10月27日，Coremail舉辦聚焦郵件安全熱點問題探討交流會，Coremail CTO林延中蒞臨直播間，為觀眾詳解Coremail對商業電子郵件詐騙(簡稱：BEC)的最新研究成果，並分享了應對建議。

商業電子郵件犯罪(Business Email Compromise，簡稱BEC)是一種高階的電子郵件攻擊，其本質是構造假身份欺騙受害者，儘量使用最少的、隱蔽性高的有效載荷(如URL或附件)來躲避檢測。

通常情況下，駭客會偽裝成目標受害者的同事或目標受害組織的供應商，要求他們進行付款或傳送一些敏感資料。

BEC作為當今常見的郵件詐騙手段，從美國矽谷著名風險投資公司，再到中國外貿行業，均頻繁遭遇BEC導致損失鉅額財產，使得郵件安全從業者面臨更艱鉅的考驗。

一、BEC攻擊過程全解密

上圖為Coremail根據實際案例還原的BEC原理圖，駭客不僅冒充了CEO的姓名，也仿冒了該外貿客戶的域名，具有很強的欺騙性，結合駭客要求供應商、財務對指定賬戶進行打款的話術，一旦上當受騙就會遭受較大的財產損失。

二、什麼是域名仿冒？

Coremail CTO林延中舉了個例子，假設域名為的情況下，駭客可能採用大小寫、數字進行替換，不仔細甄別很難發現是假冒域名。

大小寫、數字進行替換的域名仿冒

根據還原案例不難發現，BEC常見攻擊過程分為盜號-偵查-潛伏-發起攻擊-重複等五個步驟。

這也說明盜號過程（賬號監測） 和 攻擊過程（郵件監測）是兩個BEC的關鍵防護重點。

“從全網來看，被盜賬號是海量的，可能發生在每一個企業。那麼對於Coremail而言，我們的管理難點在於儘可能的減少盜號漏判，同時使用精準的演算法識別最後攻擊環節的BEC郵件流量，並提供高效預警，通知對應企業的安全人員、管理人員，制止正在發生的BEC詐騙。”
——Coremail CTO　林延中

BEC防護措施一：CAC 2.0賬號監測與處置

為什麼處置被盜賬號如此重要？

這是因為駭客在實施BEC前期需要做大量資訊收集工作，透過盜號獲取員工-公司的歷史郵件往來資訊。
Coremail作為防守方，能夠透過大資料分析和行為習慣分析識別出被盜賬號。
駭客透過釣魚或暴力破解成功盜號後，其行為與正常使用者完全一致的機率微乎其微，所以當賬號出現的行為與日常習慣偏離較大時，Coremail就能透過這部分異常特徵識別可疑賬號並處置。
——Coremail CTO　林延中

Coremail賬號安全防護產品以防暴衛士為核心、威脅情報為輔，透過對郵箱賬號狀態進行檢測，檢視是否有外部的暴力破解、異常登入與內部的疑似被盜賬號，有效降低郵箱賬號被盜風險。

在過去的8月~10月，Coremail透過對全網檢測到的異常賬號進行了鎖定處置，使得全網異常賬號數量驟降。

由於異常賬號常常被駭客當做“肉雞”傳送BEC郵件，處置異常賬號也意味著BEC郵件、垃圾廣告的傳送量大幅減少。

BEC防護措施二：監測仿冒域名：降低BEC攻擊影響

除了處置異常賬號，減少BEC郵件的傳送量，Coremail每個月也會檢測到10~15個正在發生的BEC攻擊。

攻擊集中於製造業與海外貿易行業，為了減少BEC攻擊帶來的不良影響，Coremail透過大資料篩選+人工稽核的方式，對管理員及終端使用者進行告警，提醒使用者可能正在遭受域名仿冒型別的商業詐騙攻擊。

提醒示例

Coremail的舉措也得到了客戶的一致好評，滿意度高達100%。

在過去的5月~9月，Coremail主動對39個客戶做了BEC詐騙風險提示，降低了客戶潛在的商業詐騙風險，挽回潛在金錢損失超千萬元。

郵件安全自動化處置也將成為趨勢，透過賬號安全+郵件威脅監測攔截，構建綜合安全體系，進而提升安全作用範圍，降低安全人員投入也將成為Coremail未來努力的方向。

Coremail始終倡導以“一站式解決所有郵件安全問題”為基礎理念，從現有客戶痛點出發，減少客戶的運維壓力，同時將自身的安全能力賦能給服務客戶，提升客戶綜合防護能力，共同建設良好的郵件安全生態。

以上就是本次交流會的部分內容，更多精彩歡迎登入Coremail管理員社群檢視完整回放。

精華檢視

瞭解Coremail CTO