垃圾邮件已经诞生了几十年,“尼日利亚王子”这种互联网上最古老的骗局总该杜绝了吧?确实,大部分人都已经意识到所谓西非贵族摆你面前的“你给我一千我还你百万”是个骗局,但其深层的“付出一点点收获一大笔”的逻辑却仍能诱使人们上当。事实上,尼日利亚诈骗团伙至今仍在从此经典骗局中赚取百万美元收益。而且,他们不仅磨砺了技术扩大了“业务”范围,甚至有了一定“声誉”。
本月初,安全公司CrowdStrike发布详细报告,揭示尼日利亚从事各种违法犯罪活动并将电邮欺诈发展成可靠摇钱树的多个团体和黑帮。这些犯罪团伙,比如“黑斧”( Black Axe )组织,已精通编造看起来非常可信的诱人欺诈电邮。CrowdStrike指出,这些犯罪团伙技术上并不十分复杂,组织也不甚严密,但极为灵活而忠诚,可以执行很有效的诈骗行动。
CrowdStrike情报副总裁亚当·梅耶斯称:“这些人更像是以前的黑手党。一旦加入其中并开始行动,就会获得新的名字。他们有自己的音乐,甚至自己的语言,还会在社交媒体上放图片吹嘘自己的所作所为。其整个理念就是:都可以说服别人直接蠢蠢地给你转账了,为什么还要投入成百上千万去打造自己的恶意软件呢?”
雅虎小子
年轻的尼日利亚诈骗犯往往被称为“雅虎小子”,因为他们之中很多人的目标都是雅虎用户。他们自己也很喜欢这个身份。YouTube上点击数超300万的饶舌歌“Yahooze”,就是尼日利亚歌手 Olu Maintain 美化电邮诈骗犯生活方式的。
他们花几个月时间梳理收件箱,安静,有条不紊。
高级尼日利亚电邮欺诈组织不仅针对个人下手,也将眼光放到了小企业身上,于是,最近每次攻击的“收成”看涨。FBI估算,2013年10月到2016年12月间,全球超过4万起商业电邮欺诈事件共造成了53亿美元的损失。现代企业日常业务涉及太多第三方、客户、语言、时区和域名,很难以公司有限的资源来从这可预期的大混乱中区别出可疑活动。
尼日利亚诈骗犯会向公司发送精心定制的网络钓鱼邮件,诱使用户点击诱饵链接,往他们的计算机上植入恶意软件。钉入桥头堡后,攻击者并不着急,会花几天甚至几周时间做侦察,利用键盘记录和其他监视工具盗取各种账户的登录凭证,研究公司运行模式,搞清是谁负责购买和处理其他交易。
诈骗犯最终会制定出战术,可能是冒充公司内部某人来发出付款指令,或者伪装成目标公司的合作伙伴发去看起来正常的发票索要货款。如果获得了系统足够的权限,攻击者甚至可能设置邮件重定向,截获合法发票,将银行信息改他们自己的账户,然后再继续发给原始收家。此类中间人电邮攻击就是这些诈骗犯各种操作的基础。
尽管这些攻击者基本使用的是低端商业恶意软件,但其倾向于在受害网络中保持低调,只要骗局没什么效果,就会毫不犹豫地快速切换目标。其中一招被称为“域名浅尝”,就是注册看起来合法的域名,以此发送网络钓鱼邮件,然后在网络钓鱼没效果的时候迁移到新的域名上。
安全公司Secureworks追踪尼日利亚电邮欺诈已有数年,其反威胁部门研究人员詹姆斯·贝特克称:“这是结合了精妙社会工程和账户获取技术的恶意软件加网络钓鱼行动。他们技术不是十分先进,也不会编程,更没有太多自动化,但他们的强项在社会工程和敏捷诈骗。他们花几个月时间梳理收件箱,安静,有条不紊。”
一个案例中,诈骗者冒充公司员工公然向目标索要其公司的官方信纸模板。其他情况下,诈骗者会用Skype视频电话来让交易请求看起来很真实。他们会截取所冒充雇员视频中的静态帧,让视频电话看起来好像真的是那个员工拨打的,只不过因为时延而有点卡顿。受害者打款后,诈骗犯通常会在转回尼日利亚前先经中国和其他亚洲国家多跳转几下。
该方法简单有效。公司企业的工资表、可支付账户都是诈骗犯的目标,他们会声称自己是提供商,通过电话或其他什么方式提高自身骗局的可信度。
社会工程师
这些诈骗团伙在隐藏自己踪迹方面不太小心,他们会在社交媒体上用自己在团伙内的诨号宣扬自己的所作所为,在可被渗入的Facebook群组内交流各种消息,或者购买带漏洞的恶意软件,最终导致他们的诈骗活动曝光。而且,即便他们试图删除自己的入侵行为,分析师仍可追踪恶意流量,直至查到尼日利亚IP地址。另外,这些诈骗犯基本上不用什么代理。
全球各司法机构,包括FBI、欧洲刑警组织和加拿大及意大利的机构,均成功起诉并拘捕了一些诈骗团伙头目。但司法管辖权问题是横亘在司法机构面前的拦路虎。而一旦资金被转走,很多受害者手中并没有什么资源可用了。
小公司只要被骗走20或50万美元,基本上就完了,业务链就断了。FBI洛杉矶网络部探员迈克尔·索恩称:“所以我们与银行合作,尽可能找回资金;并与私营产业公司和安全公司合作,共享情报。对受害者来说,被骗很心碎,是一场完完全全的灾难。”
这些人更像是旧时的黑手党。
研究人员称,虽然尼日利亚电邮欺诈者采取了与东欧和俄罗斯黑客组织不同的攻击路线,但他们依然是个切实的威胁。他们显著的特征就是“乐于”相互学习,且基本只专注于社会工程欺诈。这两个特征导致了此类犯罪骗局复杂度的快速上升。
公司企业可采取一些基本步骤来保护自身,比如更新软件、添加双因子身份验证等,这样即便诈骗犯盗得账户凭证也无法造成即时祸患。添加管理控制以限制员工可收取的邮件和附件类型也能屏蔽掉一些网络钓鱼,而增加外部邮件标识可帮助员工识别出那些想以相似域名冒充内部员工的欺诈邮件。
小型公司要求大笔交易必须经多人批准也是个不错的预防办法。类似核武发射按钮,必须2人同时带来密钥才可开启。1个人被骗很有可能,但2个人同时被骗的概率就会低很多。然而,当黑客知道你是谁,你是怎么工作的,你也就只剩下寄希望于另一个人不被骗了。
相关阅读
