GreatHorn 的“2021 年商业电子邮件入侵报告”显示，最常见的 BEC 攻击类型涉及欺骗电子邮件帐户和鱼叉式网络钓鱼攻击。

商业电子邮件入侵 (BEC) 攻击已成为各行各业常见的电子邮件威胁手段，引发了许多社会工程和金融欺诈问题。在 BEC 攻击中，攻击者最初会窃取目标企业电子邮件帐户的凭据，然后使用它们对不知情的员工发起网络钓鱼和社会工程攻击。

此外，威胁行为者经常使用被盗凭据发起金融欺诈活动，例如欺诈性电子邮件消息、渠道外资金转移请求和删除会计记录。

据GreatHorn的2021 年商业电子邮件入侵报告显示：组织去年遭受的所有安全事件中，BEC 攻击占 50%，其他类型的威胁如数据丢失 (16%)、帐户受损 (36%)、和支付欺诈（16%）。

主要发现

· 欺骗电子邮件帐户 (71%) 和鱼叉式网络钓鱼攻击 (69%) 是最常见的 BEC 攻击类型。

· 近 30% 的组织声称，超过 50% 的恶意链接是通过电子邮件收到的，旨在窃取凭据。

· 34% 的受访者表示，财务部门是鱼叉式网络钓鱼攻击最有针对性和最频繁的受害者。

· 超过 65% 的安全专家承认，他们的组织在 2021 年遭受了鱼叉式网络钓鱼攻击。

信息就是财富

我们的敏感信息是网络犯罪分子的财富。一旦攻击者掌握了我们的私人数据，他们就可以将其滥用于各种欺诈活动中。BEC 攻击者通常会利用公司或知名员工的身份来进行欺骗传播恶意软件。报告显示，攻击者使用公司名称 (68%)、目标员工名称 (66%) 和经理级别名称 (53%) 来诱骗高管执行黑客的预期活动。

该报告数据统计基于对美国 270 名参与对抗 BEC 攻击和相关电子邮件威胁的 IT 和网络安全专业人员的调查回应。

BEC 攻击继续上升

APWG（反网络钓鱼工作组）的类似研究揭示了企业如何因 BEC 攻击而失去财富，电子邮件攻击已成为威胁参与者的一项高薪业务。APWG在其“网络钓鱼活动趋势报告”中表示，由于网络犯罪分子期望获得高回报，BEC 攻击造成的平均电汇损失从 2020 年第一季度的 54,000 美元飙升至 2020 年第二季度的 80,183 美元。

* 原文出自：cisomag.  御盾安全编译转载