BEC诈骗猖獗，企业员工如何防范钓鱼？

目前，勒索病毒攻击可能是对企事业单位的最新威胁，但实际上只能算是企事业单位必须警惕的威胁之一。另一个比较突出的应该是非商业电子邮件欺诈（BEC）了。

BEC诈骗

从字面上看，BEC确实不好理解。当我搜索时，首先看到的是FBI的定义。引用FBI给出的图片，我们就基本可以理解BEC诈骗的含义了。

它是一种针对性很强的鱼叉式网络钓鱼，利用电子邮件冒充决策者发布与资金和利益相关的指令。它的目标不仅仅是窃取个人信息，而是直接窃取资金。

最近的趋势

一般来说，受害者遭受BEC诈骗的方式是这样的：他们收到一封包含钓鱼链接的邮件，点击该链接后，他们会下载并运行恶意软件。该恶意软件会自动收集受害者的密码和金融账户信息等。

目前发现的BEC骗局主要有四种：

类型一：伪造邮件、电话，要求转账；

类型2：高管邮箱被盗，如财务部门发送资金申请邮件；

类型三：员工邮箱被盗，向所有联系人发送支付请求；

类型 4：诈骗者冒充律师处理机密或时间紧迫的事务，或转移资金。这种形式会给受害人造成心理压力，通常发生在工作日结束时，或金融机构关门时。

BEC攻击者可以攻击任何人，尤其是那些有国际业务合作的公司，因为他们经常需要进行电汇支付，而且金额往往很大。

攻击者主要针对美国、英国和澳大利亚等国家，但偶尔也会针对其他国家（例如比利时银行和奥地利飞机零部件制造商 FACC 等）。

符合上述条件的企业应教育员工，尤其是公司财务人员如何正确防范此类安全威胁，尽快避免不必要的损失。

因为在超过40%的商业邮件诈骗中，钓鱼邮件都是发送给目标公司的财务总监，并被诱导转移资产。财务总监和财务总监也被包括在网络钓鱼攻击中：

BEC 诈骗趋势：今年早些时候 BEC 诈骗激增；攻击者开始查看员工的工资单信息；安全意识培训公司的新任首席财务官通过识别所谓的 BEC 钓鱼电子邮件是类攻击来设法挫败该骗局。

网络钓鱼电子邮件中的请求似乎来自该公司的首席执行官。此类钓鱼邮件首先被传递给公司的财务总监，而财务总监实际上并没有接触到薪资信息，然后将请求转发给了公司的首席财务官。

趋势科技研究人员表示，员工应该格外警惕看似由公司首席执行官、总裁或总经理发送的要求紧急电汇的电子邮件。

这些邮件的主题通常比较简单模糊，大多只有一个词组成，如“（转发）”“（请求）”“（紧急）”等。

这些电子邮件可以在键盘记录程序或后门的帮助下从真正的公司 CEO 的电子邮件帐户发送，或者只是伪造成 CEO 的电子邮件帐户。

BEC 诈骗者通常利用大量可用工具来准备和开展活动：

到目前为止，BEC 诈骗者已经从全球 17,000 多个组织那里获得了超过 23 亿美元的资金，而这只是我们目前了解到的情况。不排除相关受害人未向有关部门通报诈骗情况。

因为他们担心攻击事件的曝光会对公司的声誉造成无法挽回的影响。

通过欺诈活动获得的高额回报可能使这种欺诈活动在短期内被终止的可能性很小。

因此，企业应在员工安全意识培训上投入更多精力，相关防护措施如下：

建立一个入侵检测系统来标记看起来与您公司的电子邮件非常相似的电子邮件（和）；

记录看起来与真实公司域名相似的假域名；

涉及资金交易时，多方位验证：电话，或多封邮件确认；

了解客户习惯，包括所需资金总额，以及每次转账背后的原因；

仔细查看每一封关于转账的邮件，尤其是那些不按常理出牌的邮件；

延伸阅读：10家专门从事网络钓鱼培训的公司 1.

该公司的网络钓鱼模拟、培训和报告平台目前在全球拥有超过 800 家企业客户，其中近一半是财富 100 强企业，他们使用他们的工具和服务在模拟条件下主动让数千名员工检测和报告威胁网络钓鱼攻击。

该公司还提供了一个网络钓鱼事件响应平台，该平台可以自动化并优先报告网络钓鱼电子邮件以加快响应速度防钓鱼软件是什么，还提供威胁情报服务，帮助安全威胁分析师诊断他们看到的网络钓鱼活动以验证外部威胁。

此外，该公司还提供十多种交互式 PDF 或 SCORM 兼容文件格式的免费培训模板，这些模板可以通过企业客户的学习管理系统运行。

客户包括美国前 5 大金融机构中的 4 家、全球前 25 大金融机构中的 7 家、领先的社交媒体和求职网站，以及顶级医疗保健、零售商、保险和科技公司。

该公司的创始人兼首席执行官 John Laco 建议：

“让模拟场景尽可能逼真。如果您希望您的员工能够及时检测和报告现实世界的网络安全攻击，那么您的模拟测试绝对需要反映他们在现实世界中最有可能看到的内容。网络攻击。”

该公司为企业客户提供网络钓鱼模拟和针对企业员工的游戏化安全意识培训。

据收集到的60多家企业的数据显示，钓鱼邮件的点击率将因此大幅下降，员工将钓鱼邮件转发给安全经理的比例将比之前增加200%。

该公司为企业客户提供培训和强化解决方案，以及自适应网络钓鱼模拟器。公司的客户包括微软、T-、思科、甲骨文、波音、万豪等世界500强企业。

, LLC 董事总经理 Steve 说：

“并非所有的网络钓鱼活动都是生来平等的，也不应该如此。您的企业将需要使用不同的模型来测试发送完全不同复杂程度的网络钓鱼电子邮件，而这些不同的模型将产生不同的结果。影响。

而如果你一遍又一遍地发送相同或相似的钓鱼邮件，你的邮件最终用户显示的钓鱼报告将是：邮件的点击率会明显下降，但这无助于你实现你的初步测试目标。 “

借助安全意识培训解决方案和旨在加强日常用户教育的模拟网络钓鱼平台。

这家总部位于佛罗里达州克利尔沃特的公司在过去三年中增长了 2,528%，2015 年的销售额为 680 万美元。

公司在INC 5000强中总排名第139位。世界第一黑客大神Kevin 担任公司首席黑客官。

该公司还提供免费的网络钓鱼安全测试。该公司还提供免费的一次性电子邮件暴露检查，以帮助确定企业员工的电子邮件地址是否已暴露给公众。

该公司声称拥有 1,000 多家企业客户，并提供自动化网络钓鱼测试和培训模块。

该公司是该领域最早的供应商之一，从 2008 年卡内基梅隆大学的一个研究项目发展而来。此后，该公司继续专注于研究，定期报告网络钓鱼趋势和培训效果。

例如，该公司与安全研究中心合作确定平均执行程序产生 37 倍的投资回报。

该公司为其客户提供反网络钓鱼培训，以帮助企业客户的员工将保持在线安全放在首位。

该公司的客户包括 ( )、ING、CME、Tata、ADP、美国农业部和 ABB。

其产品可作为完全托管服务提供，由公司的专家设计团队提供部署评估和培训，或作为软件即服务模型提供，在线软件可用于在几分钟内创建和部署评估。

该公司是赛门铁克的子公司，提供网络钓鱼模拟和培训服务。

网络安全意识培训可以融入在线钓鱼模拟考核即时培训中，企业用户也可以根据自己的时间安排后续培训。

此外，该公司还提供有关社会工程、恶意软件、物理安全和使用公共 WiFi 网络以及其他一般安全主题的培训模块。

该公司不仅支持反钓鱼测试，还针对范围更广的社会工程攻击，包括短信、电话，甚至“不小心丢失”的U盘。

今年早些时候防钓鱼软件是什么，该公司为第三方计算机市场推出了培训材料，包括数百个网络钓鱼模板、自定义登录页面、风险评估调查和多语言安全培训内容。

除了培训和模拟服务外，该公司还提供测量工具，使企业用户能够跟踪他们的计划是否成功。

例如，可用于游戏化的衡量工具之一是基于风险的评分工具。企业用户可以在这里设置培训结果，然后可以比较个人员工、部门或其他群体的分数，或者自定义企业内部或外部的评分基准。

10.

该公司以其企业安全培训、新兵训练营和认证计划而闻名。

他们还提供交互式安全意识在线培训模块。他们的产品结合了基于计算机的安全意识培训和基于云的网络钓鱼模拟器服务。

企业用户可以设置自动程序，随着时间的推移向他们的员工发送网络钓鱼测试，或者提醒员工注册他们的网络安全意识培训。

*原文链接：*，米歇尔编译，未经许可禁止转载