安全研究人員發(fā)現，超過130個組織，包括Twilio、DoorDash和Signal，都有可能被黑客入侵，這是被安全研究人員稱為 "0ktapus"的長達數月的網絡釣魚活動一部分。

根據網絡安全機構Group-IB的一份報告，屬于近10000人的登錄憑證被攻擊者盜取，他們模仿了流行的單點登錄服務Okta。目標被發(fā)送短信，將他們轉到一個釣魚網站。正如Group-IB的報告所說，從受害者的角度來看，這個釣魚網站看起來很有說服力，因為它與他們習慣看到的認證頁面非常相似。受害者被要求提供他們的用戶名、密碼和一個雙因素認證代碼。這些信息隨后被發(fā)送給攻擊者。

眾所周知，最常見的網絡釣魚形式是普通的群發(fā)郵件，即有人發(fā)送一封冒充他人的電子郵件，試圖誘騙收件人執(zhí)行某種操作，通常是登錄網站或下載惡意軟件。攻擊通常依賴電子郵件進行，即偽造電子郵件標題（發(fā)件人字段），好讓郵件看起來像是由可信任的發(fā)件人發(fā)送的。

除了普通的群發(fā)網絡釣魚活動外，犯罪分子還通過商業(yè)電子郵件入侵（BEC）欺詐和首席執(zhí)行官郵件欺詐來攻擊財務和會計部門的關鍵人員。這些犯罪分子通過冒充財務人員和首席執(zhí)行官，企圖誘騙受害者將資金轉入到未經授權的賬戶。

攻擊者通常通過利用現有感染或通過魚叉式網絡釣魚攻擊，入侵公司高管或財務人員的電子郵件賬戶。攻擊者潛伏下來，對高管的郵件活動監(jiān)視一段時間，以摸透該公司內部的流程和程序。實際的攻擊采取虛假郵件的形式，虛假郵件看起來像是從中招高管的賬戶發(fā)送給常規(guī)收件人的郵件。郵件似乎很重要很緊迫，要求收件人立馬電匯到外部或陌生的銀行賬戶。這筆錢最終進入到攻擊者的銀行賬戶。

據反網絡釣魚工作組的《2020年第二季度網絡釣魚活動趨勢報告》顯示，“商業(yè)電子郵件入侵（BEC）攻擊導致的電匯損失平均額在增加：2020年第二季度企圖電匯的平均額為80183美元。”

居安思危，未雨綢繆。企業(yè)應該重新審視現有的安全態(tài)勢，在此基礎上增強或者重構反未知網絡釣魚和其他高級威脅的主動安全防御體系。除了從員工培訓端、日常防范端做好準備，選擇值得信賴的企業(yè)郵箱合作伙伴至關重要。

新網企業(yè)郵箱一直對企業(yè)的信息安全尤為關注，曾先后獲得業(yè)內相關權威組織或媒體頒發(fā)的“優(yōu)秀信息化服務商獎 ” 、“十大企業(yè)郵箱推薦品牌”、“電子郵件產業(yè)發(fā)展創(chuàng)新獎”等獎項，在對抗垃圾郵件上具有豐富的經驗和優(yōu)良的效果。

全球郵產品采用業(yè)界先進的防病毒引擎在線殺毒，實時更新病毒庫，病毒查殺率>99.5%、垃圾郵件過濾率>99.9%，為用戶識別和攔截偽造、欺詐的郵件，使之難以進入企業(yè)郵箱中，大大降低了用戶受到欺騙的風險。

新網企業(yè)郵箱，做您的郵件安全衛(wèi)士！點擊免費試用新網企業(yè)郵箱：http://feifannvren.com.cn/composite/zt/2018Y1012mail.html?utm_source=pc&utm_medium=sns