信息來(lái)源:銳星
2020年6月��,上海某航運(yùn)集團(tuán)與一家國(guó)外物流公司進(jìn)行合作交易往來(lái)過(guò)程中�����,被網(wǎng)絡(luò)釣魚(yú)組織攻擊�����,險(xiǎn)些蒙受5萬(wàn)多美元的經(jīng)濟(jì)損失,過(guò)程如下:
該航運(yùn)集團(tuán)與另一家國(guó)外物流公司有合作往來(lái)�,雙方在進(jìn)行郵件溝通中,被一個(gè)尼日利亞網(wǎng)絡(luò)釣魚(yú)組織相中����,該組織不僅注冊(cè)了與雙方網(wǎng)站相似度極高的域名,還劫持了雙方員工的郵件往來(lái)����,仿冒了往來(lái)人員的郵箱賬號(hào)�。
圖:真實(shí)物流方與仿冒航運(yùn)方進(jìn)行郵件通信
圖:真實(shí)航運(yùn)方與仿冒物流方進(jìn)行通信
攻擊組織通過(guò)一個(gè)中間人的角色���,分別偽裝成航運(yùn)集團(tuán)及物流公司進(jìn)行通信���,從中獲取合作內(nèi)容等關(guān)鍵信息,并在商討付款時(shí)修改收款銀行信息���,使得航運(yùn)集團(tuán)將少量資金轉(zhuǎn)入了攻擊組織�,而并未察覺(jué)�。就在航運(yùn)集團(tuán)即將再次向攻擊組織轉(zhuǎn)入5萬(wàn)多美金時(shí),瑞星公司通過(guò)追蹤發(fā)現(xiàn)了該組織的攻擊信息�����,及時(shí)聯(lián)系了該集團(tuán)���,停止付款交易�,幫其及時(shí)止損�。
圖:攻擊者劫持收款人的Invoice信息
圖:攻擊者將修改后Invoice發(fā)送給付款人
圖:付款完成后還未發(fā)現(xiàn)問(wèn)題
此次瑞星安全專(zhuān)家在追蹤中發(fā)現(xiàn),尼日利亞長(zhǎng)期存在的多個(gè)網(wǎng)絡(luò)釣魚(yú)攻擊組織����,正在對(duì)國(guó)內(nèi)大量進(jìn)出口貿(mào)易�����、貨運(yùn)代理���、船運(yùn)物流等企業(yè)進(jìn)行著猛烈的網(wǎng)絡(luò)釣魚(yú)攻擊,這類(lèi)組織通過(guò)搜索����、購(gòu)買(mǎi)或竊取等方式獲取企業(yè)相關(guān)郵箱賬號(hào)進(jìn)行釣魚(yú)郵件投遞,劫持企業(yè)公務(wù)往來(lái)郵件���,偽裝成買(mǎi)賣(mài)雙方從而進(jìn)行詐騙����,以牟取暴利���,因此導(dǎo)致國(guó)內(nèi)很多企業(yè)遭受巨大的經(jīng)濟(jì)損失或信息被竊等風(fēng)險(xiǎn)。
國(guó)內(nèi)大量外貿(mào)物流企業(yè)正在遭受攻擊
瑞星安全研究院通過(guò)長(zhǎng)時(shí)間的追蹤��,獲取了部分尼日利亞網(wǎng)絡(luò)攻擊組織使用的郵箱和服務(wù)器訪問(wèn)權(quán)限����,從而還原出該組織的一些攻擊路徑及方式:
1. 攻擊者通過(guò)爬蟲(chóng)或搜索��、黑市購(gòu)買(mǎi)及間諜軟件竊取等方式獲取大量郵箱地址���,通過(guò)專(zhuān)業(yè)的工具抽取所有與該郵箱進(jìn)行通信的郵件地址,從而得到大量?jī)?yōu)質(zhì)的潛在攻擊對(duì)象����;
2. 攻擊者在掌握大量的郵箱賬號(hào)后,將各種商業(yè)間諜軟件或釣魚(yú)網(wǎng)站投遞至這些郵箱中����,以竊取受害者電腦中瀏覽器、郵件�����、賬號(hào)密碼����、cookies、鍵盤(pán)記錄和屏幕截圖等重要信息��,從而源源不斷的獲取大量的憑據(jù)信息���;
3. 在獲取到大量用戶資料后���,攻擊者有選擇性的以外貿(mào)企業(yè)�����、貨物代理�、物流運(yùn)輸?shù)葒?guó)際貿(mào)易鏈條上的公司和企業(yè)作為下手對(duì)象�����,監(jiān)控這些公司員工郵箱的通信活動(dòng)�,查找有關(guān)資金往來(lái)的郵件記錄,在合適的時(shí)機(jī)介入進(jìn)行詐騙活動(dòng)�;
4. 攻擊者通過(guò)長(zhǎng)期對(duì)買(mǎi)(賣(mài))雙方郵件內(nèi)容進(jìn)行監(jiān)控,以獲取其中重要信息����,從而偽裝成買(mǎi)方及賣(mài)方,充當(dāng)中間人與真正的買(mǎi)(賣(mài))方進(jìn)行通信�,劫持并傳輸郵件內(nèi)容,并以打折���、避稅或篡改等方式更換收款信息����,最終騙取受害企業(yè)的大量資金���。
瑞星公司從該組織收集的郵件中發(fā)現(xiàn)���,有大量國(guó)內(nèi)企業(yè)員工的公務(wù)和個(gè)人郵箱,或企業(yè)網(wǎng)站登錄憑據(jù)等數(shù)據(jù)存在其中��,同時(shí)還發(fā)現(xiàn)該組織注冊(cè)了大量的企業(yè)仿冒域名�����,這些冒牌貨與真實(shí)域名相似度極高�����,而這些企業(yè)很有可能就是該組織正在攻擊或即將攻擊的目標(biāo)����。
圖:瑞星追蹤攻擊者時(shí)發(fā)現(xiàn)的國(guó)內(nèi)企業(yè)人員郵件賬號(hào)信息
攻擊者以家庭為單位 父子作案分工明確
在追蹤溯源過(guò)程中瑞星安全研究院獲取到了一些攻擊者的信息,通過(guò)郵箱的登陸記錄和一些開(kāi)源的情報(bào)信息來(lái)看��,該組織成員主要生活在尼日利亞的拉各斯市,他們每天的工作就是進(jìn)行攻擊活動(dòng)���,部分攻擊者還是以家庭為單位����,父親和兒子一起參與����。這些攻擊者通過(guò)skype不斷安排攻擊任務(wù)和通信交流。
通過(guò)對(duì)跟蹤的其中一個(gè)團(tuán)伙進(jìn)行了梳理�����,瑞星安全專(zhuān)家發(fā)現(xiàn)該組織成員主要有如下幾人��,其中 JoeRyaHall是該組織的主要負(fù)責(zé)人��,負(fù)責(zé)該組織的整個(gè)詐騙運(yùn)營(yíng)����。
小組成員主要有5人,其中PRINCE ARTHUR II 是JoeRyaHall兒子���,負(fù)責(zé)主要工作���,而該組織是尼日利亞釣魚(yú)詐騙攻擊活動(dòng)中一個(gè)較活躍的組織�����。
根據(jù)瑞星監(jiān)測(cè),該組織目前仍正在針對(duì)我國(guó)企業(yè)進(jìn)行大范圍攻擊�,因此建議廣大從事外貿(mào)進(jìn)出口及相關(guān)行業(yè)的企業(yè)和個(gè)人注意以下幾點(diǎn):
-
企業(yè)通過(guò)郵件溝通確認(rèn)付款信息時(shí),對(duì)于以各種理由修改收款賬戶的信息要引起警覺(jué)�,一定在付款之前通過(guò)第三方通信工具進(jìn)行反復(fù)確認(rèn)。
-
統(tǒng)一部署企業(yè)級(jí)的終端安全防護(hù)軟件����。目前的郵件服務(wù)提供商和郵件網(wǎng)關(guān)類(lèi)安全產(chǎn)品對(duì)這些釣魚(yú)詐騙攻擊都不能夠做到100%的攔截。大量的釣魚(yú)和攻擊郵件都能突破現(xiàn)有的安全防護(hù)方案到達(dá)用戶終端��,所以擁有一款終端安全防護(hù)產(chǎn)品十分必要�。
-
提高企業(yè)員工的安全防護(hù)意識(shí)。員工在日常處理郵件過(guò)程中要注意郵件附件中文件的后綴名����,不運(yùn)行郵件附件中可執(zhí)行文件和可疑腳本文件。
-
打開(kāi)郵件附件中的Office文檔時(shí)�����,如果彈出安全提示框或宏提示框,在無(wú)法確定安全的情況下一律拒絕啟用����,并及時(shí)更新Office程序的相關(guān)漏洞。
-
不直接點(diǎn)擊郵件中的鏈接��,不在郵件跳轉(zhuǎn)鏈接到的網(wǎng)頁(yè)中輸入賬號(hào)密碼����,如果發(fā)現(xiàn)是釣魚(yú)網(wǎng)站并被釣魚(yú)成功,則第一時(shí)間修改相關(guān)賬號(hào)密碼�����。
-
在日常郵件往來(lái)中定期檢查郵件收件人的郵箱地址是否被仿冒�����,在回復(fù)郵件時(shí)如果回復(fù)郵件地址與發(fā)件人不一致時(shí)要引起高度重視���。
-
定期查看郵件賬戶等登陸日志���,對(duì)于郵件服務(wù)商發(fā)送的異地賬號(hào)登陸等安全風(fēng)險(xiǎn)提示要引起重視,定期修改郵箱��、網(wǎng)站等相關(guān)的賬號(hào)密碼。
-
由于仍有大量企業(yè)信息流入該類(lèi)釣魚(yú)組織��,請(qǐng)廣大相關(guān)企業(yè)引起高度重視�,同時(shí)可與瑞星公司取得聯(lián)系以獲取更多詳細(xì)信息。
