在新冠疫情期间远程工作带来的诸多问题中，企业邮件诈骗（BEC）案件有所增加。BEC软件提供商Walrus Security创始人、纽约大学计算机科学教授Michael Walfish表示，由于人们不再在办公室工作，他们对声称来自公司财务官员指示他们进行紧急付款的电子邮件放松了警惕。

在周一的Task Force 7 Radio节目中，Walfish表示，当人们在办公室时，他们"对某种模式变得警惕。例如，如果财务部门收到一封来自高管的电子邮件说’你能汇款到这个你从未汇款过的地方吗？我不在办公室，打我的手机确认’，那会很可疑。"

他告诉Task Force 7 Radio的主持人、Task Force 7 Technologies的总裁兼CEO George Rettas，现在"这成了实际模式"，更多的人落入这些骗局。

Walfish说：“因此，提醒人们汇款时注意异常情况的建议不再那么适用，因为我们正在经历异常情况。一旦合法的付款请求具有这种形式，就意味着对手有机会将他们虚假的欺诈性电子邮件伪装成那些预期的异常情况之一。”

他补充说，这种骗局之所以有效，“是因为攻击者…潜伏在电子邮件系统中监控来回通信，然后在关键时刻，他们用自己的付款指令替换合法收款人的付款指令。”

Walfish指出，人们曾因向冒充其托管或产权公司的窃贼支付房屋首付而损失毕生积蓄。

“产权经纪人实际上已经破产，因为他们将房地产收益赎给了欺诈者，而不是合法的卖方或向原始卖方提供贷款的银行，“他说。他补充说，FBI统计数据显示这个问题正在呈指数级增长，从2014年的2亿美元增加到2019年的126亿美元。

Rettas询问财富500强公司拥有的反网络钓鱼工具是否有效？

Walfish回答说，虽然部署了许多有效的对策，如双因素认证和试图标记明显虚假消息的反网络钓鱼软件，“问题在于攻击…围绕的不是你组织的网络安全，而是你对手方的网络安全。”

他说，如果收到的电子邮件看起来合法，人工智能无法检测到存在问题。不同的是，账户号码和银行路由号码已被更改，但"人们无法意识到这是假的。”

Walfish说，在这种情况下，最佳做法是打电话。但问题是，“如果你试图快速完成交易，你不会拿起电话。“因此，在某人进行付款之前，要"绝对确定你付款的对象是正确的。”

安全系统设计与可验证外包

Walfish和Rettas随后讨论了Walfish在可验证外包方面所做的工作，即一台计算机想要检查另一台计算机是否正确执行了某些操作。

Walfish解释说：“一个常见的例子是云计算，你编写某个程序，将其执行外包给云中的一组计算机，你得到一个答案，即你外包的程序的结果。然后你想确保该输出实际上与你编写的程序一致。”

这适用于其他应用，如区块链和"不受信任的硬件制造商”，他说。“但现在，只需想象某台计算机断言特定输出确实是你选择的某个输入上程序的输出，而你可能想检查该断言。”

他指出，做这件事的"天真方式"是自己重新执行输入。这允许某人查看你的计算机产生的输出是否与那些外包计算机返回的匹配。但Walfish说，这违背了最初询问其他计算机的目的，而且可能不可能，因为其他计算机可能使用其他你无法获得的输入。

他说，相反，更好的想法是拥有一个你的计算机可以有效检查的见证或证书。“那么你就不必担心远程计算机是否正确执行；见证或证书要么通过检查，要么不通过。这就是高层的可验证外包。”

Rettas询问这些见证或证书是否与概率证明相关？

“是的，绝对相关，“Walfish回答。“这些见证或证书就是概率证明。当然，这引出了一个问题，什么是概率证明？它是理论计算机科学中的一种数学对象。“他补充说，这始于1980年代。

他说，虽然它们"在你第一次听说时听起来不可能，但它们非常非凡。“进行检查的计算机，有时称为验证者，实际上可以通过仅检查证书中的少数位置来获得对该证书的保证，甚至不需要检查整个内容。

他说，随机检查至关重要。“如果不受信任的一方，即负有产生证明责任的一方，不知道你将要查看证明中的哪个位置，那么它就无法安排答案来欺骗你的问题。”

在回答Rettas关于该技术实际应用示例的问题时，Walfish表示，到目前为止，它们应用于区块链，特别是加密货币，最著名的是Zcash。

“还有其他一些初创公司正在整合这项技术，通常都与区块链或加密货币相关，“他说。

Walfish补充说，概率证明技术已经变得"便宜得多”。然而，除了加密货币，他说这仍然是一个非常研究性的领域，该技术尚未商业化。“尽管我们正在努力改变这一点。”

Rettas询问Walfish他对概率证明的未来有什么应用设想？

“我很想看到它在不受信任的硬件环境中使用，“以及用于私有分类器。“如果你是一个神经网络用户，有人只是把它交给你，你可能希望某种保证，即该神经网络…真正对应于训练数据，“他说。“可能存在这样的情况，向你提供神经网络的实体没有最大动机给你一个经过准确训练的东西。”

这将提供一些保证，表明训练是以高完整性的方式完成的。

支付欺诈与区块链

讨论随后转向公司如何谨慎防范支付欺诈，以及如果成为受害者如何减轻损失。

“你需要优秀的过程，没有例外，并仔细记录，“Walfish说。“令人惊讶的是，这种情况经常不存在。“他指出，训练人类无错误也"非常困难”。

在回答Rettas关于他对区块链看法的问题时，Walfish表示他认为该技术被过度炒作。

“我听到人们认为区块链将结束核战争威胁，它将做这个，它将做那个。它不会做任何那些事情，“他说。“但区块链实际上为我们提供了一些相当酷和新颖的东西，即以联邦方式，因此我们不必信任单个实体，它提供了所发生事件的不可变记录。这绝对是一个有用的结构。”

Rettas请Walfish讨论他在网络安全中看到的最令人鼓舞的事情？

Walfish回答说，他对移动设备中嵌入的安全水平感到鼓舞，包括双因素认证。此外，他说很高兴看到公众对虚假电子邮件的认识更普遍。

另一方面，他说他担心随着防御变得更强，“攻击者正在适应。攻击的复杂性正在增加。我们正在看到像SIM端口攻击和SIM交换攻击这样的事情，对手通过这些方式获得对电话号码的控制。”

Walfish说，这就是电话呼叫可能被破坏的方式。虽然拥有双因素认证很重要，“但我们看到对双因素认证的攻击相当复杂。”

他说，更大规模上让他担心的是对关键基础设施（如发电厂或水处理厂——甚至投票系统）发动攻击的可能性。

在回答Rettas关于密码管理器安全性的问题时，Walfish表示它们是安全的——如果正确使用。

‘Task Force 7 Radio’回顾是Cyber Security Hub的每周专题。

要收听此集和过去剧集，请点击此处。