如何防范商业电子邮件攻击

防范商业电子邮件攻击方法

原创于 2025-09-09 15:01:55 发布 · 1.1k 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#电子邮件安全 #商业电子邮件攻击 #SIEM #BEC

SIEM 同时被 2 个专栏收录

56 篇文章

订阅专栏

企业安全

29 篇文章

订阅专栏

商业电子邮件入侵（Business Email Compromise, BEC）是一种高级的电子邮件攻击，攻击者通过冒充公司高管或可信联系人，诱骗员工进行资金转账或泄露敏感信息。此类攻击不依赖恶意软件或恶意链接，而是利用精心设计的话术和心理操纵，因此能绕过传统电子邮件安全系统的检测。

商业电子邮件攻击如何实施

商业电子邮件攻击（BEC）与普通的网络钓鱼邮件不同，BEC邮件是针对目标组织内的特定人员精心定制的。这些邮件会包含通过深入调查获取的个人细节或提及事项，以模仿公司高管的口吻，让收件人误以为邮件真实可信。

由于这类攻击通常以企业内地位显赫的人员为目标，因此这种网络攻击也被称为“鲸钓攻击（whaling）“，并涉及一系列步骤来实施一次成功的攻击。以下是具体步骤：

目标识别：通过社交媒体和企业官网收集企业、员工及其组织架构的信息，识别有权访问资金或敏感信息的关键人员（如高管、财务人员）。
诱导目标：通过鱼叉式钓鱼（Spear Phishing）冒充受信任的同事或供应商与目标人员取得联系。
实施诈骗：发送紧急电子邮件，要求快速转账或提供机密信息，通常强调时间敏感性以规避正常验证流程。
资金转移：提供详细的转账指导，并可能跟进确认收款，甚至诱使受害者进一步交易。

商业电子邮件攻击（BEC）的特征

商业电子邮件攻击具有极高的危险性，因为它通常不涉及恶意软件或恶意链接，导致传统邮件安全系统难以检测。其特征包括：

冒充技术：使用伪造电子邮件地址或相似域名（如“zOhO.com”冒充“zoho.com”）欺骗收件人。
贴合场景的定制化邮件：邮件内容会基于前期搜集的信息制作邮件内容，增强可信度和相关性。
制造紧迫感：多数BEC邮件会刻意营造紧急氛围，促使收件人在未充分核实的情况下进行回应。

在这里插入图片描述

商业电子邮件攻击（BEC）的类型

商业电子邮件攻击划分为五大类型，每种类型都采用不同手段欺骗企业，具体分类如下：

CEO欺诈：冒充公司高管（如CEO），要求财务人员紧急转账或提供敏感信息。
虚假发票方案：冒充合法供应商或供应商，发送要求将付款转向攻击者控制账户的虚假发票。
账户泄露：通过钓鱼手段获取员工邮箱权限，随后向客户或供应商请求付款，并更改付款细节。
律师冒充：伪装成法律代表，以法律紧急为由请求资金或机密信息，常选择下班时间发送以降低受害者警惕性。
数据窃取：针对人力资源部门，冒充可信人物请求敏感员工信息，用于后续攻击或出售。

商业电子邮件攻击（BEC）通常针对哪些人群

BEC攻击通常针对能够访问敏感信息或财务资源的人员，以下是易成为攻击目标的人群及其原因：

高管人员：企业高管（如CEO、CFO）通常有权审批大额交易并制定关键财务决策，因此极易成为追求即时得手的欺诈目标。
应付账款专员：该岗位人员处理敏感付款信息与交易流程，易受涉及虚假发票或未经授权支付请求的骗局影响。
财务人员：掌握银行账户细节与支付权限，易成为旨在转移资金或窃取财务信息的BEC欺诈的目标。
人力资源人员：管理包含敏感个人信息的员工记录，攻击者常冒充高管以获取这些数据用于身份盗窃。
法务人员：经手的合同与法律交易可能被诈骗分子利用篡改。
新员工：不熟悉公司流程规范与沟通风格，更易被攻击者趁虚而入。

高管因其位高权重，具有访问敏感信息和财务资源的权限，以及员工可能迫于权威压力而未严格验证请求等原因，成为BEC攻击的主要目标。攻击者常利用公开信息精心设计邮件，制造紧迫感，而高管们可能因繁忙而忽略可疑之处，加之可能缺乏足够的网络安全培训，使得他们更易成为这类复杂骗局的受害者。

如何防范商业电子邮件攻击（BEC）

为降低商业电子邮件攻击（BEC）风险，组织可采取以下措施：

邮件认证协议：采用发件人策略框架（SPF）、域名密钥识别邮件（DKIM）和基于域名的邮件认证、报告与合规（DMARC）等协议，验证入站邮件的真实性，防止邮件伪造。
多因素认证（MFA）：在所有邮箱账户中强制实施多因素认证。此举在密码基础上增加额外安全层，大幅提升未授权访问的难度。
安全支付流程：为电汇授权和敏感交易制定严格的财务管控措施。可考虑使用需要额外验证步骤才能修改付款信息的安全支付平台。
安全意识培训：定期开展培训，帮助员工识别钓鱼攻击和可疑邮件。通过模拟BEC攻击场景，强化员工的安全意识。
及时更新软件：保持所有软件（包括邮件服务器和杀毒软件）为最新版本，修复可能被攻击者利用的漏洞。
部署邮件安全网关（ESG）：邮件安全网关会分析入站和出站邮件流量，识别恶意活动。借助垃圾邮件过滤器、杀毒扫描和行为分析技术，检测并拦截包括商业电子邮件攻击在内的钓鱼攻击。

为加强网络安全防御，企业还可借助安全信息与事件管理（SIEM）和用户与实体行为分析（UEBA）等工具构建多层防护。这些工具能对网络实体和事件进行持续监控，提高威胁指标（IoC）的检测能力，并实现高效的事件响应流程。Log360 安全信息与事件管理（SIEM）解决方案，可帮助企业抵御包括商业电子邮件攻击在内的各类网络攻击。通过集成STIX/TAXII等开源威胁情报源，可实时获取已知钓鱼域名、恶意IP地址及泄露凭证数据。这种集成将可操作的威胁情报融入日志数据，使安全团队能够将用户活动与当前威胁态势进行关联分析。