12个最昂贵的网络钓鱼攻击示例

网络钓鱼是对您的企业最恶毒和最危险的威胁之一 – 无论您是大型企业，小型企业还是中间企业。最成功的网络钓鱼攻击示例通常涉及不同社交工程策略的组合，可能涉及模仿CEOS或公司高管，政府组织，慈善机构，供应商和业务合作伙伴。

在某种程度上，每个人都容易受到网络钓鱼诈骗的影响，因为他们会掠夺个人的个人判断，不安全感或（在某些情况下）无能。

无论您是c级管理人员，名人还是小型企业员工，这些攻击都旨在使用各种欺骗性策略来试图影响，操纵或彻底欺骗您执行特定任务。目标可能是获得对重要系统的访问权限，或者让您通过欺诈性帐户进行大量电汇。

涉及网络钓鱼和电子邮件欺骗的企业电子邮件泄密计划属于全球公司最成本最高的错误之一。多贵？我们想知道同样的事情。这就是我们花时间确定前12个网络钓鱼攻击示例的原因。

迄今为止12个最昂贵的网络钓鱼攻击示例

1亿美元 – Facebook和谷歌

7500万美元 – Crelan Bank

6100万美元 – FACC

5000万美元 – Upsher-Smith实验室

4700万美元 – Ubiquiti Networks

4400万美元 – Leoni AG

3100万美元 – Xoom公司

2100万美元 – Pathé

1800万美元 – Tecnimont SpA

1700万美元 – Scoular公司

1180万美元 – MacEwan大学

300万美元 – 美泰

打破12大最昂贵的网络钓鱼攻击案例

Facebook和谷歌

通过精心制作的假发票骗局，Facebook和谷歌在2013年至2015年间被骗了超过1亿美元。是的，由于最终归结为一个可以避免的错误，这是一笔疯狂的金钱损失。立陶宛黑客通过向每家公司发送一系列虚假发票，同时冒充他们用作供应商的大型亚洲制造商来完成这一壮举。

克里兰银行

据报道，在内部审计中发现的首席执行官欺诈案中，比利时的克兰银行损失了7580 万美元（约合7,000万欧元）。攻击者的身份仍然未知，但银行已实施新的安全措施，以防止再次发生攻击。

3. FACC

奥地利航空零部件制造商FACC在CEO欺诈骗局中损失了6100万美元（约合5400万欧元）。一名黑客担任首席执行官并向一名入门级会计员工发送网络钓鱼邮件，该员工将资金转入虚假项目的账户。这种情况强调了为员工提供全面和定期的网络安全意识培训的重要性。这个案例在另一个方面具有里程碑意义 – 该公司起诉他们的前首席执行官和首席财务官，因为他们做得不够，无法保护公司免受数百万人的损失。在正在进行的案件中，该公司声称两位领导人“未能建立适当的内部控制并履行合作和监督的义务”。

Upsher-Smith实验室

Upsher-Smith Laboratories是一家美国制药公司，在2014年的三周内被诈骗了超过5000万美元。网络钓鱼者冒充该公司的首席执行官，向该公司的应付账款协调员发送网络钓鱼电子邮件，指示他们制作9欺诈性的电汇。虽然他们能够召回一条线，将损失降至3900万美元（加上利息），但他们最初还是转移了超过5000万美元，这就是为什么他们在我们的名单上排名第四。

5. Ubiquiti Networks

美国计算机网络公司Ubiquiti Networks面临着一个不同寻常的情况：该公司并未意识到它通过首席执行官欺诈电子邮件获得了4670万美元 – 占公司现金头寸的近10％ – 并被联邦调查局通知了该活动，一直在关注公司香港子公司的银行账户。

6. Leoni AG

Leoni AG是一家领先的电线电缆制造商，当该公司罗马尼亚办事处的一名财务人员被一家声称来自该公司德国高级管理人员的网络钓鱼电子邮件作为攻击目标时，被骗了4000万欧元（约合4400万美元）。这种情况是另一个网络钓鱼攻击示例，它们证明了培训员工识别网络钓鱼电子邮件的重要性。

7. Xoom公司

Xoom公司是一家领先的电子资金转账提供商，它发现自己处于BEC骗局的十字路口，这使它们损失了近3100万美元。在2014年第四季度，该公司报告称，当涉及员工假冒和传达欺诈请求的通信针对公司财务部门时，“3080万美元的商业电子邮件泄露（”BEC“）欺诈损失” 。

8.Pathé

欧洲影院连锁店Pathé 被骗了超过2100万美元（约合1900万欧元），当时两名高级管理人员成为电子邮件骗局的目标。在将近一个月的时间里，黑客让他们在冒充公司首席执行官的同时转移了多笔款项。该公司最终以此事件终止了首席执行官。

9. Tecnimont SpA Tecnimont

SpA是一家意大利工程，建筑和采购公司，通过精心设计的BEC计划被骗了1860万美元。此网络钓鱼攻击示例涉及网络犯罪分子向该公司的印度高管发送电子邮件以及安排虚假电话会议以讨论在中国进行的机密收购。

10. Scoular公司

Scoular公司是一家商品交易公司，在精心设计的鱼叉式骗局骗局中被骗了1700多万美元。假装成公司首席执行官的网络钓鱼者向该公司的控制人发送电子邮件，指示他们在引用该公司的真实会计师事务所时汇款（尽管他们提供的联系信息是假的 – 电子邮件地址来自俄罗斯服务器和Skype电话号码是使用以色列的IP地址注册的。

11.麦克尤恩大学

麦肯文大学是加拿大的一所教育机构，2017年，当网络钓鱼者模仿埃德蒙顿建筑公司并发送虚假发票作为大规模骗局的一部分时，该公司被骗了近1,180万美元。网络犯罪分子甚至为该地区的12家以上建筑公司创建了多个网站，以便从真实企业的业务合作伙伴那里收集资金。MacEwan的好消息是，他们最终能够收回92％（1090万美元）的被盗资金。

12.美泰

销售芭比娃娃和其他儿童玩具的制造商美泰公司在2015年通过首席执行官欺诈行为被骗300万美元。然而，芭比一方的好运是因为网络钓鱼者在银行假日前一天进行了攻击。这让美泰公司的管理人员有时间让国际警察和联邦调查局参与其中，并最终在转移后的几天内收回被盗资金。与我们的网络钓鱼攻击示例列表中的其他公司不同，美泰对于本来可能是一个非常丑陋的网络安全故事感到高兴。

什么使BEC网络钓鱼诈骗如此成功

商业电子邮件泄密和网络钓鱼诈骗正在上升。

在互联网犯罪投诉中心（IC3）报告2016年12月和五月至2018年间“中确定的全球曝光损失增长了136％，”与BEC /电子邮件帐户妥协诈骗。 是什么让网络钓鱼骗局如此成功？它们不是以技术为重点。黑客瞄准的是人们，他们指望员工疯狂地回应看似来自他们的高管或供应商的紧急电子邮件。

“ 我需要你尽快将$ X转入X账户以避免重要交易掉线！” 这些攻击的行为是，他们所针对的员工不太可能质疑来自他们老板的老板（或老板老板的老板等）的电子邮件，或者在他们被告知的时候仔细检查和核实信息。趋之若鹜。它不是针对网络中的漏洞或安全防御; 这是针对你和你的同事作为犯错误的人。

从这些公司的网络钓鱼骗局经验中学到什么

这12个公司网络钓鱼攻击示例中有一个共同特征：收到邮件的许多员工只是在没有首先验证请求有效的情况下遵守了欺诈性电子邮件请求。在员工确实尝试验证他们是否应该执行任务的情况下，大多数人只是回应欺诈性电子邮件或使用电子邮件中提供的虚假联系信息呼叫攻击者。

需要通过其他官方渠道进行验证 如果在任何这些情况下的员工通过其他官方渠道或方法联系出来，例如使用公司电话簿中的已知电话号码直接给他们打电话，联系他们的助理，或者甚至只是走下大厅与他们交谈被指控的请求者面对面，他们可以避免因欺诈而损失数百万美元。不幸的是，网络钓鱼攻击的真实成本通常不会因窃取的资金而终止。其他成本包括因公司形象和声誉受损而导致的收入损失。

这个概念与我们的下一个建议密切相关，这将使得在进行任何财务转移之前必须遵循设定的流程。

实施新进程以增加网络防御

这些公司可以避免陷入网络钓鱼攻击的另一种方式是，如果他们有帐户验证和保护流程。这可能需要员工在进行超过设定金额的任何转账（例如10,000美元）之前，遵循设定的流程（例如执行帐户验证，需要其他人员进行二级和/或三级签名，并要求电话验证等）。当然，这对您的会计和财务部门来说可能看起来有点不方便，但是有点不方便肯定会给网络犯罪分子带来数百万美元的损失。

实施员工网络意识培训

除了制定适当的政策之外，为员工提供全面的网络安全意识培训可能会阻止许多这些网络钓鱼攻击示例的发生。这种形式的教育定期培训员工识别并适当地响应网络钓鱼电子邮件（在大多数情况下，这意味着不接受电子邮件本身，通知IT管理员，以及删除或隔离电子邮件）。它还有助于加强您组织的“人机防火墙”。 网络安全意识培训可以面对面或在线提供，并且应该定期进行网络钓鱼测试，以确定培训的成功或确定未来培训中需要关注的领域。

使用电子邮件签名证书

我们提到的最后一种保护方法可能会阻止任何（或所有）这些网络钓鱼攻击示例使用电子邮件签名证书。电子邮件签名证书使管理人员和其他员工能够以数字方式“签署”他们的电子邮件，以便他们的收件人可以轻松验证他们是谁。这些证书由行业信任的证书颁发机构（CA）颁发，对电子邮件进行数字签名。通过全面强制使用电子邮件签名证书，这意味着如果财务或会计部门的某人收到似乎来自CEO的电子邮件，他们可以轻松验证电子邮件发件人的身份。

另外一个好处是，这些证书还可用于使用非对称加密发送安全电子邮件。这使您可以将加密的电子邮件发送给具有匹配私钥的收件人，该收件人通过确保除了预期收件人之外的任何人都无法打开数据，从而保护数据处于静止状态并坐在收件人收件箱中时的完整性。由于许多电子邮件服务提供商在传输过程中使用SSL / TLS来保护电子邮件，这意味着您将能够享受传输中的数据和静态数据保护。

世界各地的公司都有新的企业电子邮件泄密和网络钓鱼攻击示例。这份清单显示的是，没有哪家公司能够过大而不能成为经过验证的网络钓鱼骗局的牺牲品。虽然保护您的设备和IT基础设施以消除漏洞非常重要，但通过培训和身份验证方法加强您的“人体防火墙”同样重要。