在全球趋向没有战争的和平年代,互联网领域却在随时上演着一幕幕没有硝烟的攻防战。企业应用、个人信息乃至巨额财产……在网络世界稍有不慎就会造成不可逆的损失。值得庆幸的是,这场战争中有一群身经百战的安全卫士,他们可以在用户遭受威胁时化身网络超级英雄,在帮助用户挽回损失的同时,协助执法机构将黑客绳之于法。接下来,就用一次真实案例展示这些网络卫士如何帮助用户化险为夷。
背景
2019 年 12 月 16 日,Check Point 事故响应小组 (CPIRT) 受三家金融服务公司的委托,调查其联合银行账户欺诈性电子转账事件。在这起诈骗事件中,攻击者试图通过四笔银行交易将 110 万英镑转入无法识别的银行账户。在银行的紧急干预下,57 万英镑得到及时挽救,其余资金则有待执法机构进一步调查追回。
如果场景似曾相识,那是因为不久前响应小组刚刚发布了一个由 CPIRT 接手的类似案件的报告。在该案件中,黑客窃取了中国风投公司向一家以色列初创企业提供的 100 万美元资金。
随着调查逐步展开,幕后黑手“Florentine Banker”组织露出了真面目。从攻击者数月以来对受害者的监控,到他们逐步将数十万美元从毫无戒心的组织手里挪到自己的口袋中,这起复杂商务电子邮件入侵 (BEC) 攻击的细节也全部浮出了水面。
目标
在深入研究收集到的所有证据之前,我们先来快速了解一下受害组织的整体情况。受害组织是英国和以色列的三家大型金融公司,他们通常每周都会为新合作伙伴和第三方提供商处理并转移大量资金,并使用 Office 365 作为全公司的主要电子邮件提供商。
犯罪的逐步开展
锁定目标之后,Florentine Banker 黑客组织先对目标公司内的个人发起有针对性的网络钓鱼攻击。这些人可能是首席执行官、首席财务官或组织内负责执行金钱交易的任何其他关键人员。
在这次案例中,第一批网络钓鱼电子邮件仅瞄准了两名人员,并通过其中一人获得了用户凭证。这些网络钓鱼攻击交替使用不同的方法持续了数周,偶尔会攻击新的员工,直到掌握公司整体财务状况为止。
Florentine Banker 组织发送的网络钓鱼电子邮件
第一步:观察
攻击者控制受害者的电子邮件帐户后,便立即开始阅读电子邮件,以了解:
Florentine Banker 会在干预邮件通信前花费数天、数周甚至数月的时间进行侦察,并耐心地绘制目标公司的业务计划和流程。
第二步:控制并隔离
将目标公司研究透彻后,攻击者便开始创建恶意邮箱规则,将受害者与第三方和内部同事隔离开来。这些电子邮件规则会将内容或主题中含有重要信息的电子邮件转移到受黑客组织监控的文件夹中,从而实质上构成一种“中间人”攻击。
例如,任何包含“发票”、“退回”或“失败”等预定义词的电子邮件都将被移到受害者不常用的另一个文件夹,比如“RSS Feeds”文件夹。
Outlook 电子邮件规则 — 演示
第三步:相似的设置
为了进行下一个环节,攻击者注册了相似的域,这些域看起来与电子邮件拦截目标的合法域非常相似。例如,如果“finance-firm.com”和“banking-service.com”之间存在通信,攻击者就会注册“finance-firms.com”和“banking-services.com”等类似的域名。
设置完成后,攻击者便开始从相似域发送电子邮件。他们要么创建新对话,要么继续现有对话,让受害者误以为这些电子邮件来自合法用户,并且不会注意到发送域名的微小变化。
电子邮件流程示例:设置前和设置后
第四步:发起欺诈
在此阶段,攻击者对公司的入站电子邮件流量具有高度控制权,并且可以伪造看似合法并受信任的电子邮件,而无需从真正的公司帐户发送任何电子邮件。
然后,攻击者再开始注入欺诈性银行账户信息,方法有两种:
最后一步:转账
Florentine Banker 会一直操纵对话,直到第三方批准新银行信息并确认交易为止。如果银行由于账户币种不匹配、收款人姓名有误或任何其他原因而拒绝交易,则攻击者将修复拒绝会话,直到钱到手为止。
这在诈骗案例中很常见。攻击者会监视与银行联系人的通信往来,一旦有阻碍汇款的地方,便立即进行修复,从而成功操纵所有人把钱转到自己的账户中。Florentine Banker 组织前后通过三笔无法撤销的交易诈骗了约 600 万英镑。
其他目标
在调查 Florentine Banker 黑客组织的上述操作时,Check Point事故相应小组收集了一些证据信息并观察了黑客使用的各个域名。
攻击者共使用了七个不同的域,均为相似域或提供网络钓鱼网页的网站。
事故相应小组可以通过从域的 WHOIS 信息(注册名称、电子邮件、电话号码)中收集的数据推测攻击者的其他行动,并根据具有唯一性的 WHOIS 信息找到了 2018-2020 年期间注册的其他 39 个相似域,这些域名显然是想尝试伪装成被 Florentine Banker 瞄准的各个合法公司。
域名调查结果 Maltego 视图
以下是小组根据发现的相似域,推测得出的 Florentine Banker 在不同国家和行业的攻击目标细分图。
不同国家的受害者
不同行业的受害者
Florentine Banker 的来历
事故相应小组虽然没有调查到有关 Florentine Banker 来历的确切证据,但也从蛛丝马迹中捕捉到了一些线索:
为了保护潜在受害者的隐私,我们不会公开相似域名或目标攻击品牌。Check Point Research 正在努力联系这些公司,防止它们成为下一个 BEC 诈骗受害者。
结语
私募股权和风险投资公司已成为 BEC 攻击者眼中的主要目标。由于风险投资公司经常向新合作伙伴和收件方汇转大量资金,这使它们成为诱导进行新欺诈性交易的理想对象。
事实证明,经过至少几年的攻击实战和技术打磨,Florentine Banker 组织已经成为一个阴险老辣而又懂得灵活应变的黑客高手。
除了最初的攻击目标外,这些攻击技术(尤其是相似域)也会对相似域通信中所涉及的第三方构成重大威胁。当主要攻击目标从网络中检测到并消除威胁后,攻击者可能会继续尝试向已建立信任关系的第三方发起欺诈活动。
如何保护自己
为了保障电子邮件安全,Check Point 基于人工智能的安全引擎引入了一个高级反网络钓鱼引擎,可通过行为分析防止文中案例的悲剧再次上演。
好文章,需要你的鼓励
Blackwell GPU的生产制造工作量达到Hopper GPU的两倍有余,但带来的收入仅增加至约1.7倍。
由AMD驱动的El Capitan超级计算机(现位于美国劳伦斯利弗莫尔国家实验室(LLNL))成为世界上速度最快的超级计算机。