近年全球遭受BEC诈骗的事件仍不断传出,最近资安业者更是发现新趋势,有骇客组织将目标锁定常有大量资金转移的私募基金。近日Check Point揭露一起实际案例,是英国私募基金遭骗110万英镑(约3,900万元)。
在这起事件中,实际损失为53万英镑,该犯罪组织在去年底将资金分成4笔交易转出,所幸,银行拦阻了其他汇出金流,因此有一半资金被追回,其余则有待执法机构跨国追查。
由于这起BEC诈骗案之前,Check Point曾公布另一起发生在2019年初的事件,是关于中国创业投资公司对以色列新创公司的投资资金,遭到攻击者诈骗转账100万美元。因此他们提醒,不只是一般企业会受害,私募基金与创业投资(Venture Capital)现也成为BEC诈骗攻击的锁定目标。
究其主要原因,这类公司每周都会有大量资金的转移,包括新合作伙伴与第三方提供商的金流,使之成为攻击者觊觎的对象。
这次事件的遇害对象,是英国与以色列的三家大型金融公司,他们的联名账户,遭到诈骗转账,Check Point是在2019年12月16日,接受他们委托,并在近日公布其调查发现,特别的是,他们指出是The Florentine Banker所为,并具体剖析了网络诈骗集团的攻击流程,让外界对于这类精心设计的攻击行为,以及骗局,能有更深入的了解。
从网钓邮件开始攻势,透过五大步骤将资金骗入骇客账户
攻击者是如何发动这场BEC诈骗?该公司IR小组分析师Matan Ben David亲自揭露细节,首先,The Florentine Banker是透过网络钓鱼开始发动攻势。
他指出,第一批钓鱼邮件仅针对两名人员,但其中就有一人被骗走了登入账密。他并举例,由于受害公司使用的是Office 365的电子邮件,因此,在2019年10月9日的骇客的网钓邮件内容,是伪装成Office 365错误讯息的通知。
同时,他也补充说明,这样的网络钓鱼攻击将持续数周且交替进行,并会加入新的目标对象,直到获得公司的整个财务状况。
有三家大型金融公司的联名账户遭BEC诈骗,根据Check Point调查,指出钓鱼邮件是渗透企业网络的首要媒介,这起案例就是伪装成目标公司使用的Office 365系统通知信。(图片来源:Check Point)
那么攻击者是如何不被发现呢?在初步的网钓攻击成功之后,Check Point将The Florentine Banker的攻击拆解为五大阶段,包括观察、控制与隔离、相似的设定,以及要钱与转账。
根据Matan Ben David的说明,在观察阶段,攻击者在窃取公司员工电子邮件帐密后,会先阅读该公司的电子邮件,以掌握一些关键资讯,包括公司汇款的各个渠道,公司内部的重要角色,以及公司外部如客户、律师、会计师与银行等第三方关系。这样的过程,他们可能会耐心用上数周或数月来观察,以描绘出公司的业务计划和流程。
接下来,攻击者会为之后的攻击做准备,包括对该公司人员的邮件进行控制与隔离,以及注册与往来公司相似的网域名称。
Matan Ben David指出,攻击者会透过建立邮件规则的方式,让受害者与其他人的信件隔离。例如,收到含有发票(invoice)、退回(returned)、失败(fail)文字内容的信件时,自动转移到其他邮件资料夹中,像是原是接收RSS Feeds的邮件资料夹。
此外,攻击者会注册相似的网域名称并发送电子邮件,以伪装成该公司或合作业者的来信。举例来说,假设该公司网域是finance-firm.com,与对方公司banking-service.com有电子邮件联系的关系,攻击者可以注册finance-firms.com与banking-services.com,网域名称当中多了一个s,由于网域仅有些微差距,收件者容易忽略,误以为仍是对方来信或回信。
换言之,在上述两个准备步骤之下,就是攻击者可以冒充身份操弄的关键。因为这时,由于攻击者已对目标公司接收信件有控制权,并可伪装看似合法且受信任的电子邮件,可以发新的邮件,也可以继续原有的信件对话。Matan Ben David认为,这在实质上已经构成了一种中间人攻击,而且不用利用真正的公司电子邮件账户去发送。
攻击者为了要无声无息的介入双方的沟通,Check Point指出,从发动网钓邮件让用户上钩,到阅读受害者电子邮件以描绘出公司的业务计划和流程,更重要的关键就是,骇客窜改了受害者的电子邮件收信规则,做到邮件联系上的控制与隔离,同时,利用注册相似的电子邮件信箱来冒充一方身份。(图片来源:Check Point)
后续,攻击者在要钱阶段会透过两种手法,包括拦截合法电汇交易,以及产生新的电汇交易。
在这次案例中,由于攻击者已从邮件内容得知一桩汇款计划,因此,攻击者从伪装的电子邮件发送讯息,假冒另一方并建议使用英国的银行账户来加快交易过程,尽管接收者回信表示他们在英国没有账户,此时,攻击者就趁此机会,提供对方一个备用的英国银行账户。
同时,由于攻击者先前已了解该公司的转账程序与细节,掌握了最重要的公司关键负责人,以及实际交易的银行,因此攻击者检视了双方往来的电子邮件,并利用从中获取的资讯,与转账银行的联络人联系,通知有新的汇款交易。
到了最后的转账阶段,攻击者将会持续介入操弄这些邮件对话,直到第三方批准新的银行资讯并确认交易。
由于BEC诈骗持续多年,就连美国FBI也不断发出警告,企业对于这类诈骗的攻击步骤也必须有所认识。包括钓鱼邮件是渗透企业网络的第一大媒介,相关防护解决方案与员工教育训练,以及处理电汇时的二次验证,仍将是重要注意事项。
在调查过程中,该公司IR小组发现攻击者共使用了7个不同的相似网域名称,他们并发现该集团锁定全球不同国家,行业别也不尽相同。例如,他们从相关WHOIS资讯,找到近两年该组织注册的39个相似网域名称,等于是其他被攻击者锁定的目标公司,而这些公司遍布不同国家,美国占半数,其他还包含加拿大、意大利、丹麦、土耳其、南非、印度与德国。
另外,这个集团的背景,他们也有相关描述,例如,仅针对英语,执行时间在上班的周一到周五,诈欺银行诈户位于中国香港与英国。(图片来源:Check Point)
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09