安基網 首頁 安全 攻防案例 查看內容

12個最昂貴的網絡釣魚攻擊示例

2019-6-15 11:25| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 網絡釣魚是對您的企業最惡毒和最危險的威脅之一 - 無論您是大型企業,小型企業還是中間企業。最成功的網絡釣魚攻擊示例通常涉及不同社交工程策略的組合,可能涉及模仿CEOS或公司高管,政府組織,慈善機構,供應商和業務合作伙伴。在某種程度上,每個人都容易受到網絡釣魚詐騙的影響,因為他們會掠奪個 ...

網絡釣魚是對您的企業最惡毒和最危險的威脅之一 - 無論您是大型企業,小型企業還是中間企業。最成功的網絡釣魚攻擊示例通常涉及不同社交工程策略的組合,可能涉及模仿CEOS或公司高管,政府組織,慈善機構,供應商和業務合作伙伴。

在某種程度上,每個人都容易受到網絡釣魚詐騙的影響,因為他們會掠奪個人的個人判斷,不安全感或(在某些情況下)無能。

無論您是c級管理人員,名人還是小型企業員工,這些攻擊都旨在使用各種欺騙性策略來試圖影響,操縱或徹底欺騙您執行特定任務。目標可能是獲得對重要系統的訪問權限,或者讓您通過欺詐性帳戶進行大量電匯。

涉及網絡釣魚和電子郵件欺騙的企業電子郵件泄密計劃屬于全球公司最成本最高的錯誤之一。多貴?我們想知道同樣的事情。這就是我們花時間確定前12個網絡釣魚攻擊示例的原因。

迄今為止12個最昂貴的網絡釣魚攻擊示例


1億美元 - Facebook和谷歌

7500萬美元 – Crelan Bank

6100萬美元 – FACC

5000萬美元 - Upsher-Smith實驗室

4700萬美元 - Ubiquiti Networks

4400萬美元 - Leoni AG

3100萬美元 - Xoom公司

2100萬美元 - Pathé

1800萬美元 - Tecnimont SpA

1700萬美元 - Scoular公司

1180萬美元 - MacEwan大學

300萬美元 - 美泰

打破12大最昂貴的網絡釣魚攻擊案例

請輸入圖片描述

Facebook和谷歌

通過精心制作的假發票騙局,Facebook和谷歌在2013年至2015年間被騙了超過1億美元。是的,由于最終歸結為一個可以避免的錯誤,這是一筆瘋狂的金錢損失。立陶宛黑客通過向每家公司發送一系列虛假發票,同時冒充他們用作供應商的大型亞洲制造商來完成這一壯舉。

克里蘭銀行

據報道,在內部審計中發現的首席執行官欺詐案中,比利時的克蘭銀行損失了7580 萬美元(約合7,000萬歐元)。攻擊者的身份仍然未知,但銀行已實施新的安全措施,以防止再次發生攻擊。

3. FACC

奧地利航空零部件制造商FACC在CEO欺詐騙局中損失了6100萬美元(約合5400萬歐元)。一名黑客擔任首席執行官并向一名入門級會計員工發送網絡釣魚郵件,該員工將資金轉入虛假項目的賬戶。這種情況強調了為員工提供全面和定期的網絡安全意識培訓的重要性。這個案例在另一個方面具有里程碑意義 - 該公司起訴他們的前首席執行官和首席財務官,因為他們做得不夠,無法保護公司免受數百萬人的損失。在正在進行的案件中,該公司聲稱兩位領導人“未能建立適當的內部控制并履行合作和監督的義務”。

Upsher-Smith實驗室

Upsher-Smith Laboratories是一家美國制藥公司,在2014年的三周內被詐騙了超過5000萬美元。網絡釣魚者冒充該公司的首席執行官,向該公司的應付賬款協調員發送網絡釣魚電子郵件,指示他們制作9欺詐性的電匯。雖然他們能夠召回一條線,將損失降至3900萬美元(加上利息),但他們最初還是轉移了超過5000萬美元,這就是為什么他們在我們的名單上排名第四。

5. Ubiquiti Networks

美國計算機網絡公司Ubiquiti Networks面臨著一個不同尋常的情況:該公司并未意識到它通過首席執行官欺詐電子郵件獲得了4670萬美元 - 占公司現金頭寸的近10% - 并被聯邦調查局通知了該活動,一直在關注公司香港子公司的銀行賬戶。

6. Leoni AG

Leoni AG是一家領先的電線電纜制造商,當該公司羅馬尼亞辦事處的一名財務人員被一家聲稱來自該公司德國高級管理人員的網絡釣魚電子郵件作為攻擊目標時,被騙了4000萬歐元(約合4400萬美元)。這種情況是另一個網絡釣魚攻擊示例,它們證明了培訓員工識別網絡釣魚電子郵件的重要性。

7. Xoom公司

Xoom公司是一家領先的電子資金轉賬提供商,它發現自己處于BEC騙局的十字路口,這使它們損失了近3100萬美元。在2014年第四季度,該公司報告稱,當涉及員工假冒和傳達欺詐請求的通信針對公司財務部門時,“3080萬美元的商業電子郵件泄露(”BEC“)欺詐損失” 。

8.Pathé

歐洲影院連鎖店Pathé 被騙了超過2100萬美元(約合1900萬歐元),當時兩名高級管理人員成為電子郵件騙局的目標。在將近一個月的時間里,黑客讓他們在冒充公司首席執行官的同時轉移了多筆款項。該公司最終以此事件終止了首席執行官。

9. Tecnimont SpA Tecnimont

SpA是一家意大利工程,建筑和采購公司,通過精心設計的BEC計劃被騙了1860萬美元。此網絡釣魚攻擊示例涉及網絡犯罪分子向該公司的印度高管發送電子郵件以及安排虛假電話會議以討論在中國進行的機密收購。

10. Scoular公司

Scoular公司是一家商品交易公司,在精心設計的魚叉式騙局騙局中被騙了1700多萬美元。假裝成公司首席執行官的網絡釣魚者向該公司的控制人發送電子郵件,指示他們在引用該公司的真實會計師事務所時匯款(盡管他們提供的聯系信息是假的 - 電子郵件地址來自俄羅斯服務器和Skype電話號碼是使用以色列的IP地址注冊的。

11.麥克尤恩大學

麥肯文大學是加拿大的一所教育機構,2017年,當網絡釣魚者模仿埃德蒙頓建筑公司并發送虛假發票作為大規模騙局的一部分時,該公司被騙了近1,180萬美元。網絡犯罪分子甚至為該地區的12家以上建筑公司創建了多個網站,以便從真實企業的業務合作伙伴那里收集資金。MacEwan的好消息是,他們最終能夠收回92%(1090萬美元)的被盜資金。

12.美泰

銷售芭比娃娃和其他兒童玩具的制造商美泰公司在2015年通過首席執行官欺詐行為被騙300萬美元。然而,芭比一方的好運是因為網絡釣魚者在銀行假日前一天進行了攻擊。這讓美泰公司的管理人員有時間讓國際警察和聯邦調查局參與其中,并最終在轉移后的幾天內收回被盜資金。與我們的網絡釣魚攻擊示例列表中的其他公司不同,美泰對于本來可能是一個非常丑陋的網絡安全故事感到高興。

什么使BEC網絡釣魚詐騙如此成功

商業電子郵件泄密和網絡釣魚詐騙正在上升。

在互聯網犯罪投訴中心(IC3)報告2016年12月和五月至2018年間“中確定的全球曝光損失增長了136%,”與BEC /電子郵件帳戶妥協詐騙。 是什么讓網絡釣魚騙局如此成功?它們不是以技術為重點。黑客瞄準的是人們,他們指望員工瘋狂地回應看似來自他們的高管或供應商的緊急電子郵件。

“ 我需要你盡快將$ X轉入X賬戶以避免重要交易掉線!” 這些攻擊的行為是,他們所針對的員工不太可能質疑來自他們老板的老板(或老板老板的老板等)的電子郵件,或者在他們被告知的時候仔細檢查和核實信息。趨之若鶩。它不是針對網絡中的漏洞或安全防御; 這是針對你和你的同事作為犯錯誤的人。

從這些公司的網絡釣魚騙局經驗中學到什么

這12個公司網絡釣魚攻擊示例中有一個共同特征:收到郵件的許多員工只是在沒有首先驗證請求有效的情況下遵守了欺詐性電子郵件請求。在員工確實嘗試驗證他們是否應該執行任務的情況下,大多數人只是回應欺詐性電子郵件或使用電子郵件中提供的虛假聯系信息呼叫攻擊者。

需要通過其他官方渠道進行驗證 如果在任何這些情況下的員工通過其他官方渠道或方法聯系出來,例如使用公司電話簿中的已知電話號碼直接給他們打電話,聯系他們的助理,或者甚至只是走下大廳與他們交談被指控的請求者面對面,他們可以避免因欺詐而損失數百萬美元。不幸的是,網絡釣魚攻擊的真實成本通常不會因竊取的資金而終止。其他成本包括因公司形象和聲譽受損而導致的收入損失。

這個概念與我們的下一個建議密切相關,這將使得在進行任何財務轉移之前必須遵循設定的流程。

實施新進程以增加網絡防御

這些公司可以避免陷入網絡釣魚攻擊的另一種方式是,如果他們有帳戶驗證和保護流程。這可能需要員工在進行超過設定金額的任何轉賬(例如10,000美元)之前,遵循設定的流程(例如執行帳戶驗證,需要其他人員進行二級和/或三級簽名,并要求電話驗證等)。當然,這對您的會計和財務部門來說可能看起來有點不方便,但是有點不方便肯定會給網絡犯罪分子帶來數百萬美元的損失。

實施員工網絡意識培訓

除了制定適當的政策之外,為員工提供全面的網絡安全意識培訓可能會阻止許多這些網絡釣魚攻擊示例的發生。這種形式的教育定期培訓員工識別并適當地響應網絡釣魚電子郵件(在大多數情況下,這意味著不接受電子郵件本身,通知IT管理員,以及刪除或隔離電子郵件)。它還有助于加強您組織的“人機防火墻”。 網絡安全意識培訓可以面對面或在線提供,并且應該定期進行網絡釣魚測試,以確定培訓的成功或確定未來培訓中需要關注的領域。

使用電子郵件簽名證書

我們提到的最后一種保護方法可能會阻止任何(或所有)這些網絡釣魚攻擊示例使用電子郵件簽名證書。電子郵件簽名證書使管理人員和其他員工能夠以數字方式“簽署”他們的電子郵件,以便他們的收件人可以輕松驗證他們是誰。這些證書由行業信任的證書頒發機構(CA)頒發,對電子郵件進行數字簽名。通過全面強制使用電子郵件簽名證書,這意味著如果財務或會計部門的某人收到似乎來自CEO的電子郵件,他們可以輕松驗證電子郵件發件人的身份。

另外一個好處是,這些證書還可用于使用非對稱加密發送安全電子郵件。這使您可以將加密的電子郵件發送給具有匹配私鑰的收件人,該收件人通過確保除了預期收件人之外的任何人都無法打開數據,從而保護數據處于靜止狀態并坐在收件人收件箱中時的完整性。由于許多電子郵件服務提供商在傳輸過程中使用SSL / TLS來保護電子郵件,這意味著您將能夠享受傳輸中的數據和靜態數據保護。

最后的想法

世界各地的公司都有新的企業電子郵件泄密和網絡釣魚攻擊示例。這份清單顯示的是,沒有哪家公司能夠過大而不能成為經過驗證的網絡釣魚騙局的犧牲品。雖然保護您的設備和IT基礎設施以消除漏洞非常重要,但通過培訓和身份驗證方法加強您的“人體防火墻”同樣重要。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6702324099277914627/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三