编者按
简单的商业电子邮件诈骗能够使公司损失巨额的财富,而实施诈骗的黑客甚至不用知道太多的社会工程技术。商业电子邮件妥协(BEC)攻击可以通过欺诈性的电汇和银行业务活动消使企业遭受重大损失,而这些攻击几乎不需要任何复杂的技术来完成。
Check Point公司的研究团队的一份新报告显示最近,一次针对石油和天然气行业的成功的BEC攻击活动是由一个人完成的。
Check Point公司的研究团队写到:“尤其引人注目的是,该名黑客的技术展现出了他的网络技能是比较低的。他的欺诈性电子邮件既粗糙又生疏; 几乎没有任何研究或社交工程牵涉其中”。“而且,他使用的恶意软件是陈旧的,这种恶意软件随时都可在网上获取并且他使用免费软件从公司网站上‘搜索’电子邮件地址,然后把这些地址作为他进行攻击活动的目标”。
换句话说, Check Point公司追查的持续时间数月之久的网络攻击,其背后不是一个网络犯罪团伙。没有复杂的黑市供应链或指令结构。这仅仅是一个利用NetWire木马和鹰眼键盘记录应用程序的一个20多岁的年轻人的所做的,并且这个家伙有胆量使用几个假的雅虎电子邮件账户来追逐全世界的4000个组织。追踪他的研究人员说,他在这个过程中设法侵入了几个大的组织。
并且这就是BEC攻击的问题,它可以根据他们锁定的目标从这个低水平到高级程度。据思科公司2017年年中网络安全报告,在过去的三年里BEC攻击已经成功地吸走了53亿美元。该过程很简单的:侵入那些处理大金额的电汇或与老板、客户或合伙人有关的人的账户。侵入这样的电子邮件,然后用它来向受害者发送虚假的电汇指令并引诱他们,让他们自愿把钱寄到罪犯的账户。
系统网络安全协会的网络风暴中心(ISC)的负责人约翰内斯.乌尔里希在最近的一次网络广播中谈到BEC攻击说到:“历史上,商业电子邮件诈骗也被称为CEO诈骗或首席财务官诈骗,诈骗犯模仿在公司中的一名高价值的人来从公司获取信息”。然而,他说目前,更大的用户群正成为更自动化的BEC攻击的目标,它能够在网络中产生更广的影响。
他指出房地产行业的发展,房地产行业,以成为无情地BEC攻击的目标,而在其食物链中上上下下,从房地产经纪人到托管代理人以及抵押贷款经纪人。由于环境的融合,房地产经纪人尤其是一个很好的目标。他们常常需要应对新客户和新前景,因此他们更愿意与陌生人交换信息。他们常常使用公共的网络邮箱系统,与服务提供商共享文件和电子签名系统,因此他们最容易受到网络钓鱼信息的欺骗。并且他们通常技术上不成熟,并且任何类型公司的IT部门都不给予他们支持。更重要的是,房地产经纪人通常是客户和托管代理人之间发送电汇信息的一名可靠中间人。
在乌尔里希引用的一个例子中,一名房地产经纪人收到了一名潜在的客户发给他的一封介绍性电子邮件。这名潜在的客户询问他开始寻找房子的时候需要什么。一旦该名房地产经纪人做出了回应,骗子就会发送一封包含有一个链接的一封邮件,而这个链接会让人们以为是一封链接到谷歌硬盘的银行预审信。然而点击这个链接,实际去的地方是一个假的登录屏幕,它是用来收集谷歌账户信息的。他说:“很有可能这些电子邮件的前几封是自动的,考虑到前几个邮件的交互多少是可以预测的,如果有一个人能够获取房地产经纪人的数据库的脚本,查看电子邮件地址,自动发送介绍性的电子邮件,发送到恶意PDF文件的一个链接,让房地产经纪人做出什么回应,我都不会感到惊讶”。
在这个例子中,房地产经纪人并没有被愚弄并将这封电子邮件转发给网络风暴中心。然而,如果他们已经获得了认证信息,下一步将会是开始阅读房地产经纪人的电子邮件并等待顾客询问账户信息,来把购买房产的钱电汇出来。在那个阶段,对BEC的攻击者来说,发送给客户的虚假的帐户细节,以便他们将把钱转移到骗子的账户中,而非他们转移到他们试图购买房产的人那里去,这些事情将是微不足道的。
更可怕的是,因为BEC常常并不使用任何一种黑客执行的复杂的攻击,它甚至可能不被网络保险所涵盖在内。就在这个月,新闻报道了最近对于一个工具模具制造商和旅行家保险公司之间的案件的判决。美国模具中心在一个BEC骗局中损失了800,000美元。由于该模具中心欠一名供应商一些合法的发票,而需要向这名供货商寄钱,而一名诈骗罪利用被盗用的电子邮箱账户,发送欺骗性的电汇信息给公司,从而从公司手中钓到了这边钱。法院与旅行家保险公司的意见一致在美国模具中心的计算机系统中没有发现“被渗透”或“被入侵”的迹象。因此根据商业保险杂志最近的一份报告,这次袭击无资格获得保险公司的理赔。
