2019年12月16日,三家金融公司聯合聘用了網絡安全公司Check Point的事件響應團隊(CPIRT),以調查一起電匯欺詐事件——四筆不同的銀行交易試圖將110萬英鎊轉入無法識別的銀行帳戶。在銀行的緊急干預下,僅凍結了57萬英鎊,其餘資金則永久丟失了。
在隨後的調查中,Check Point發現這起事件可能與一個被稱為“佛羅倫薩銀行家(The Florentine Banker)”的黑客組織存在關聯,且涉及長達數月時間之久的布控,而這一切都開始魚叉式網絡釣魚。
第一步:網絡釣魚
根據Check Point的說法,第一波釣魚電子郵件僅針對了兩名工作人員。電子郵件聲稱來自目標公司的高層,旨在獲取目標的公司整體財務結構及狀況。
圖1.釣魚電子郵件示例
第二步:觀察分析
在拿到目標電子郵箱的控制權限之後,攻擊者便開始了對電子郵件的閱讀,旨在獲取如下信息:
- 受害者常用的匯款渠道;
- 受害者與其他第三方的關係,如客戶、律師、會計師和銀行;
- 受害者公司裡的關鍵人物。
為了提高效率,攻擊者還創建了一些電子郵件規則。例如,任何包含預定義單詞(如“invoice”、“returned”或“fail”)的電子郵件都將被移至受害者不常用的另一個文件夾(如“RSS Feeds”文件夾)。
圖2.Outlook電子郵件規則示例
攻擊者在這項工作上所花費的時間最長,可能長達數天、數週甚至數月之久,然後才開始執行下一步操作。
第三步:註冊類似域名,發送詐騙電子郵件
在發送詐騙電子郵件之前,攻擊者註冊了一些希望看起來與合法實體域名相似的域名。例如,“finance-firm[.]com”和“banking-service[.]com”對應“finance-firms[.]com”和“banking-services[.]com”,旨在確保受害者不會注意到發件人地址的細微變化。
圖3.商業電子郵件(BEC)攻擊示例
最後一步:讓受害者匯款
在發送給受害者的詐騙電子郵件中,攻擊者會以各種藉口向受害者發送新的匯款指令或讓受害者將之前匯款的資金匯至“備用銀行賬戶”(銀行賬戶屬於中國香港和英國)。
由於此時的攻擊者已經徹底掌握了目標公司的整體財務結構及狀況,因此很容易取得受害者的信任。
目標公司遠不止三家
在深入調查後,Check Point成功找到了攻擊者在2018年至2020年期間註冊的另外39個釣魚域名,它們試圖偽裝成多個國家、多個行業的合法域名。
圖4.釣魚域名調查結果
如下所示,便是Check Point根據這些域名推測出來的可能的The Florentine Banker目標國家和行業:
圖5.目標國家
圖6.目標行業
結語
這種主要以企業為目標的魚叉式網絡釣魚攻擊也被稱為“商業電子郵件(Business Email Compromise,BEC)攻擊”,俗稱“釣鯨攻擊”。
美國聯邦調查局(FBI)在今年2月份發佈的最新年度互聯網犯罪報告中曾表示,該機構在2019年共收到了467361起互聯網和網絡犯罪投訴,經濟損失保守估計超35億美元,而幾乎一半的損失都來自BEC攻擊。
由此可見,認真對待每一封電子郵件是多麼的重要,而對員工進行必要的網絡安全教育更是刻不容緩。如果你的企業最近也遇到了類似的狀況,請一定及時通知所有的業務合作伙伴,以避免不必要的經濟損失。
