BEC攻击的范围超出了电子邮件

商务电子邮件(BEC)诈骗越来越多地针对移动设备，特别是针对短信的攻击。

Trustwave的网络安全专家最新发布的一份报告称，这一趋势表明，通过短信进行的网络钓鱼诈骗正在向更广泛的方向发展。

该报告称:“网络钓鱼诈骗在SMS威胁领域非常普遍，现在BEC攻击也在移动端盛行。骗子通常通过数据泄露、社交媒体和数据代理等方法获取手机号码。”

之后，攻击者要求受害者进行电汇，发送一份老化报告的副本或更改工资账户，诱使他们支付一些稍后应该报销(但永远不会报销)的东西。

Hoxhunt首席执行官Mika Aalto解释道：“只要BEC攻击保持盈利，它们就会一直存在。它们的持续盈利证明，员工的网络安全行为被基于合规的安全意识方法所忽视和管理不当。”

安全文化需要改革，首先要将人转变为资产，通过适当的培训和平台，增强NIST框架的保护-检测-响应支柱。

Trustwave的发现也在SlashNext的《2022年钓鱼状态报告》中得到了证实，该报告最近强调，移动设备上的攻击增加了50%，其中诈骗和证书盗窃高居有效载荷列表的首位。

该文件还显示，83%的组织报告称，移动设备威胁的增长速度比其他设备威胁的增长速度更快。

SlashNext的首席执行官Patrick Harr告诉Infosecurity：“我们已经看到BEC今年稳步向移动端的趋势。我们称之为商业文本妥协。”

他说:“移动设备受到的保护较少，移动设备上的发送者信息更容易混淆。通过使用移动短信或文本保护来抵御基于自然语言的攻击至关重要，这类威胁在2023年很可能会增加。”

Viakoo首席执行官Bud Broomhead赞同Harr的观点并补充道：“劫持SIM是一种广泛且易于执行的移动设备攻击方式。”

Broomhead告诉Infosecurity:“移动网络运营商仍然是最薄弱的一环，因为他们有太多的员工使用社会工程方法将移动账户转移到另一个SIM卡上。尽管用户在MFA(多因素认证)、生物识别和其他保护方面做得越来越好，但SIM劫持行为没有停止，BEC仍将继续增长。”