目前而言,勒索软件攻击可能是企业和机构面临的最新威胁,但其实它只能算企业和机构必须警惕的威胁之一,另一个更为突出的应该就非商业电邮诈骗(BEC)莫属了。
BEC诈骗
从字面上看,BEC还真不容易理解,到Google搜一下,首先看到的竟然是FBI的定义。引用FBI给的图,基本就能明白BEC诈骗的意思了。
它是一种具有高度针对性的鱼叉式钓鱼,通过冒充决策者的邮件,来下达与资金、利益相关的指令,其目标并不只是窃取个人信息,而是直接窃取资金。
近期趋势
一般情况下,受害者是这样遭受BEC诈骗的:收到一封包含钓鱼链接的电子邮件,点击链接后,会下载运行恶意软件。恶意软件会自动收集受害者的密码和财务账号信息等。
目前发现的BEC诈骗主要有以下四种类型:
类型1:伪造邮件、电话,要求转账到另一个账户;
类型2:高管的email被盗用,像财务部门发送资金申请的邮件;
类型3:员工email被盗用,向所有联系人发送付款要求;
类型4:诈骗者冒充律师来处理机密或时间紧急的事件,或资金转移。这种形式会给受害者带来心里压力,通常发生在工作日快结束时,或财务机构快关门时。
BEC攻击者可以针对任何人发起攻击,尤其偏好那些存在国际商业合作的企业,因为他们经常需要进行电汇付款,且往往款项数额庞大。攻击者的目标主要集中在美国、英国以及澳大利亚等国家,但是偶尔也会针对其他国家发起攻击(如比利时Crelan银行和奥地利飞机 零件制造商 FACC 等)。
符合上述条件的企业应该尽早的教育自己公司的员工,尤其是公司的财务人员,如何正确地防范此类安全威胁,避免不必要的损失。因为在超过40%的商业电邮诈骗案中,都是针对目标企业的首席财务官发送钓鱼邮件并诱导其进行资产转移。财务总监以及财务控制人员 等也在钓鱼攻击之列:
BEC诈骗变化趋势显示:今年早些时候BEC诈骗数量呈飙升趋势;攻击者开始关注员工的工资单信息;安全意识培训公司KnowBe4的新任首席财务官通过确定什么是所谓的BEC钓鱼邮件,成功挫败了此类攻击。
钓鱼邮件中的请求,看起来像是公司的CEO发送的。此类钓鱼邮件首先传递给公司的财务控制人员,但是事实上该财务人员并不具备访问工资信息的权限,随后该人员将请求邮件转发给公司的首席财务官。
趋势科技的研究人员表示,员工们应该格外警惕这些看似由公司CEO,总裁或总经理发送的,要求进行紧急电汇的电子邮件。
这些电子邮件的主题通常是较为简单和模糊不清的,多数只有一个词组成,例如 “Transfer(转发)” “Request(请求)” “Urgent(紧急)” 等。
这些邮件可以由真正的公司CEO的电子邮件账号发出,而这个过程需要键盘记录程序或后门程序的帮忙,或只是将其伪造成CEO的电子邮箱账号的样子。
BEC诈骗者通常利用大量的可用工具来准备和实施攻击活动:
截止目前,BEC诈骗者已经从全球17000多家组织获取超过23亿美元的资金,而且,这仅仅是目前我们所得知的而已,不排除有相关受害者没有通知当局关于诈骗的信息。因为担心攻击事件曝光后会对公司的信誉造成无法挽救的影响。
通过诈骗行为获取的高额回报可能让这种诈骗行为在短期内终止的可能性变得微乎其微。
因此,企业应该将更多的精力投注于员工安全意识培训中,相关保护措施如下:
建立入侵检测系统,标记那些长得和自己公司邮件很相似的邮件(abc_company.com 和 abc-company.com);
记录那些和真实公司域名长得类似的山寨域名;
涉及到资金交易时,多方面校验:电话,或多封邮件确认;
了解客户的习惯,包括所需资金的总数,以及每笔转账背后的原因;
仔细检查每一个关于转账的email,特别是那些不按常理出牌的;
拓展阅读:10家专注网络钓鱼培训的公司
PhishMe公司的钓鱼模拟、训练和报告平台目前在全球范围内拥有超过800家企业客户,包括其中有近一半的客户是财富100强的企业,这些企业客户采用他们的工具和服务来积极的让数千名员工在模拟条件下检测和报告网络钓鱼攻击的威胁。
PhishMe公司还提供了一款网络钓鱼事件响应平台,能够针对网络钓鱼邮件更快的响应,进行自动并优先的报告发送;而他们的另一项威胁情报服务,则能够帮助安全威胁分析人员通过诊断他们所看到的网络钓鱼活动以验证外部威胁。
此外,PhishMe公司还提供了十几款免费的培训模版,以交互式的PDF文件格式或符合SCORM兼容的文件格式,可以通过一家企业客户的学习管理系统运行。
2. PhishLabs
PhishLabs的客户包括了排名美国前五大金融机构的其中四家、全球排名前25的金融机构的其中七家、领先的社交媒体和求职网站、以及顶级的医疗保健企业、零售商、保险和科技公司。
PhishLabs公司的创始人兼首席执行官约翰·拉科建议说:
“让模拟场景尽可能的真实。如果您希望您企业的员工们能够及时发现并报告真实世界的网络安全攻击,那么,您的模拟测试绝对需要能够反映他们最有可能在真实世界的所看到的网络攻击。”
3. IronScales
IronScales公司为企业客户提供网络钓鱼模拟和游戏化的企业员工安全意识培训。
根据从约60多家企业所收集到的数据显示,其结果是,网络钓鱼邮件的点击率将明显降低,而员工向安全管理人员转发网络钓鱼邮件的比例比之前增长了200%。
Mediapro公司为企业客户提供培训和巩固方案,以及自适应的网络钓鱼模拟器。该公司的客户包括微软、T-Mobile、Expedia、思科、甲骨文、波音公司、万豪酒店、Costco和其他财富500强企业。
MediaPro Holdings, LLC公司的董事总经理史蒂夫·康拉德表示:
“并非所有的网络钓鱼活动都是一样的,而且也不应该是一样的。您企业将需要使用不同的模式,来测试发送复杂程度完全不同的网络钓鱼邮件,而那些不同的模式会产生不同的效果。而如果一而再,再而三的发送相同或类似的 网络钓鱼邮件,您邮件的最终用户所显示的网络钓鱼报告将是:邮件的点击率固然会大幅下降,但这并不会帮助您实现您最初的测试目标。”
KnowBe4拥有面向安全意识培训的解决方案和旨在加强日常用户教育的模拟网络钓鱼平台。这家总部位于佛罗里达州克利尔沃特的公司在过去三年的增长率达到了2528%,2015年销售额680万美元。公司在INC 5000上总分排名第139位。世界头号黑客大神凯文·米特尼克是KnowBe4公司的首席黑客官。
KnowBe4公司也提供了一款免费的钓鱼安全测试。该公司还提供一次性的免费电子邮件曝光检查,以帮助确定企业雇员的电子邮件地址是否被暴露于公众。
Wombat公司声称拥有1000多家企业客户,并提供自动化的网络钓鱼测试和培训模块服务。
该公司是在这个领域最早的供应商之一,于2008年由卡内基·梅隆大学的一个研究项目发展而来。此后,该公司继续专注于研究,并定期推出有关网络钓鱼的趋势和培训效果的研究报告。例如, Wombat公司与安全研究中心Ponemon Institute进行合作,以确定平均执行程序导致了37倍投资的回报。
7. Inspired eLearning
该公司为其客户提供了反网络钓鱼训练,以帮助企业客户的员工时刻将保持网络安全放在首位。该公司的客户包括富兰克林邓普顿投资公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集团(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美国农业部(the USDA)和ABB。
其PhishProof产品可作为一款完全托管的服务,而该公司的专家设计团队则提供部署评估和培训,或作为软件即服务模型,可通过在线软件的形式在几分钟内用于创建和部署评估。
8. Blackfin
Blackfin Security公司是赛门铁克的下属子公司,该公司提供网络钓鱼模拟和培训服务。网络安全意识培训可以被集成整合到在线的网络钓鱼模拟评估即时培训,或者企业用户也可以根据他们的日程来安排适合他们的后续培训。
此外,该公司还提供了针对社会工程、恶意软件、物理安全、和使用公共WiFi网络的培训模块,以及其他一般的安全议题。
9. PhishLine
PhishLine公司不仅支持反钓鱼测试,还将目标瞄准了更广泛的社会工程攻击,包括短信、电话、甚至是“不小心丢失”的U盘。
今年早些时候,PhishLine公司为基于第三方的计算机市场推出了培训材料,包括数以百计的钓鱼模板,自定义的登陆页面,风险评估调查和多语种的安全培训内容。
除了训练和模拟服务,该公司还提供测量工具,使得企业用户可以跟踪他们的计划是否成功。例如,其中的一款测量工具可用于游戏化,是基于风险的评 分工具。企业用户可以在这里设置训练成绩,进而可以对员工个人,部门或其他团体的评分进行比较,或对企业内部或外部的评分基准进行定制。
10. InfoSec Institute
这家公司最出名的是他们的企业安全培训、新兵训练营和认证计划。
他们还提供了交互式的安全意识在线培训模块。他们的SecurityIQ产品结合了基于计算机的安全意识培训和一款基于云的网络钓鱼模拟器服务。企业用户可以设置自动的项目,随着时间的推移为其雇员发送网络钓鱼测试,或提醒雇员报名参加他们的网络安全意识培训。
58同城借钱可靠吗?是骗子公司吗!
58同城借钱能借到,但利益太高,我演算了下,月息是3分利,也就是说借1000,每个月利息30元,而且是强行借款6个月,也就是必须给180元利息,那年息就是360元,已经超过了国家规定的年息24%,属于典型的高利贷公司。
有关电信诈骗的社会实践报告怎么写
给你找了篇范文,希望对你有所帮助:在学校学到的只是一些理论上的知识,自己要展现专业技能的锻炼机会应该好好把握。 鉴于这点,寒假里我尝试到外边的一些公司实习,以此提高自己的动手能力和丰富社会工作经验。 因为母亲在中国电信工作,我学的专业又是通信工程,于是顺理成章的就去了中国电信贺州分公司实习,为期两个礼拜。 在贺州电信实习的日子里,依稀觉察出它是一个朝气蓬勃的团体。 我明显感受到公司与学校的氛围完全不一样,包括工作精神、态度以及人际间的交往等等。 公司里的职员都很努力,都很上进,大家上班准点准时,但是也会没日没夜加班加点,似乎存在着一种无形的竞争机制,大家都很自觉,譬如说中午可以休息,公司职员可能会吃完饭后就回到自己的工作岗位,而没有钻时间的空子。 实习期间,我的实习任务主要是整理数据,统计资料,归整文件等,这些事情虽然看似琐碎但还是要方法可循才能把事情做好。 因为还是一名学生,对于企业来说,可能是没有任何工作经验的生手,所以在实习当中的心得体会是办事绝对要找对炉子,顺应事情发展的途径,同时谦虚向前辈们指教,热情为用户服务。 米卢说过,态度决定一切。 在贺州电信实习期间,我体会到态度认真与不认真所得到的待遇差别。 其实,在企业里最关键态度应该要认真踏实,面对任何事情任何工作的时候要有一个稳健的心态和端正的态度,这样才会被认可,自己也才会进步。 作为一名实习生,看似我没有工作压力,但是在处理事情,面对工作时候的态度也是要将自己看成是这个大家庭的一员,努力让自己的工作绩效提高,而不是简单完成任务就好。 尤其与前辈们接触过程中,他们严谨而虔诚的工作态度给我留下深刻的印象。 在贺州电信实习时间不算长,所以对于公司企业里的人际交往感受不是特别强烈,但还是有些觉悟。 人与人之间要坦诚相待,和睦共处。 在电信工作,为人处事也是一门艺术,它的能动性很大,而且反映一个人的素质或能力。 它不仅仅是涉及公司内部氛围,而且也体现在对待客户上。 我是在重要客户部门实习,期间有跟着前辈去走访客户,前辈也传授了一些与客户沟通的经验,也亲身在旁边体验过,知道关键应该要抓住客户的需求。 此次在贺州电信实习让我提高自身专业实际操作能力,同时丰富自己社会工作经验。 这对于我来说,是很幸运的,但我更了解未来的竞争和挑战,我将不断朝专业方向努力,装备好自己,做一名成功的IT人才。
什么是“网络钓鱼”,如何防范?
什么是网络钓鱼? 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。 “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。 诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 在美国和英国已经开始出现专门反网络钓鱼的组织,越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。 用户自卫指南一、普通消费者: 安全专家提示:最好的自我保护方式是不需要多少技术的。 1. 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。 2. 更重要的是,不要回复或者点击邮件的链接——如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。 3. 留意网址——多数合法网站的网址相对较短,通常以或者结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。 4. 避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。 5. 使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。 6. 大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然应该都收到中文信件。 7. 将可疑软件转发给网络安全机构。 最后提醒一句,不幸中招者最好尽快更换密码和取消信用卡。 二、商业机构1. 为避免被“网络钓鱼”冒名,最重要的是加大制作网站的难度。 具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。 这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。 2. 加强用户验证手段,提高用户安全意识。 3. 及时处理用户反馈,积极打击假冒网站和其他相关的违法行为。 客户中心对类似“为什么每次登陆都得输入两次账号和密码?”之类的投诉,就要想到是否有“网络钓鱼”的可能,因为“网络钓鱼”者通常“劫持”第一次数据,而用户再一次登陆才进入了真正的页面。 4. 当然,安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系等都是必不可少的。 最后也要提醒一句,一旦出现被仿冒的情景,首先企业应该把诈骗网页取下来。 有些时候,这并不是一件简单、快捷的工作。
发表评论