损失1000万美元,全球最大的主权财富基金遭BEC诈骗,企业多层安全机制如何建立?

本文主要是介绍损失1000万美元,全球最大的主权财富基金遭BEC诈骗,企业多层安全机制如何建立?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

挪威基金是由挪威议会于1997年成立的一家私募股权公司,是世界上最大的主权财富基金,由挪威外交部拥有。

在5月13日的一份声明中,挪威主权基金Norfund(也被称为挪威国家基金 Norwegian Investment Fund)承认:因“高级数据泄露”Norfund遭受严重网络欺诈,损失了超过1000万美元。

 

据报道,挪威主权基金Norfund的资金来源于著名的北海油田收益,目前市值超过1万亿美元。受黑客操纵,该组织的将一笔原本打算借给柬埔寨一家小额信贷机构的贷款,转入受骗子控制的一个账户,结果导致该基金在3月份被骗1亿克朗(约为1000万美元)。这笔钱似乎已经从柬埔寨转移到了墨西哥,由于损失巨大,国际警方已经介入调查此事。

 

时至今日,可以肯定的是,诈骗者在主权财富基金的网络中潜伏了数月,以一种在结构、内容和语言使用上都很巧妙的方式,操纵和伪造Norfund和借款机构之间的信息交换。所用的文件和付款明细都是伪造的。

 

尽管攻击是如何实施的细节尚不清楚,但这起事件中,网络犯罪分子能够‘操纵Norfund与目标接收方之间的通信’,表明BEC或网络钓鱼是其可能的切入点。(PS:Business Email Compromise, or BEC scam,简称,商务邮件泄露或BEC诈骗。

 

 

在这里,骗子能用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户,也说明整个交易过程对票据的把关不到位。

 

据称该BEC骗局于3月16日展开,但直到4月30日才被发现,当时犯罪分子在试图使用相同方法从主权财富基金中提取更多现金。

 

Norfund的首席执行官Tellef Thorleifsson对此表示:“这是一起严重的事件。我们作为一个国际投资者和发展组织,在利用数字渠道时很容易受到攻击。这一欺诈行为清楚地表明,我们的系统和管理还不够好。我们必须立即采取严肃的行动来纠正这种情况。”

 

Tellef Thorleifsson承诺,将迅速与国际警方采取行动,将骗子绳之以法,并防止该组织再次被骗。Norfund聘请了普华永道对其IT安全设置进行评估,还与挪威外交部及旗下的银行DNB展开合作,努力追踪这个骗子并取回赃款。

 

BEC诈骗是一种狡猾的网络犯罪,它可以攻击各种组织。

 

挪威主权基金Norfund没有明确表示他们遭受的攻击是商务邮件泄露或BEC诈骗( Business Email Compromise, or BEC scam),但该事件仍具有这类网络诈骗的所有主要特征。包括劫持某一特定组织高层领导的电子邮件凭证(通常使用网络钓鱼的方法),随后以虚假理由欺骗较低级别的员工以转移现金。

 

其实这个骗局很简单,但却非常有效。骗子会先欺骗公司里的某个关键人物,然后欺骗公司里的其他人把钱转到一个新账户里,因为这些付款在计划中是合法和得到授权的,所以受害者通常要到最后才反应过来。

 

这说明了数字通信和交易的存在很大风险,特别是在攻击者可以立即获得金钱收益的情况下。

 

随着组织变得越来越数字化,黑客获得内部访问权的风险也越来越大,企业有必要建立多层安全机制。

 

其中,人为因素构成了至关重要的一层。未来,拥有受过良好训练的员工可能是组织保持安全的关键。为所有员工提供安全意识和培训非常重要,这样他们才能识别任何可疑的网络钓鱼电子邮件,尤其是BEC诈骗电子邮件。

 

另外,企业还应该通过技术手段对邮件数据加密,利用防控技术策略性的保护邮件数据不外泄。通过部署邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。

 

*本文出自SCA安全通信联盟,转载请注明出处。

这篇关于损失1000万美元,全球最大的主权财富基金遭BEC诈骗,企业多层安全机制如何建立?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/736440

相关文章

java中反射(Reflection)机制举例详解

《java中反射(Reflection)机制举例详解》Java中的反射机制是指Java程序在运行期间可以获取到一个对象的全部信息,:本文主要介绍java中反射(Reflection)机制的相关资料... 目录一、什么是反射?二、反射的用途三、获取Class对象四、Class类型的对象使用场景1五、Class

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

Nginx之upstream被动式重试机制的实现

《Nginx之upstream被动式重试机制的实现》本文主要介绍了Nginx之upstream被动式重试机制的实现,可以通过proxy_next_upstream来自定义配置,具有一定的参考价值,感兴... 目录默认错误选择定义错误指令配置proxy_next_upstreamproxy_next_upst

Spring排序机制之接口与注解的使用方法

《Spring排序机制之接口与注解的使用方法》本文介绍了Spring中多种排序机制,包括Ordered接口、PriorityOrdered接口、@Order注解和@Priority注解,提供了详细示例... 目录一、Spring 排序的需求场景二、Spring 中的排序机制1、Ordered 接口2、Pri

MySQL 缓存机制与架构解析(最新推荐)

《MySQL缓存机制与架构解析(最新推荐)》本文详细介绍了MySQL的缓存机制和整体架构,包括一级缓存(InnoDBBufferPool)和二级缓存(QueryCache),文章还探讨了SQL... 目录一、mysql缓存机制概述二、MySQL整体架构三、SQL查询执行全流程四、MySQL 8.0为何移除查

一文详解Java Condition的await和signal等待通知机制

《一文详解JavaCondition的await和signal等待通知机制》这篇文章主要为大家详细介绍了JavaCondition的await和signal等待通知机制的相关知识,文中的示例代码讲... 目录1. Condition的核心方法2. 使用场景与优势3. 使用流程与规范基本模板生产者-消费者示例

浅析Rust多线程中如何安全的使用变量

《浅析Rust多线程中如何安全的使用变量》这篇文章主要为大家详细介绍了Rust如何在线程的闭包中安全的使用变量,包括共享变量和修改变量,文中的示例代码讲解详细,有需要的小伙伴可以参考下... 目录1. 向线程传递变量2. 多线程共享变量引用3. 多线程中修改变量4. 总结在Rust语言中,一个既引人入胜又可

一文带你理解Python中import机制与importlib的妙用

《一文带你理解Python中import机制与importlib的妙用》在Python编程的世界里,import语句是开发者最常用的工具之一,它就像一把钥匙,打开了通往各种功能和库的大门,下面就跟随小... 目录一、python import机制概述1.1 import语句的基本用法1.2 模块缓存机制1.

Redis主从/哨兵机制原理分析

《Redis主从/哨兵机制原理分析》本文介绍了Redis的主从复制和哨兵机制,主从复制实现了数据的热备份和负载均衡,而哨兵机制可以监控Redis集群,实现自动故障转移,哨兵机制通过监控、下线、选举和故... 目录一、主从复制1.1 什么是主从复制1.2 主从复制的作用1.3 主从复制原理1.3.1 全量复制

Redis缓存问题与缓存更新机制详解

《Redis缓存问题与缓存更新机制详解》本文主要介绍了缓存问题及其解决方案,包括缓存穿透、缓存击穿、缓存雪崩等问题的成因以及相应的预防和解决方法,同时,还详细探讨了缓存更新机制,包括不同情况下的缓存更... 目录一、缓存问题1.1 缓存穿透1.1.1 问题来源1.1.2 解决方案1.2 缓存击穿1.2.1