEC)在2023年给美国企业造成了29亿美元的损失,成为第二大最具破坏性的互联网犯罪。2013年10月至2023年12月期间,BEC攻击事件给美国和全球组织造成了近555亿美元的损失。为此,FBI 针对降低BEC攻击提出了以下建议:
使用多重身份验证 (MFA) 和多人双重验证来确认更改付款账户信息的请求。
为每项在线服务使用独特的密码,并尝试定期更改密码。
确保电子邮件中 URL 与其声称来自的企业/个人相关联。
注意可能包含真实域名拼写错误的假冒网站超链接。
切勿通过电子邮件提供登录凭证或个人身份信息(PII),即使请求看似合法。
验证发件人的电子邮件地址,尤其是在使用移动或手持设备时,确保其与发件人相符。
确保员工计算机设置允许查看完整的电子邮件头等扩展信息。
定期监控财务账户是否存在异常情况,例如存款丢失。
英国国家网络安全中心(NCSC)也专门针对EBC攻击设计了一个通俗易懂的 PDF宣传页,并详细解释了什么是BEC攻击和如何防范。EBC攻击是一种网络钓鱼攻击形式,犯罪分子试图诱骗高级管理人员(或财务人员)转移资金或泄露敏感信息。BEC攻击背后的犯罪分子发送看起来令人信服的电子邮件,这些电子邮件可能会要求不寻常的付款,或包含指向假冒网站的链接。某些电子邮件可能包含伪装成无害附件的病毒,这些病毒在打开时会被激活。与不加选择地向数百万人发送的网络钓鱼电子邮件不同,BEC攻击旨在吸引特定个人,并且更难被发现。BEC攻击对各种规模和所有部门的所有组织都构成威胁,包括非营利组织和政府。
笔者通过对BEC攻击给受害者发送的各种电子邮件案例分析,特撰写此文,明确告诉大家:只有普及应用S/MIME邮件加密技术才能防范所有BEC攻击,FBI和NCSC的建议只能起到一定的帮助作用,不能彻底解决问题。只有普及了邮件加密,才能真正有效防范BEC攻击,彻底消灭邮件欺诈。