商业邮件诈骗 (BEC) 攻击的显著上升与风险

关键要点

根据AbnormalSecurity的数据显示，商业邮件诈骗（BEC）攻击在2022年增加了81%，而在过去两年中增长了175%。更令人担忧的是，98%的员工未能报告这一潜在威胁。

该安全供应商的揭示了与员工相关的企业安全挑战。在BEC攻击激增的情况下，2022年下半年文本型BEC邮件的中位开放率达到28%，而15%的员工对恶意内容做出了回复。

在人为因素方面，电子邮件攻击的风险不容忽视。攻击者越来越多地创新新的，诱使员工打开恶意电子邮件并提供敏感信息，例如登录凭证和更新银行账户信息。

尽管BEC攻击针对各个层级的员工，报告发现78%的攻击是由初级销售人员阅读和回复的。在行业方面，交通运输行业的员工（16%）最有可能响应攻击，其次是汽车行业（9%）和医疗行业（8%）。报告建议，交通运输行业员工响应率高可能与他们对于保持运营和快速解决问题的紧迫感有关。

为了从根本上减轻BEC威胁，Abnormal Security的首席信息安全官MikeBritton表示，公司不应过于依赖员工的培训，而应实施技术解决方案。

“员工必须每次都完全正确，而威胁行为者只需一次成功——攻击者对此了如指掌，”Britton在报告中指出。

“由于像商业邮件诈骗和供应链诈骗这样的高级电子邮件攻击利用了受信任的电子邮件账户和关系，组织需要能够检测到活动和内容中即使是微小变化的电子邮件安全措施，”他补充道。“这样，他们可以在员工不得不决定是否阅读、回复或报告这些攻击之前阻止它们。”

尽管执法机关努力打击全球的BEC网络犯罪活动，但根据，攻击者在2021年全球累计获得24亿美元的收益，这一数字是报告中提到的勒索软件收益（4920万美元）的49倍，并占总网络犯罪收益（69亿美元）的三分之一。