作者：James Hickey，销售工程总监

这并不奇怪，但企业邮箱是网络犯罪分子使用的第一大攻击媒介。你知道为什么吗？因为它有效。毫无戒心的用户每天都会被诱骗点击收件箱中的恶意企业邮箱。

作为 Google 客户，您可以从他们的安全措施中受益，例如 Google 企业邮箱安全控制，它充当安全企业邮箱网关 (SEG) 来阻止威胁。谷歌声称“Gmail 的尖端人工智能防御系统可以阻止超过 99.9% 的垃圾邮件、网络钓鱼尝试和恶意软件。”但是，与在外围独立使用的所有技术解决方案一样，它在阻止新的和不断演变的威胁方面并不完美，并且仍然会让威胁溜进用户的收件箱。

我们怎么知道？

因为我们的网络钓鱼防御中心 (PDC) 每天都会在客户环境中检测到数千个绕过 SEG 技术的威胁​​，其中许多是 Gmail 客户。幸运的是，Gmail 客户可以访问一键式威胁报告，而我们的 PDC 团队可以提供交钥匙托管服务，以便在企业邮箱威胁成为问题之前对其进行分析和修复。

那么，什么类型的威胁能够成功通过呢？最重要的是，你可以采取什么措施来解决这个问题？

尽管谷歌使用了自己的人工智能，但 Gmail 企业邮箱安全控制仍无法过滤当今大多数新的高级威胁

网络犯罪分子不断改进他们的策略，以领先于安全措施。随着威胁不断演变，谷歌很难掌控新型网络攻击。换句话说，如果没有接受过培训并了解最新使用的策略，即使人工智能模型也无法检测到某些威胁。恶意行为者知道这一点并利用它。

根据 Cofense Intelligence 的数据，企业邮箱中恶意二维码的使用呈上升趋势，平均每月增长 270%。这些企业邮箱攻击会通过所有类型的 SEG，因为这些网关无法扫描图像中是否存在嵌入的恶意链接。让我们看一下在 Gmail 环境中发现的真实的、经过编辑的示例。

在这种情况下，威胁行为者会向用户发送 Docusign 文档，他们可以通过 QR 码访问该文档。如果用户用手机扫描它，他们会立即从安全的公司桌面环境重定向到不安全的个人设备，在这种情况下，坏人可以让他们做几乎任何事情。

社会工程攻击

不良行为者还使用社会工程策略以及短信钓鱼（短信网络钓鱼）和语音钓鱼（语音邮件网络钓鱼）等威胁来瞄准员工。这两种威胁都很容易绕过 Gmail 企业邮箱安全控制，因为它们通常不符合 AI 模型的训练方式，从而使您的企业面临代价高昂的违规风险。

让我们举一个此类攻击的优秀（书面）示例，我们在 Gmail 环境中再次发现了该示例：

另请注意下面这张所谓的发票附带的企业邮箱。

在此示例中，来自一家美国公司的用户从 Geek Squad 收到一张 780 美元的发票。 Geek Squad 是一个经常被滥用的品牌，在这种情况下，请注意没有可供点击的链接或附件。底部只有一个用户可以拨打的电话号码。作为此次攻击的受害者，用户可能担心被错误地计费并拨打该号码进行验证，在这种情况下，他们发现自己处于公司的安全控制范围之外，并且正在与有动机的威胁行为者通电话。 85% 的语音钓鱼攻击都是从用户收到此类带有动机（恐惧、紧迫感等）的企业邮箱开始的，目的是让用户拨打号码。

复杂的多步骤凭据网络钓鱼攻击

SEG（包括 Google 的企业邮箱安全控制）无法处理复杂的多阶段网络钓鱼攻击。让我们看一下最近在 Gmail 环境中编写的示例，以了解原因。

在此示例中，已受损的内部邮箱用于发送恶意 Google 文档链接。恶意文档是从受感染的邮箱内部发送的，因此 Google 的企业邮箱安全控制无论如何都无法检测到它。然而，即使它已经突破了边界，我们还是要看看 Gmail 的企业邮箱安全控制措施阻止这种威胁的可能性。

首先，上述共享请求以图像形式发送以逃避检测。这样，恶意行为者就可以避免该技术执行的任何类型的文本分析。在 Google Workspace 环境中，您可能希望收到一位同事发来的 Google 文档，因此点击“打开”将是一种常见的体验。但是，在这种情况下，此链接会将您带到 smore.com 上的链接，这是一个用于托管文档的流行新闻通讯创建网站：

用户会收到专门根据其需求定制的注释，要求他们查看该文档。显然，该威胁行为者已使用受损的凭据在此环境中进行了侦察，并知道“Marlene”可能是向该用户发送文档的人。 （威胁行为者使用的真实公司名称和徽标已被审查。）

如果您单击“查看文档”按钮，您将被重定向到 307b.educdn.net 地址，然后该地址会自动重定向到 docsend.com 地址，如下所示：

在分析时，威胁行为者已经删除了威胁链的最后一个元素（通常情况下，攻击的“生命周期”非常短），但它可能是恶意内容，例如假冒内容登录页面或可能感染或危害用户设备的恶意软件。最有可能的是某种形式要求用户提供凭据或标识符，因此这些也可能会受到损害。

这些复杂的一系列重定向在高级凭证网络钓鱼攻击中很常见，很明显，任何 SEG，无论是否由人工智能驱动，在这些情况下都没有机会检测到威胁，因为它深埋在许多链接后面。

这是一个不幸的现实，但仅依靠 Google 的企业邮箱安全控制无法提供足够的企业邮箱安全保护。

那么你应该做什么呢？

为了应对当今的网络威胁，您需要采用多层安全方法。通过额外的安全措施（包括安全意识培训以及威胁检测和响应）提高您的 Gmail 企业邮箱安全性，可以帮助您检测更高级的威胁并降低违规风险。

安全意识培训（SAT）

员工需要了解存在的不同类型的安全威胁，不仅要学习如何识别它们，还要学习如何报告它们。 Cofense PhishMe 是业界第一个 SAT 平台，为全球数百万用户提供屡获殊荣的培训，包括真实的企业邮箱威胁模拟、世界一流的培训模块以及一键式威胁报告功能。我们的 Gmail“投递”功能使 Cofense PhishMe 运营商能够确保将场景企业邮箱直接发送到场景收件人的 Gmail 收件箱。

此功能可防止您组织的网关过滤器和“白名单”无意中将 PhishMe 场景企业邮箱视为垃圾邮件，并通过 Google API 将场景企业邮箱直接发送到收件人的 Gmail 收件箱。

威胁报告和检测

除了培训之外，您还需要额外的威胁检测层，以降低企业邮箱安全攻击成功的风险。 Cofense 的报告按钮允许用户单击一下即可报告威胁，可在 Gmail 环境中使用，并且作为 Google 插件（而不仅仅是 Chrome 扩展）提供“与浏览器无关”，因此用户可以在以下情况下报告可疑企业邮箱：在他们最喜欢的浏览器中阅读他们的企业邮箱。

一旦报告，Cofense Triage 可以收集数千个用户报告的网络钓鱼威胁，对它们进行一一分析，然后自动将它们从世界各地的网络中删除。所有这些威胁都被用作第一道防线的 SEG 忽略。当报告的威胁被分析并识别为恶意威胁时，IOC 就可以被识别出来，这种“经过人工验证”的情报会在组织之间共享，并允许他们在必要时采取额外的防御措施。

因此，虽然 Google 企业邮箱安全在安全控制的层次结构中占有一席之地，但仅靠它自己还不够。

只有 Cofense 看到了所有 SEG 所错过的东西。

我们阻止这些威胁并确保我们全球客户的安全。要了解有关 Cofense 世界一流的 SAT 和 PDR 解决方案的更多信息，请访问 www.cofense.com，以便我们回答您的所有问题。