中国领先的IT技术网站
|
|

别成为那头鲸鱼:怎样检测BEC欺诈

美国联邦调查局2016年12月的数据显示,网络窃贼通过商务电邮入侵(BEC,也称为钓鲸邮件)欺诈手段,从2.4万家公司盗取20亿美元以上。

作者:nana来源:安全牛|2017-11-09 05:40

Tech Neo技术沙龙 | 11月25号,九州云/ZStack与您一起探讨云时代网络边界管理实践


美国联邦调查局2016年12月的数据显示,网络窃贼通过商务电邮入侵(BEC,也称为钓鲸邮件)欺诈手段,从2.4万家公司盗取20亿美元以上。

别成为那头鲸鱼:怎样检测BEC欺诈

罪犯可在无意帮凶(被诱骗提交电汇请求的员工)的协助下盗取钱财。从公司财务部门的角度看,该笔交易完全合法。甚至确认电话或其他身份认证措施,也能联系到确实提交了该电汇请求的员工。

骗局描述——欺诈犯也有做调查功课

BEC骗局至少有3种类型,但都从深度侦察开始,了解既定受害者的关键信息,摸清他们的组织形式,知晓该对谁下手才可以让攻击看起来尽可能可信。罪犯会尝试入侵某员工的电邮账户,看看能从中获悉什么,并核查公开可用的信息。他们会找寻:

  • 有关该公司的一般性信息,他们的业务领域和生意往来对象;
  • 公司管理人员的姓名和职务;
  • 管理组织架构:谁向谁汇报;
  • 新融资轮的信息;
  • 新产品、服务或专利的信息;
  • 产品或地理扩张计划;
  • 旅行计划。

一旦知道了该冒充谁,该针对谁,哪些消息是最可信的,罪犯就建立了发送欺诈请求的方式方法。如果他们能入侵高管的电邮账户,他们会控制邮件流以规避检测。他们可能会设置收件箱规则,比如重定向或删除攻击中的特定邮件,防止该账户合法用户看到这些邮件。或者,他们可以编辑“回复”地址,将对欺诈相关邮件的回复,重定向到罪犯设置的电邮地址。

如果没能黑掉高管的电邮账户,他们会创建一个看起来很像的域名,比如:

  • 字母顺序调换:…@companyABDC.com和…@companyABCD.com
  • 用下划线替代连字符:…@company_name.com 和 …@company-name.com
  • 用“m” 换掉“r”和“n”

既然欺诈犯知道该向谁以何种方式说些什么,我们可以来看看以下几种特定攻击案例:

例 1:来自公司高管的邮件

  1. 罪犯入侵或假冒公司某高管的电子邮件账户,比如说首席财务官(CFO)的。
  2. 罪犯从被黑高管账户,向负责处理汇款事宜的下级雇员,比如主管会计,发送电汇要求。
  3. 主管会计根据其“老板”的指示,提交电汇支付请求。

此类案例的另一个版本,从伪造CEO发往CFO的虚假邮件开始。罪犯使用CFO的被黑邮箱,转发虚假CEO邮件给主管会计,请他/她按照CEO的“要求”进行汇款,给汇款请求加上紧迫性和合法性。

例 2:通过欺骗性电邮地址发来的供应商/商业合作伙伴发票

  1. 诈骗犯黑掉目标公司所雇业务用户的电邮账户,比如说,应付账款部的某人。
  2. 罪犯监视该业务用户的邮件,寻找供应商发票。
  3. 罪犯找到合法发票并修改收款人明细,比如修改款项应发到的银行识别代码和账号。
  4. 罪犯假冒该供应商电邮提交被修改过的发票。这一步不需要入侵该供应商的邮件系统,从一个长得很像该供应商电邮域名的邮箱发送即可。(参见前文示例)
  5. 邮件中解释称他们(该供应商)更新了自己的支付过程,也就解释了为什么会有新账户信息。
  6. 应付账款部确认供应商名称和所提供服务,处理发票,提交电汇支付请求。

例 3:关于公司并购的律师来邮

  1. 财务部收到冒充CEO讨论机密公司并购案的罪犯来邮。邮件强调该交易的敏感属性,让雇员感到能被CEO拉进该机密行动圈子是很特别的事。
  2. 邮件解释称,负责该并购案的律师将跟进下达电汇指示。
  3. 罪犯以那名所谓律师的身份,通过邮件或电话的形式,如那封来自CEO的邮件所言,跟进指示电汇支付事宜。
  4. 财务部提交电汇支付请求。

这些骗局依赖似乎完全合法的电邮要求运转,这些要求要么来自真实电子邮件账户,要么来自非最严苛的审查不能发现差异的类似账户。

FBI警告称,此类电汇转账要求措辞得当,特定于具体业务,不会引起对汇款要求合法性的怀疑。以往那种充斥语法和拼写错误,或者场景描述极端不真实的拙劣诈骗,已经绝迹于江湖了。

怎样检测BEC欺诈中的可疑电汇要求

BEC欺诈中提交的虚假支付请求还是有几种检测技巧的:

  1. 新建邮件,并在收件人栏填入高管的已知邮件地址,向高管确认汇款要求;不要回复可疑邮件,因为很可能会回到罪犯邮箱。如果觉得这么做有点傻,不妨问问自己:“是愿意询问一下CEO或CFO,确认电汇要求真实性;还是愿意不得不告诉他们你刚刚给诈骗犯汇了笔款?”
  2. 欺诈邮件通常措辞相似,要求保密和便利。可以设置电子邮件网关标红关键词,比如“支付”、“紧急”、“敏感”或“秘密”。
  3. 尽管BEC中所用后期邮件可能不含有恶意软件、前期入侵雇员邮箱的部分却往往用到恶意代码,因此,请确保你有个有效的恶意软件检测解决方案。
  4. 注册与真实公司域名略有差异的所有域名。
  5. 仔细审查所有涉及资金转账请求的电子邮件,确定这些请求是否超出正常范围。了解你客户的习惯,包括支付细节、支付原因和支付数额。

【编辑推荐】

  1. 黑客如何隐藏恶意软件? 主要靠这三种技术!
  2. “商务电邮诈骗”的实施手法与防御之道
  3. 怕被“坏兔子”攻击?别错过CSE恶意软件实验室的这份初步分析
  4. 基于API调用的恶意软件分析技术
  5. 技术分享-SSnatchLoader恶意软件更新分析
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Linux安全体系分析与编程

本书选择经典的开放源代码,全面系统地分析了Linux安全机制。本书共有17章,前10章着重介绍了Linux操作系统的安全机制及实现方法,阐述了公...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× CTO训练营(深圳站)