行業(yè)動態(tài)

國內(nèi)大量外貿(mào)物流企業(yè)正遭受尼日利亞釣魚組織攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-08-28    瀏覽次數(shù):
 

信息來源:銳星


2020年6月,上海某航運集團與一家國外物流公司進行合作交易往來過程中,被網(wǎng)絡(luò)釣魚組織攻擊,險些蒙受5萬多美元的經(jīng)濟損失,過程如下:

該航運集團與另一家國外物流公司有合作往來,雙方在進行郵件溝通中,被一個尼日利亞網(wǎng)絡(luò)釣魚組織相中,該組織不僅注冊了與雙方網(wǎng)站相似度極高的域名,還劫持了雙方員工的郵件往來,仿冒了往來人員的郵箱賬號。

圖:真實物流方與仿冒航運方進行郵件通信

圖:真實航運方與仿冒物流方進行通信

攻擊組織通過一個中間人的角色,分別偽裝成航運集團及物流公司進行通信,從中獲取合作內(nèi)容等關(guān)鍵信息,并在商討付款時修改收款銀行信息,使得航運集團將少量資金轉(zhuǎn)入了攻擊組織,而并未察覺。就在航運集團即將再次向攻擊組織轉(zhuǎn)入5萬多美金時,瑞星公司通過追蹤發(fā)現(xiàn)了該組織的攻擊信息,及時聯(lián)系了該集團,停止付款交易,幫其及時止損。

圖:攻擊者劫持收款人的Invoice信息

圖:攻擊者將修改后Invoice發(fā)送給付款人


圖:付款完成后還未發(fā)現(xiàn)問題

此次瑞星安全專家在追蹤中發(fā)現(xiàn),尼日利亞長期存在的多個網(wǎng)絡(luò)釣魚攻擊組織,正在對國內(nèi)大量進出口貿(mào)易、貨運代理、船運物流等企業(yè)進行著猛烈的網(wǎng)絡(luò)釣魚攻擊,這類組織通過搜索、購買或竊取等方式獲取企業(yè)相關(guān)郵箱賬號進行釣魚郵件投遞,劫持企業(yè)公務(wù)往來郵件,偽裝成買賣雙方從而進行詐騙,以牟取暴利,因此導(dǎo)致國內(nèi)很多企業(yè)遭受巨大的經(jīng)濟損失或信息被竊等風(fēng)險。

國內(nèi)大量外貿(mào)物流企業(yè)正在遭受攻擊

瑞星安全研究院通過長時間的追蹤,獲取了部分尼日利亞網(wǎng)絡(luò)攻擊組織使用的郵箱和服務(wù)器訪問權(quán)限,從而還原出該組織的一些攻擊路徑及方式:

1. 攻擊者通過爬蟲或搜索、黑市購買及間諜軟件竊取等方式獲取大量郵箱地址,通過專業(yè)的工具抽取所有與該郵箱進行通信的郵件地址,從而得到大量優(yōu)質(zhì)的潛在攻擊對象;

2. 攻擊者在掌握大量的郵箱賬號后,將各種商業(yè)間諜軟件或釣魚網(wǎng)站投遞至這些郵箱中,以竊取受害者電腦中瀏覽器、郵件、賬號密碼、cookies、鍵盤記錄和屏幕截圖等重要信息,從而源源不斷的獲取大量的憑據(jù)信息;

3. 在獲取到大量用戶資料后,攻擊者有選擇性的以外貿(mào)企業(yè)、貨物代理、物流運輸?shù)葒H貿(mào)易鏈條上的公司和企業(yè)作為下手對象,監(jiān)控這些公司員工郵箱的通信活動,查找有關(guān)資金往來的郵件記錄,在合適的時機介入進行詐騙活動;

4. 攻擊者通過長期對買(賣)雙方郵件內(nèi)容進行監(jiān)控,以獲取其中重要信息,從而偽裝成買方及賣方,充當(dāng)中間人與真正的買(賣)方進行通信,劫持并傳輸郵件內(nèi)容,并以打折、避稅或篡改等方式更換收款信息,最終騙取受害企業(yè)的大量資金。

瑞星公司從該組織收集的郵件中發(fā)現(xiàn),有大量國內(nèi)企業(yè)員工的公務(wù)和個人郵箱,或企業(yè)網(wǎng)站登錄憑據(jù)等數(shù)據(jù)存在其中,同時還發(fā)現(xiàn)該組織注冊了大量的企業(yè)仿冒域名,這些冒牌貨與真實域名相似度極高,而這些企業(yè)很有可能就是該組織正在攻擊或即將攻擊的目標。

圖:瑞星追蹤攻擊者時發(fā)現(xiàn)的國內(nèi)企業(yè)人員郵件賬號信息

攻擊者以家庭為單位 父子作案分工明確

在追蹤溯源過程中瑞星安全研究院獲取到了一些攻擊者的信息,通過郵箱的登陸記錄和一些開源的情報信息來看,該組織成員主要生活在尼日利亞的拉各斯市,他們每天的工作就是進行攻擊活動,部分攻擊者還是以家庭為單位,父親和兒子一起參與。這些攻擊者通過skype不斷安排攻擊任務(wù)和通信交流。


通過對跟蹤的其中一個團伙進行了梳理,瑞星安全專家發(fā)現(xiàn)該組織成員主要有如下幾人,其中 JoeRyaHall是該組織的主要負責(zé)人,負責(zé)該組織的整個詐騙運營。

小組成員主要有5人,其中PRINCE ARTHUR II 是JoeRyaHall兒子,負責(zé)主要工作,而該組織是尼日利亞釣魚詐騙攻擊活動中一個較活躍的組織。

根據(jù)瑞星監(jiān)測,該組織目前仍正在針對我國企業(yè)進行大范圍攻擊,因此建議廣大從事外貿(mào)進出口及相關(guān)行業(yè)的企業(yè)和個人注意以下幾點:

  • 企業(yè)通過郵件溝通確認付款信息時,對于以各種理由修改收款賬戶的信息要引起警覺,一定在付款之前通過第三方通信工具進行反復(fù)確認。
  • 統(tǒng)一部署企業(yè)級的終端安全防護軟件。目前的郵件服務(wù)提供商和郵件網(wǎng)關(guān)類安全產(chǎn)品對這些釣魚詐騙攻擊都不能夠做到100%的攔截。大量的釣魚和攻擊郵件都能突破現(xiàn)有的安全防護方案到達用戶終端,所以擁有一款終端安全防護產(chǎn)品十分必要。
  • 提高企業(yè)員工的安全防護意識。員工在日常處理郵件過程中要注意郵件附件中文件的后綴名,不運行郵件附件中可執(zhí)行文件和可疑腳本文件。
  • 打開郵件附件中的Office文檔時,如果彈出安全提示框或宏提示框,在無法確定安全的情況下一律拒絕啟用,并及時更新Office程序的相關(guān)漏洞。
  • 不直接點擊郵件中的鏈接,不在郵件跳轉(zhuǎn)鏈接到的網(wǎng)頁中輸入賬號密碼,如果發(fā)現(xiàn)是釣魚網(wǎng)站并被釣魚成功,則第一時間修改相關(guān)賬號密碼。
  • 在日常郵件往來中定期檢查郵件收件人的郵箱地址是否被仿冒,在回復(fù)郵件時如果回復(fù)郵件地址與發(fā)件人不一致時要引起高度重視。
  • 定期查看郵件賬戶等登陸日志,對于郵件服務(wù)商發(fā)送的異地賬號登陸等安全風(fēng)險提示要引起重視,定期修改郵箱、網(wǎng)站等相關(guān)的賬號密碼。
  • 由于仍有大量企業(yè)信息流入該類釣魚組織,請廣大相關(guān)企業(yè)引起高度重視,同時可與瑞星公司取得聯(lián)系以獲取更多詳細信息。


 
 

上一篇:韓國警方突襲并查封韓國第三大加密貨幣交易所Coinbit業(yè)務(wù)

下一篇:2020年8月28日聚銘安全速遞