Florentine Banker 組織發(fā)送的網(wǎng)絡釣魚電子郵件
第一步:觀察
攻擊者控制受害者的電子郵件帳戶后��,便立即開始閱讀電子郵件��,以了解:
- 受害者的各個轉(zhuǎn)賬渠道����。
- 受害者與客戶�、律師、會計和銀行等其他第三方的關系。
- 目標公司內(nèi)部的關鍵角色�����。
Florentine Banker 會在干預郵件通信前花費數(shù)天�����、數(shù)周甚至數(shù)月的時間進行偵察���,并耐心地繪制目標公司的業(yè)務計劃和流程��。
第二步:控制并隔離
將目標公司研究透徹后��,攻擊者便開始創(chuàng)建惡意郵箱規(guī)則��,將受害者與第三方和內(nèi)部同事隔離開來�。這些電子郵件規(guī)則會將內(nèi)容或主題中含有重要信息的電子郵件轉(zhuǎn)移到受黑客組織監(jiān)控的文件夾中�����,從而實質(zhì)上構成一種“中間人”攻擊�。
例如,任何包含“發(fā)票”�、“退回”或“失敗”等預定義詞的電子郵件都將被移到受害者不常用的另一個文件夾��,比如“RSS Feeds”文件夾�。
Outlook 電子郵件規(guī)則 —
演示
第三步:相似的設置
為了進行下一個環(huán)節(jié)�����,攻擊者注冊了相似的域��,這些域看起來與電子郵件攔截目標的合法域非常相似�����。例如��,如果“finance-firm.com”和“banking-service.com”之間存在通信����,攻擊者就會注冊“finance-firms.com”和“banking-services.com”等類似的域名��。
設置完成后�����,攻擊者便開始從相似域發(fā)送電子郵件�����。他們要么創(chuàng)建新對話,要么繼續(xù)現(xiàn)有對話�����,讓受害者誤以為這些電子郵件來自合法用戶��,并且不會注意到發(fā)送域名的微小變化���。
電子郵件流程示例:設置前和設置后
第四步:發(fā)起欺詐
在此階段����,攻擊者對公司的入站電子郵件流量具有高度控制權����,并且可以偽造看似合法并受信任的電子郵件,而無需從真正的公司帳戶發(fā)送任何電子郵件��。
然后�,攻擊者再開始注入欺詐性銀行賬戶信息,方法有兩種:
- 攔截合法電匯交易 — 攻擊者先閱讀公司電子郵件����,了解匯款計劃��,然后利用在設置階段準備的基礎架構提供“新”銀行賬戶信息��,讓受害者將資金轉(zhuǎn)到自己的銀行賬戶中�����。
在本次案例中����,攻擊者發(fā)現(xiàn)目標公司計劃與第三方進行交易�,并建議使用英國銀行賬戶來加快此過程。但收件方表示他們沒有英國銀行賬戶�����。黑客組織趁機而入�,提供了一個英國銀行賬戶。 - 生成新電匯請求 — 攻擊者將在偵察階段了解一些轉(zhuǎn)賬細節(jié)����,包括目標公司的匯款程序����、審批周期以及最重要的公司關鍵負責人和交易銀行信息���。在我們的案例中,F(xiàn)lorentine Banker 搜查了目標公司與其轉(zhuǎn)賬銀行之間的電子郵件往來�,并使用從中獲取的信息與轉(zhuǎn)賬銀行聯(lián)系人聯(lián)系,通知其進行新的匯款交易���。
最后一步:轉(zhuǎn)賬
Florentine Banker 會一直操縱對話��,直到第三方批準新銀行信息并確認交易為止���。如果銀行由于賬戶幣種不匹配、收款人姓名有誤或任何其他原因而拒絕交易�����,則攻擊者將修復拒絕會話�,直到錢到手為止。
這在詐騙案例中很常見��。攻擊者會監(jiān)視與銀行聯(lián)系人的通信往來�,一旦有阻礙匯款的地方,便立即進行修復�����,從而成功操縱所有人把錢轉(zhuǎn)到自己的賬戶中。Florentine Banker 組織前后通過三筆無法撤銷的交易詐騙了約
600 萬英鎊��。
其他目標
在調(diào)查 Florentine Banker 黑客組織的上述操作時���,Check Point事故相應小組收集了一些證據(jù)信息并觀察了黑客使用的各個域名�。
攻擊者共使用了七個不同的域�,均為相似域或提供網(wǎng)絡釣魚網(wǎng)頁的網(wǎng)站。
事故相應小組可以通過從域的 WHOIS 信息(注冊名稱�、電子郵件、電話號碼)中收集的數(shù)據(jù)推測攻擊者的其他行動��,并根據(jù)具有唯一性的 WHOIS 信息找到了 2018-2020 年期間注冊的其他 39 個相似域�����,這些域名顯然是想嘗試偽裝成被 Florentine Banker 瞄準的各個合法公司�。
域名調(diào)查結果 Maltego 視圖
以下是小組根據(jù)發(fā)現(xiàn)的相似域,推測得出的 Florentine Banker 在不同國家和行業(yè)的攻擊目標細分圖��。
Florentine Banker 的來歷
事故相應小組雖然沒有調(diào)查到有關 Florentine
Banker 來歷的確切證據(jù)����,但也從蛛絲馬跡中捕捉到了一些線索:
- 僅攔截和修改了英語會話或交易。
- 在潛入受害組織的這兩個月內(nèi),F(xiàn)lorentine
Banker 均從周一到周五開展行動���。
- 欺詐性銀行賬戶位于中國香港和英國。
- 有幾封希伯來語電子郵件包含一些重要信息�,但它們卻未被攻擊者使用,因此我們猜測攻擊者不會講希伯來語���。
- Florentine Banker 組織要求直接從受害者銀行聯(lián)系人處進行電匯時�����,使用了一家中國香港公司的名稱���。該公司可能是偽造的,也可能先前注冊而后又倒閉的�����。
為了保護潛在受害者的隱私�����,我們不會公開相似域名或目標攻擊品牌��。Check Point Research 正在努力聯(lián)系這些公司���,防止它們成為下一個
BEC 詐騙受害者�。
結語
私募股權和風險投資公司已成為 BEC 攻擊者眼中的主要目標。由于風險投資公司經(jīng)常向新合作伙伴和收件方匯轉(zhuǎn)大量資金����,這使它們成為誘導進行新欺詐性交易的理想對象。
事實證明���,經(jīng)過至少幾年的攻擊實戰(zhàn)和技術打磨���,F(xiàn)lorentine
Banker 組織已經(jīng)成為一個陰險老辣而又懂得靈活應變的黑客高手。
除了最初的攻擊目標外�����,這些攻擊技術(尤其是相似域)也會對相似域通信中所涉及的第三方構成重大威脅�����。當主要攻擊目標從網(wǎng)絡中檢測到并消除威脅后��,攻擊者可能會繼續(xù)嘗試向已建立信任關系的第三方發(fā)起欺詐活動�。
如何保護自己
- 電子郵件是迄今為止攻擊者入侵企業(yè)網(wǎng)絡的第一大媒介,其中網(wǎng)絡釣魚是最常見的威脅。網(wǎng)絡釣魚電子郵件可誘騙用戶公開企業(yè)登錄憑證或單擊惡意鏈接/文件�。企業(yè)必須部署電子郵件安全解決方案,利用不斷更新的安全引擎自動防御此類攻擊�。
- 教育員工 — 適當對員工進行有關最新威脅形勢的持續(xù)教育。
- 如需電子轉(zhuǎn)賬����,請務必致電匯款方或收款方進行二次驗證�。
- 如果用戶在公司內(nèi)部檢測到類似的威脅,請務必也通知所有業(yè)務合作伙伴 —
否則只要延遲一步就會被黑客搶占先機����。
為了保障電子郵件安全,Check Point 基于人工智能的安全引擎引入了一個高級反網(wǎng)絡釣魚引擎����,可通過行為分析防止文中案例的悲劇再次上演。
