BEC诈骗集团已将目标锁定私募基金与创投，三家大型金融公司联名账户遭骗近4千万元

近年全球遭受BEC诈骗的事件仍不断传出，最近资安业者更是发现新趋势，有骇客组织将目标锁定常有大量资金转移的私募基金。近日Check Point揭露一起实际案例，是英国私募基金遭骗110万英镑（约3,900万元）。

在这起事件中，实际损失为53万英镑，该犯罪组织在去年底将资金分成4笔交易转出，所幸，银行拦阻了其他汇出金流，因此有一半资金被追回，其余则有待执法机构跨国追查。

由于这起BEC诈骗案之前，Check Point曾公布另一起发生在2019年初的事件，是关于中国创业投资公司对以色列新创公司的投资资金，遭到攻击者诈骗转账100万美元。因此他们提醒，不只是一般企业会受害，私募基金与创业投资（Venture Capital）现也成为BEC诈骗攻击的锁定目标。

究其主要原因，这类公司每周都会有大量资金的转移，包括新合作伙伴与第三方提供商的金流，使之成为攻击者觊觎的对象。

这次事件的遇害对象，是英国与以色列的三家大型金融公司，他们的联名账户，遭到诈骗转账，Check Point是在2019年12月16日，接受他们委托，并在近日公布其调查发现，特别的是，他们指出是The Florentine Banker所为，并具体剖析了网络诈骗集团的攻击流程，让外界对于这类精心设计的攻击行为，以及骗局，能有更深入的了解。

从网钓邮件开始攻势，透过五大步骤将资金骗入骇客账户

攻击者是如何发动这场BEC诈骗？该公司IR小组分析师Matan Ben David亲自揭露细节，首先，The Florentine Banker是透过网络钓鱼开始发动攻势。

他指出，第一批钓鱼邮件仅针对两名人员，但其中就有一人被骗走了登入账密。他并举例，由于受害公司使用的是Office 365的电子邮件，因此，在2019年10月9日的骇客的网钓邮件内容，是伪装成Office 365错误讯息的通知。

同时，他也补充说明，这样的网络钓鱼攻击将持续数周且交替进行，并会加入新的目标对象，直到获得公司的整个财务状况。

有三家大型金融公司的联名账户遭BEC诈骗，根据Check Point调查，指出钓鱼邮件是渗透企业网络的首要媒介，这起案例就是伪装成目标公司使用的Office 365系统通知信。（图片来源：Check Point）

那么攻击者是如何不被发现呢？在初步的网钓攻击成功之后，Check Point将The Florentine Banker的攻击拆解为五大阶段，包括观察、控制与隔离、相似的设定，以及要钱与转账。

根据Matan Ben David的说明，在观察阶段，攻击者在窃取公司员工电子邮件帐密后，会先阅读该公司的电子邮件，以掌握一些关键资讯，包括公司汇款的各个渠道，公司内部的重要角色，以及公司外部如客户、律师、会计师与银行等第三方关系。这样的过程，他们可能会耐心用上数周或数月来观察，以描绘出公司的业务计划和流程。

接下来，攻击者会为之后的攻击做准备，包括对该公司人员的邮件进行控制与隔离，以及注册与往来公司相似的网域名称。

Matan Ben David指出，攻击者会透过建立邮件规则的方式，让受害者与其他人的信件隔离。例如，收到含有发票（invoice）、退回（returned）、失败（fail）文字内容的信件时，自动转移到其他邮件资料夹中，像是原是接收RSS Feeds的邮件资料夹。

此外，攻击者会注册相似的网域名称并发送电子邮件，以伪装成该公司或合作业者的来信。举例来说，假设该公司网域是finance-firm.com，与对方公司banking-service.com有电子邮件联系的关系，攻击者可以注册finance-firms.com与banking-services.com，网域名称当中多了一个s，由于网域仅有些微差距，收件者容易忽略，误以为仍是对方来信或回信。

换言之，在上述两个准备步骤之下，就是攻击者可以冒充身份操弄的关键。因为这时，由于攻击者已对目标公司接收信件有控制权，并可伪装看似合法且受信任的电子邮件，可以发新的邮件，也可以继续原有的信件对话。Matan Ben David认为，这在实质上已经构成了一种中间人攻击，而且不用利用真正的公司电子邮件账户去发送。

攻击者为了要无声无息的介入双方的沟通，Check Point指出，从发动网钓邮件让用户上钩，到阅读受害者电子邮件以描绘出公司的业务计划和流程，更重要的关键就是，骇客窜改了受害者的电子邮件收信规则，做到邮件联系上的控制与隔离，同时，利用注册相似的电子邮件信箱来冒充一方身份。（图片来源：Check Point）

后续，攻击者在要钱阶段会透过两种手法，包括拦截合法电汇交易，以及产生新的电汇交易。

在这次案例中，由于攻击者已从邮件内容得知一桩汇款计划，因此，攻击者从伪装的电子邮件发送讯息，假冒另一方并建议使用英国的银行账户来加快交易过程，尽管接收者回信表示他们在英国没有账户，此时，攻击者就趁此机会，提供对方一个备用的英国银行账户。

同时，由于攻击者先前已了解该公司的转账程序与细节，掌握了最重要的公司关键负责人，以及实际交易的银行，因此攻击者检视了双方往来的电子邮件，并利用从中获取的资讯，与转账银行的联络人联系，通知有新的汇款交易。

到了最后的转账阶段，攻击者将会持续介入操弄这些邮件对话，直到第三方批准新的银行资讯并确认交易。

由于BEC诈骗持续多年，就连美国FBI也不断发出警告，企业对于这类诈骗的攻击步骤也必须有所认识。包括钓鱼邮件是渗透企业网络的第一大媒介，相关防护解决方案与员工教育训练，以及处理电汇时的二次验证，都将是重要注意事项。

在调查过程中，该公司IR小组发现攻击者共使用了7个不同的相似网域名称，他们并发现该集团锁定全球不同国家，行业别也不尽相同。例如，他们从相关WHOIS资讯，找到近两年该组织注册的39个相似网域名称，等于是其他被攻击者锁定的目标公司，而这些公司遍布不同国家，美国占半数，其他还包含加拿大、意大利、丹麦、土耳其、南非、印度与德国。

另外，这个集团的背景，他们也有相关描述，例如，仅针对英语，执行时间在上班的周一到周五，诈欺银行诈户位于中国香港与英国。（图片来源：Check Point）