高端技术进入网络诈骗领域,商务电邮攻击规模猛增。
2018年,商务电邮欺诈攻击(BEC)将超90亿美元规模。而不到一年之前,FBI披露的BEC攻击规模是53亿美元。随着黑客的诈骗技术不断精进,BEC攻击也越来越复杂高端了。
趋势科技一份新出炉的报告《追踪BEC诈骗趋势》称:“BEC在黑客中流传开来是因为其相对简单性。”趋势科技的研究人员自2017年1月起就将BEC当成网络犯罪行为进行分析,剖析其所用工具和策略以预测今年的BEC攻击活动。
趋势科技网络首席网络安全官艾德·卡布雷拉说:“BEC这种特别的攻击不会消失,只会越来越多。”
美国互联网犯罪投诉中心(IC3)将BEC分为5类:假发票诈骗、CEO欺诈、账户入侵、假冒律师、数据盗窃。趋势科技的分析中则是将BEC分为2类:凭证获取类和仅邮件诱骗类。攻击者至少要熟悉其中一类方法才可以得逞。
方法1:攫取凭证
此类方法利用键盘记录器和网络钓鱼工具包来偷取凭证并登录公司电子邮箱。研究人员注意到,网络钓鱼HTML页面被作为垃圾邮件附件发送的老套路出现了小幅上升,而且该方法对无戒备心的用户依然有效。
BEC攻击中用于偷取电子邮箱登录信息的一大主要方法是网络钓鱼。攻击者一旦侵入Gmail之类的账户,就可以冒充其主人或利用在该账户中找到的个人信息/凭证。
另一种凭证获取类技术用到了恶意软件,这一直是使用杀毒工具的用户的老大难问题,因为某些攻击者会使用加密服务来规避AV软件的检测。研究人员指出,相比键盘记录器,BEC攻击者更喜欢用网络钓鱼攻击,因为这样更简单也更便宜,无需自掏腰包购买恶意软件生成器和加密器。
键盘记录器和远程访问工具(RAT)是BEC最常用的恶意软件类型,因为有效又不贵,堪称价廉物美。与依靠网络钓鱼来盗取单个凭证不同,恶意软件可以收集被感染主机上存储的所有凭证。
Ardamax是近期BEC攻击中发现的一种键盘记录器。该工具仅需50美元即可入手,能通过SMPT或FTP协议发送盗取的数据,具备网络摄像头和麦克风收音功能,还可以选择导出加密日志供用户在其日志浏览器中查看。Lokibot是一款口令和加密货币钱包盗取器,也属于BEC常用恶意软件。2017年的新版Lokibot增加了新功能,可以在目标主机上捕获屏幕截图。
方法2:瞄准收件箱
仅邮件诱骗类BEC攻击主要依靠社会工程技术,攻击者越聪明,该方法越复杂。此类战术中,攻击者会向目标公司的财务部门发送电子邮件,以支付货款或私下帮忙为由,要求工作人员转账汇款。通常,攻击者会冒充该公司CEO向其财务主管发送此类诈骗电邮。
CFO有权限也有能力要求紧急转账。攻击者就是试图利用CEO和CFO之间的这种关系。
网络罪犯发起BEC攻击也是要好好研究其目标对象的。这些黑客通常是比较高级的团队,但也非常类似于网络间谍。他们对自己盯上的公司非常了解,知道该针对谁下手。
知己知彼是BEC黑客成功的关键。攻击者想要知道目标公司及其管理层的情况。如:谁在休假?典型工作时段是几点到几点?商务旅行是怎么安排的?近期有没有并购提案?有没有什么公司活动?很多情况下BEC攻击者会对自动数据处理(ADP)凭证和支付/福利信息下手,以便更好地了解目标公司的员工。所有这些数据,无论是公开的还是秘密的,都会带领攻击者迈向成功。
社会工程诈骗难以被发现。不过,有时候邮件主题栏会暴露出攻击者的诈骗本质。对BEC邮件样本的分析表明,超过2/3的主题都包含有“请求”、“支付”或“紧急”等字眼。很多邮件直接标明“电汇请求”。
而在“回复”栏,很多攻击者会附上自己的电子邮件地址,以便查看来自目标收件人的回复。大多数电子邮件客户端并不显示回复地址,这就给了攻击者隐藏自身的空间。而即便不附带隐藏回复地址,他们也会创建看起来合法的电子邮箱来冒充公司高管。这种邮箱一般都是免费的邮件服务,比如“accountant.com”和“workmail.com”。
从用户角度出发,意识培训非常重要。上至董事会会议室,下至服务器机房,一定要确保员工知道BEC是真实上演的欺诈。网关工具则是从技术角度加以防护,可以密切关注公司部署的此类工具,观察它们对邮件的防护情况。
网关是一道痕重要的防线,必须要保护好。
完整报告:
https://documents.trendmicro.com/assets/TrackingTrendsinBusinessEmailCompromise.pdf
相关阅读
