这对勒索软件攻击来说并不不合适,比如霍华德大学最近的一项研究,以获得大量关注和报道。这是一种卑鄙的犯罪形式,对辩护者来说是一个巨大的挑战,对受害者来说可能是毁灭性的。但是我的同事查德@piffey安德森说绝命毒师播客的一集我们最近的记录让我印象深刻:就造成的损失而言,商务邮件折衷(BEC)和其他形式的“纯”网络钓鱼(网络钓鱼是主要的TTP,而不是多部分攻击的早期阶段)仍然远远超过勒索软件。联邦调查局的网络犯罪报告数据从2020年虽然2021年的数据还没有出来,但除非那些用BEC的不义之财中饱私囊的参与者突然决定退休,否则情况不太可能有明显的不同。
播客上讨论的案件涉及BEC成功出击在新罕布什尔州彼得伯勒镇。不需要复杂的恶意软件就能从纳税人那里骗取230万美元;相反,一个网络钓鱼者成功地冒充了拥有该镇应收账款的组织。不幸的是,彼得伯勒只是成千上万个BEC案例中的一个,这些案例仍然困扰着公共和私营部门。然而,新闻头条仍然聚焦于那些有着聪明名字和不断升级的技术复杂性的恶意团伙。
2020年,IC3收到19,369起商务电子邮件妥协(BEC)/电子邮件账户妥协(EAC)投诉,调整后的损失超过18亿美元。来源:https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf
这让我想起了我们对飞机失事和高速公路事故的反应飞机失事是一个悲惨的景象。它们引起的关注并非没有必要,主要是因为人员伤亡,但也因为从坠机调查中得到的教训,使未来的飞行更加安全。但是,对这些问题的关注很容易让人忽视高速公路交通事故的日常现实,而公路交通事故的现实是不断累积的生命和伤害的代价更高.的产生这种现象的原因很容易理解,但这并不能减少它的危害性。我们可以从中吸取教训。
第一课:场面会分散注意力.要确保对勒索软件的关注不会造成勤奋和优先次序的缺失,从而可能让更简单但仍然有效的社会工程方案得以通过。
教训2:防止壮观事件发生的措施也可以防止平凡事件的发生.安全带拯救了司机和乘客;防抱死制动器(最初是为飞机开发的)提高了跑道和道路的安全裕度。关于信息安全,我最近写了一篇文章,讲的是针对勒索软件的防御是一组相互关联的“防御ttp”,这些都很好理解。这就引出了……
第三课:关注共同点.虽然需要采取许多防御措施来平息勒索软件攻击,但网络钓鱼通常是最初的载体,也是阻止它的最佳机会。此外,尽管BEC可以通过包括电话在内的任何联系方式启动,但电子邮件仍然是最常见的方式。这表明,在所有需要格外努力的领域中,预防网络钓鱼可能会带来最大的回报.幸运的是,有许多好的方法和工具。
最后,很明显,我们必须注意到每个组织所面临的所有威胁。针对勒索软件的强有力措施从未像现在这样重要。但我们所有人都应该记住,其他一些更简单的攻击类型仍然具有重要的影响力。
记住第三课,在一个配套的博客中,我们将看看反网络钓鱼工具包中的各种工具。现在,请注意安全!