信息來(lái)源:銳星
2020年6月,上海某航運(yùn)集團(tuán)與一家國(guó)外物流公司進(jìn)行合作交易往來(lái)過(guò)程中,被網(wǎng)絡(luò)釣魚組織攻擊,險(xiǎn)些蒙受5萬(wàn)多美元的經(jīng)濟(jì)損失,過(guò)程如下:
該航運(yùn)集團(tuán)與另一家國(guó)外物流公司有合作往來(lái),雙方在進(jìn)行郵件溝通中,被一個(gè)尼日利亞網(wǎng)絡(luò)釣魚組織相中,該組織不僅注冊(cè)了與雙方網(wǎng)站相似度極高的域名,還劫持了雙方員工的郵件往來(lái),仿冒了往來(lái)人員的郵箱賬號(hào)。
圖:真實(shí)物流方與仿冒航運(yùn)方進(jìn)行郵件通信
圖:真實(shí)航運(yùn)方與仿冒物流方進(jìn)行通信
攻擊組織通過(guò)一個(gè)中間人的角色,分別偽裝成航運(yùn)集團(tuán)及物流公司進(jìn)行通信,從中獲取合作內(nèi)容等關(guān)鍵信息,并在商討付款時(shí)修改收款銀行信息,使得航運(yùn)集團(tuán)將少量資金轉(zhuǎn)入了攻擊組織,而并未察覺。就在航運(yùn)集團(tuán)即將再次向攻擊組織轉(zhuǎn)入5萬(wàn)多美金時(shí),瑞星公司通過(guò)追蹤發(fā)現(xiàn)了該組織的攻擊信息,及時(shí)聯(lián)系了該集團(tuán),停止付款交易,幫其及時(shí)止損。
圖:攻擊者劫持收款人的Invoice信息
圖:攻擊者將修改后Invoice發(fā)送給付款人
圖:付款完成后還未發(fā)現(xiàn)問(wèn)題
此次瑞星安全專家在追蹤中發(fā)現(xiàn),尼日利亞長(zhǎng)期存在的多個(gè)網(wǎng)絡(luò)釣魚攻擊組織,正在對(duì)國(guó)內(nèi)大量進(jìn)出口貿(mào)易、貨運(yùn)代理、船運(yùn)物流等企業(yè)進(jìn)行著猛烈的網(wǎng)絡(luò)釣魚攻擊,這類組織通過(guò)搜索、購(gòu)買或竊取等方式獲取企業(yè)相關(guān)郵箱賬號(hào)進(jìn)行釣魚郵件投遞,劫持企業(yè)公務(wù)往來(lái)郵件,偽裝成買賣雙方從而進(jìn)行詐騙,以牟取暴利,因此導(dǎo)致國(guó)內(nèi)很多企業(yè)遭受巨大的經(jīng)濟(jì)損失或信息被竊等風(fēng)險(xiǎn)。
國(guó)內(nèi)大量外貿(mào)物流企業(yè)正在遭受攻擊
瑞星安全研究院通過(guò)長(zhǎng)時(shí)間的追蹤,獲取了部分尼日利亞網(wǎng)絡(luò)攻擊組織使用的郵箱和服務(wù)器訪問(wèn)權(quán)限,從而還原出該組織的一些攻擊路徑及方式:
1. 攻擊者通過(guò)爬蟲或搜索、黑市購(gòu)買及間諜軟件竊取等方式獲取大量郵箱地址,通過(guò)專業(yè)的工具抽取所有與該郵箱進(jìn)行通信的郵件地址,從而得到大量?jī)?yōu)質(zhì)的潛在攻擊對(duì)象;
2. 攻擊者在掌握大量的郵箱賬號(hào)后,將各種商業(yè)間諜軟件或釣魚網(wǎng)站投遞至這些郵箱中,以竊取受害者電腦中瀏覽器、郵件、賬號(hào)密碼、cookies、鍵盤記錄和屏幕截圖等重要信息,從而源源不斷的獲取大量的憑據(jù)信息;
3. 在獲取到大量用戶資料后,攻擊者有選擇性的以外貿(mào)企業(yè)、貨物代理、物流運(yùn)輸?shù)葒?guó)際貿(mào)易鏈條上的公司和企業(yè)作為下手對(duì)象,監(jiān)控這些公司員工郵箱的通信活動(dòng),查找有關(guān)資金往來(lái)的郵件記錄,在合適的時(shí)機(jī)介入進(jìn)行詐騙活動(dòng);
4. 攻擊者通過(guò)長(zhǎng)期對(duì)買(賣)雙方郵件內(nèi)容進(jìn)行監(jiān)控,以獲取其中重要信息,從而偽裝成買方及賣方,充當(dāng)中間人與真正的買(賣)方進(jìn)行通信,劫持并傳輸郵件內(nèi)容,并以打折、避稅或篡改等方式更換收款信息,最終騙取受害企業(yè)的大量資金。
瑞星公司從該組織收集的郵件中發(fā)現(xiàn),有大量國(guó)內(nèi)企業(yè)員工的公務(wù)和個(gè)人郵箱,或企業(yè)網(wǎng)站登錄憑據(jù)等數(shù)據(jù)存在其中,同時(shí)還發(fā)現(xiàn)該組織注冊(cè)了大量的企業(yè)仿冒域名,這些冒牌貨與真實(shí)域名相似度極高,而這些企業(yè)很有可能就是該組織正在攻擊或即將攻擊的目標(biāo)。
圖:瑞星追蹤攻擊者時(shí)發(fā)現(xiàn)的國(guó)內(nèi)企業(yè)人員郵件賬號(hào)信息
攻擊者以家庭為單位 父子作案分工明確
在追蹤溯源過(guò)程中瑞星安全研究院獲取到了一些攻擊者的信息,通過(guò)郵箱的登陸記錄和一些開源的情報(bào)信息來(lái)看,該組織成員主要生活在尼日利亞的拉各斯市,他們每天的工作就是進(jìn)行攻擊活動(dòng),部分攻擊者還是以家庭為單位,父親和兒子一起參與。這些攻擊者通過(guò)skype不斷安排攻擊任務(wù)和通信交流。
通過(guò)對(duì)跟蹤的其中一個(gè)團(tuán)伙進(jìn)行了梳理,瑞星安全專家發(fā)現(xiàn)該組織成員主要有如下幾人,其中 JoeRyaHall是該組織的主要負(fù)責(zé)人,負(fù)責(zé)該組織的整個(gè)詐騙運(yùn)營(yíng)。
小組成員主要有5人,其中PRINCE ARTHUR II 是JoeRyaHall兒子,負(fù)責(zé)主要工作,而該組織是尼日利亞釣魚詐騙攻擊活動(dòng)中一個(gè)較活躍的組織。
根據(jù)瑞星監(jiān)測(cè),該組織目前仍正在針對(duì)我國(guó)企業(yè)進(jìn)行大范圍攻擊,因此建議廣大從事外貿(mào)進(jìn)出口及相關(guān)行業(yè)的企業(yè)和個(gè)人注意以下幾點(diǎn):
-
企業(yè)通過(guò)郵件溝通確認(rèn)付款信息時(shí),對(duì)于以各種理由修改收款賬戶的信息要引起警覺,一定在付款之前通過(guò)第三方通信工具進(jìn)行反復(fù)確認(rèn)。
-
統(tǒng)一部署企業(yè)級(jí)的終端安全防護(hù)軟件。目前的郵件服務(wù)提供商和郵件網(wǎng)關(guān)類安全產(chǎn)品對(duì)這些釣魚詐騙攻擊都不能夠做到100%的攔截。大量的釣魚和攻擊郵件都能突破現(xiàn)有的安全防護(hù)方案到達(dá)用戶終端,所以擁有一款終端安全防護(hù)產(chǎn)品十分必要。
-
提高企業(yè)員工的安全防護(hù)意識(shí)。員工在日常處理郵件過(guò)程中要注意郵件附件中文件的后綴名,不運(yùn)行郵件附件中可執(zhí)行文件和可疑腳本文件。
-
打開郵件附件中的Office文檔時(shí),如果彈出安全提示框或宏提示框,在無(wú)法確定安全的情況下一律拒絕啟用,并及時(shí)更新Office程序的相關(guān)漏洞。
-
不直接點(diǎn)擊郵件中的鏈接,不在郵件跳轉(zhuǎn)鏈接到的網(wǎng)頁(yè)中輸入賬號(hào)密碼,如果發(fā)現(xiàn)是釣魚網(wǎng)站并被釣魚成功,則第一時(shí)間修改相關(guān)賬號(hào)密碼。
-
在日常郵件往來(lái)中定期檢查郵件收件人的郵箱地址是否被仿冒,在回復(fù)郵件時(shí)如果回復(fù)郵件地址與發(fā)件人不一致時(shí)要引起高度重視。
-
定期查看郵件賬戶等登陸日志,對(duì)于郵件服務(wù)商發(fā)送的異地賬號(hào)登陸等安全風(fēng)險(xiǎn)提示要引起重視,定期修改郵箱、網(wǎng)站等相關(guān)的賬號(hào)密碼。
-
由于仍有大量企業(yè)信息流入該類釣魚組織,請(qǐng)廣大相關(guān)企業(yè)引起高度重視,同時(shí)可與瑞星公司取得聯(lián)系以獲取更多詳細(xì)信息。