根据Verizon的数据泄漏报告，2023年商业邮件欺诈(BEC)攻击占社交工程攻击的一半以上！网络犯罪分子不仅在增加攻击数量，而且在伪造和仿冒邮件方面变得更加老练和自动化。

如今，随着生成式人工智能的快速武器化，BEC攻击威胁正爆炸式增长。网络犯罪分子不仅擅长用AI编写极具说服力的钓鱼电子邮件，而且还能逃避传统电子邮件安全工具的检测，大规模地提高攻击的覆盖范围和复杂性。

2024年，随着BEC攻击激增，网络安全团队和业务经理需要认识到，技术防御只能在一定程度上减轻风险。常见的电子邮件安全防御技术包括从反欺骗技术 (如DMARC和SPF) 到行为分析和其他威胁检测，以及多因素身份验证 (MFA) 和强大的身份和访问管理等保护措施。然而，为了建立有效的纵深防御，企业需要分层实施威胁情报，人员导向的业务和技术政策，才能将风险降至最低。

为了避免财务损失，首席信息安全官 (CISO) 们应与法律团队一起制定全面的BEC政策文档来提高用户的抗攻击能力，以下是专家推荐的 BEC 防护政策的八个要点：

一、可接受的使用规则

企业在业务和技术层面设置的首要规则类别是员工访问电子邮件和其他业务系统时的可接受使用标准，以阻止BEC攻击。Britton表示，可接受使用政策 (AUP) 是提供基于政策的BEC风险保护的最低要求。

AUP包括常规的安全最佳实践，并应特别关注网络钓鱼和BEC防范指南，后者的内容包括：不得点击可疑文件附件或链接、不向第三方泄露敏感信息、仔细检查发票支付和工资单变更请求以及报告可疑攻击等。

二、确定安全意识培训的频率

与AUP一样，安全意识培训也应作为入职培训的一个关键部分由BEC政策规定。但是，政策也应规定员工在企业工作期间需定期进行培训。由于网络犯罪分子的策略不断发展，企业应至少每四到六个月进行一次复习和更新。企业可以考虑能够帮助自动执行这些培训课程的工具。

安全意识培训更新不仅提供了宝贵的安全威胁提醒和如何识别不同阶段的BEC攻击的强化教学内容，还可以提供一个重要的学习场所，让员工了解这些攻击技术自上次培训以来发生了哪些变化。Embroker 商业和网络保险公司的首席保险官 David Derigiotis 表示：“企业需要通过安全意识培训计划定期向员工更新不断发展的 BEC 威胁和策略，模拟测试和其他审计也需要成为这些定期更新的一部分。”

三、强制性BEC特定事件响应计划

企业董事会和首席执行官应要求CISO在其事件响应(IR)计划中包含针对BEC的程序，

公司应制定政策要求安全团队定期更新这些IR计划并测试其效果。企业在事件响应的所有阶段计划都有法律专家参与，法律部门尤其应该参与内部和外部利益相关方沟通事件，以确保企业在BEC攻击发生时不会增加其法律责任。

Culhane Meadows合伙人Reiko Feaver表示：“任何违规都可能带来法律责任，因此最好在违规之前进行讨论，并尽可能多地提前制定预案。”

Feaver建议BEC政策文件应规定法律部门成为威胁建模团队的一部分，分析不同类型BEC攻击的潜在影响，以便将法律专业观点纳入响应计划中。她说：“此外，泄露或暴露的有关商业伙伴、客户、人员等的信息，包括机密信息，可能产生法律后果，这也应该在制定IRP和实际应对实际违规行为时加以考虑。”

四、禁止共享企业结构图和其他运营细节的规则

BEC诈骗者通常会利用对组织内部运作的了解来针对特定员工进行帐户接管攻击，向受害者提出可信的请求，或者设计出非常令人信服的社会工程方法。

SafeGuard Cyber首席技术官兼首席产品官Stephen Spadaccini表示：“企业应该将组织结构图和其他详细信息从公司网站上删除。黑客可能用这些信息来实施有针对性的网络钓鱼诈骗的职位描述；避免在社交媒体网站上发布详细的个人信息，这些信息会落入那些准备实施个性化社交工程骗局的人的手中。”

五、 发票和财务交易协议

防止BEC造成巨大损失的关键策略与技术无关，重点是建立一个坚不可摧的业务标准和流程来处理发票和触发财务交易。

Fortra首席信息安全官Chris Reffkin表示：“这意味着将纵深防御应用于整个企业的业务实践，而不仅仅是网络安全。例如，如果通过电子邮件收到更改付款信息的请求，那么业务流程的响应是什么？”

理想情况下，这些政策应要求所有付款都追溯到经过验证的收款人姓名、地址和付款说明的已批准发票。KnowBe4的防御专家Roger Grimes建议：“任何临时付款请求都必须在付款发出之前进行正式审查。要求所有付款指令更改在批准之前使用合法途径进行验证。”

值得注意的是，强力政策可以消除攻击者对员工（社工攻击）施加的紧迫感和恐惧感，尤其是攻击者冒充高管或上司提出异常请求时。强有力的政策能够保护严格按规章办事，“不听话”的员工。

六、高风险变更和交易的带外验证

对于发票和财务交易政策，企业应特别注意如何验证和批准高风险交易和财务账户变更。Qmulos合规策略副总裁Igor Volovich表示：“实施严格的财务交易和数据请求验证流程至关重要。这是抵御BEC攻击的关键防御措施，确保对每个请求进行彻底审查。将这些流程嵌入到日常运营中可以形成强大的防御机制。”

企业为BEC设置后盾的一个重要方法是确保通过电子邮件触发的任何高风险事件都通过某种带外验证流程（可以是电话、通过安全系统或短信）进行跟进。

DarkTower首席执行官Robin Pugh强调：“这是最重要的政策之一。切勿仅根据电子邮件请求更改付款/银行详细信息。每当通过电子邮件请求付款信息或银行信息变更时，应制定一项政策，要求收件人始终通过语音使用受信任的联系方式联系请求人。” Pugh表示，为高风险交易添加第二位审批人也可进一步降低风险并减少内部威胁。

OpenText Cybersecurity的威胁情报高级经理Troy Gill警告说，攻击者会潜伏在被入侵的电子邮件箱中，等待付款活动发生时伺机介入。即使联系人通过电子邮件提供了合法文件，也应该用带外验证进行补充。Gill解释说：“在许多情况下，攻击者会篡改以前发送的合法文件，将收款账号替换为（攻击者控制的）账户。因此，至关重要的是，所有更改必须在电子邮件线程之外确认。”

七、请求登记流程

对于某些组织来说，要求临时带外电话呼叫的政策可能不够严格，不足以降低BEC风险。TrustNet首席信息安全官兼创始人Trevor Horwitz解释说，将验证策略提升到新水平的一个策略是建立一个内部安全的“请求寄存器”，通过该寄存器，每个交换或更改敏感信息的请求都将通过该寄存器。

“由于来自外部欺骗电子邮件和内部受损电子邮件来源的双重威胁，预防BEC需要采取广泛的策略。我们倡导一种受金融服务领域“积极支付”欺诈预防启发的新颖战略。”Horowitz说道。“这项政策要求对所有敏感信息交换和变更采用辅助方法进行积极验证，包括收款人、银行信息、应收账款和员工数据。该机制包括一个内部安全的“请求寄存器”，可确保在任何信息交换或修改之前进行积极验证。”

通过这一政策和方法，每个敏感请求都会在集中式系统中注册，然后通过第二个因素获得批准，无论是电话、一次性密码 (OTP) 还是硬件安全密钥（例如FIDO2）。霍洛维茨告诉CSO：“用户经过培训，可以在泄露信息或进行更改之前通过此寄存器验证敏感请求。”

八、开放式汇报机制

企业制定政策、文化和流程时需侧重开放式汇报机制，让员工能够轻松报告异常请求事件，即使判断错误也无需担心惩罚。Feaver说：“重要的是要确保员工不怕报告可疑事件。报告得越早，就越容易解决，但害怕的员工可能不愿意承认错误。”

企业需要建立报告可疑事件的文档步骤和机制，并尝试奖励阻止错误而不是惩罚错误。Gill说：“为了增加激励措施，我建议为成功识别和阻止BEC攻击尝试的人建立奖励制度，例如奖池或礼品卡。这将有助于培养防御思维和零信任心态，他们需要知道如何安全地做到这一点。”