2019年12月16日,三家金融公司联合聘用了网络安全公司Check Point的事件响应团队(CPIRT),以调查一起电汇欺诈事件——四笔不同的银行交易试图将110万英镑转入无法识别的银行帐户。在银行的紧急干预下,仅冻结了57万英镑,其余资金则永久丢失了。
在随后的调查中,Check Point发现这起事件可能与一个被称为“佛罗伦萨银行家(The Florentine Banker)”的黑客组织存在关联,且涉及长达数月时间之久的布控,而这一切都开始鱼叉式网络钓鱼。
第一步:网络钓鱼
根据Check Point的说法,第一波钓鱼电子邮件仅针对了两名工作人员。电子邮件声称来自目标公司的高层,旨在获取目标的公司整体财务结构及状况。
图1.钓鱼电子邮件示例
第二步:观察分析
在拿到目标电子邮箱的控制权限之后,攻击者便开始了对电子邮件的阅读,旨在获取如下信息:
- 受害者常用的汇款渠道;
- 受害者与其他第三方的关系,如客户、律师、会计师和银行;
- 受害者公司里的关键人物。
为了提高效率,攻击者还创建了一些电子邮件规则。例如,任何包含预定义单词(如“invoice”、“returned”或“fail”)的电子邮件都将被移至受害者不常用的另一个文件夹(如“RSS Feeds”文件夹)。
图2.Outlook电子邮件规则示例
攻击者在这项工作上所花费的时间最长,可能长达数天、数周甚至数月之久,然后才开始执行下一步操作。
第三步:注册类似域名,发送诈骗电子邮件
在发送诈骗电子邮件之前,攻击者注册了一些希望看起来与合法实体域名相似的域名。例如,“finance-firm[.]com”和“banking-service[.]com”对应“finance-firms[.]com”和“banking-services[.]com”,旨在确保受害者不会注意到发件人地址的细微变化。
图3.商业电子邮件(BEC)攻击示例
最后一步:让受害者汇款
在发送给受害者的诈骗电子邮件中,攻击者会以各种借口向受害者发送新的汇款指令或让受害者将之前汇款的资金汇至“备用银行账户”(银行账户属于中国香港和英国)。
由于此时的攻击者已经彻底掌握了目标公司的整体财务结构及状况,因此很容易取得受害者的信任。
目标公司远不止三家
在深入调查后,Check Point成功找到了攻击者在2018年至2020年期间注册的另外39个钓鱼域名,它们试图伪装成多个国家、多个行业的合法域名。
图4.钓鱼域名调查结果
如下所示,便是Check Point根据这些域名推测出来的可能的The Florentine Banker目标国家和行业:
图5.目标国家
图6.目标行业
结语
这种主要以企业为目标的鱼叉式网络钓鱼攻击也被称为“商业电子邮件(Business Email Compromise,BEC)攻击”,俗称“钓鲸攻击”。
美国联邦调查局(FBI)在今年2月份发布的最新年度互联网犯罪报告中曾表示,该机构在2019年共收到了467361起互联网和网络犯罪投诉,经济损失保守估计超35亿美元,而几乎一半的损失都来自BEC攻击。
由此可见,认真对待每一封电子邮件是多么的重要,而对员工进行必要的网络安全教育更是刻不容缓。如果你的企业最近也遇到了类似的状况,请一定及时通知所有的业务合作伙伴,以避免不必要的经济损失。
