信息來源:銳星
2020年6月���,上海某航運(yùn)集團(tuán)與一家國外物流公司進(jìn)行合作交易往來過程中�,被網(wǎng)絡(luò)釣魚組織攻擊���,險些蒙受5萬多美元的經(jīng)濟(jì)損失�����,過程如下:
該航運(yùn)集團(tuán)與另一家國外物流公司有合作往來���,雙方在進(jìn)行郵件溝通中,被一個尼日利亞網(wǎng)絡(luò)釣魚組織相中,該組織不僅注冊了與雙方網(wǎng)站相似度極高的域名���,還劫持了雙方員工的郵件往來��,仿冒了往來人員的郵箱賬號�����。
圖:真實物流方與仿冒航運(yùn)方進(jìn)行郵件通信
圖:真實航運(yùn)方與仿冒物流方進(jìn)行通信
攻擊組織通過一個中間人的角色����,分別偽裝成航運(yùn)集團(tuán)及物流公司進(jìn)行通信,從中獲取合作內(nèi)容等關(guān)鍵信息�����,并在商討付款時修改收款銀行信息�����,使得航運(yùn)集團(tuán)將少量資金轉(zhuǎn)入了攻擊組織�,而并未察覺���。就在航運(yùn)集團(tuán)即將再次向攻擊組織轉(zhuǎn)入5萬多美金時�����,瑞星公司通過追蹤發(fā)現(xiàn)了該組織的攻擊信息��,及時聯(lián)系了該集團(tuán)��,停止付款交易,幫其及時止損�。
圖:攻擊者劫持收款人的Invoice信息
圖:攻擊者將修改后Invoice發(fā)送給付款人
圖:付款完成后還未發(fā)現(xiàn)問題
此次瑞星安全專家在追蹤中發(fā)現(xiàn)��,尼日利亞長期存在的多個網(wǎng)絡(luò)釣魚攻擊組織���,正在對國內(nèi)大量進(jìn)出口貿(mào)易、貨運(yùn)代理����、船運(yùn)物流等企業(yè)進(jìn)行著猛烈的網(wǎng)絡(luò)釣魚攻擊,這類組織通過搜索���、購買或竊取等方式獲取企業(yè)相關(guān)郵箱賬號進(jìn)行釣魚郵件投遞����,劫持企業(yè)公務(wù)往來郵件����,偽裝成買賣雙方從而進(jìn)行詐騙�,以牟取暴利,因此導(dǎo)致國內(nèi)很多企業(yè)遭受巨大的經(jīng)濟(jì)損失或信息被竊等風(fēng)險����。
國內(nèi)大量外貿(mào)物流企業(yè)正在遭受攻擊
瑞星安全研究院通過長時間的追蹤���,獲取了部分尼日利亞網(wǎng)絡(luò)攻擊組織使用的郵箱和服務(wù)器訪問權(quán)限�,從而還原出該組織的一些攻擊路徑及方式:
1. 攻擊者通過爬蟲或搜索����、黑市購買及間諜軟件竊取等方式獲取大量郵箱地址���,通過專業(yè)的工具抽取所有與該郵箱進(jìn)行通信的郵件地址�����,從而得到大量優(yōu)質(zhì)的潛在攻擊對象�����;
2. 攻擊者在掌握大量的郵箱賬號后���,將各種商業(yè)間諜軟件或釣魚網(wǎng)站投遞至這些郵箱中�����,以竊取受害者電腦中瀏覽器、郵件���、賬號密碼���、cookies�����、鍵盤記錄和屏幕截圖等重要信息�,從而源源不斷的獲取大量的憑據(jù)信息����;
3. 在獲取到大量用戶資料后,攻擊者有選擇性的以外貿(mào)企業(yè)����、貨物代理、物流運(yùn)輸?shù)葒H貿(mào)易鏈條上的公司和企業(yè)作為下手對象���,監(jiān)控這些公司員工郵箱的通信活動��,查找有關(guān)資金往來的郵件記錄,在合適的時機(jī)介入進(jìn)行詐騙活動;
4. 攻擊者通過長期對買(賣)雙方郵件內(nèi)容進(jìn)行監(jiān)控�����,以獲取其中重要信息,從而偽裝成買方及賣方���,充當(dāng)中間人與真正的買(賣)方進(jìn)行通信,劫持并傳輸郵件內(nèi)容�����,并以打折、避稅或篡改等方式更換收款信息,最終騙取受害企業(yè)的大量資金�����。
瑞星公司從該組織收集的郵件中發(fā)現(xiàn),有大量國內(nèi)企業(yè)員工的公務(wù)和個人郵箱����,或企業(yè)網(wǎng)站登錄憑據(jù)等數(shù)據(jù)存在其中���,同時還發(fā)現(xiàn)該組織注冊了大量的企業(yè)仿冒域名����,這些冒牌貨與真實域名相似度極高��,而這些企業(yè)很有可能就是該組織正在攻擊或即將攻擊的目標(biāo)�����。
圖:瑞星追蹤攻擊者時發(fā)現(xiàn)的國內(nèi)企業(yè)人員郵件賬號信息
攻擊者以家庭為單位 父子作案分工明確
在追蹤溯源過程中瑞星安全研究院獲取到了一些攻擊者的信息,通過郵箱的登陸記錄和一些開源的情報信息來看�����,該組織成員主要生活在尼日利亞的拉各斯市�,他們每天的工作就是進(jìn)行攻擊活動,部分攻擊者還是以家庭為單位��,父親和兒子一起參與�。這些攻擊者通過skype不斷安排攻擊任務(wù)和通信交流���。
通過對跟蹤的其中一個團(tuán)伙進(jìn)行了梳理���,瑞星安全專家發(fā)現(xiàn)該組織成員主要有如下幾人�����,其中 JoeRyaHall是該組織的主要負(fù)責(zé)人��,負(fù)責(zé)該組織的整個詐騙運(yùn)營�����。
小組成員主要有5人���,其中PRINCE ARTHUR II 是JoeRyaHall兒子,負(fù)責(zé)主要工作,而該組織是尼日利亞釣魚詐騙攻擊活動中一個較活躍的組織����。
根據(jù)瑞星監(jiān)測,該組織目前仍正在針對我國企業(yè)進(jìn)行大范圍攻擊,因此建議廣大從事外貿(mào)進(jìn)出口及相關(guān)行業(yè)的企業(yè)和個人注意以下幾點:
-
企業(yè)通過郵件溝通確認(rèn)付款信息時���,對于以各種理由修改收款賬戶的信息要引起警覺���,一定在付款之前通過第三方通信工具進(jìn)行反復(fù)確認(rèn)�����。
-
統(tǒng)一部署企業(yè)級的終端安全防護(hù)軟件����。目前的郵件服務(wù)提供商和郵件網(wǎng)關(guān)類安全產(chǎn)品對這些釣魚詐騙攻擊都不能夠做到100%的攔截���。大量的釣魚和攻擊郵件都能突破現(xiàn)有的安全防護(hù)方案到達(dá)用戶終端�����,所以擁有一款終端安全防護(hù)產(chǎn)品十分必要��。
-
提高企業(yè)員工的安全防護(hù)意識�����。員工在日常處理郵件過程中要注意郵件附件中文件的后綴名,不運(yùn)行郵件附件中可執(zhí)行文件和可疑腳本文件�。
-
打開郵件附件中的Office文檔時���,如果彈出安全提示框或宏提示框�����,在無法確定安全的情況下一律拒絕啟用��,并及時更新Office程序的相關(guān)漏洞����。
-
不直接點擊郵件中的鏈接,不在郵件跳轉(zhuǎn)鏈接到的網(wǎng)頁中輸入賬號密碼����,如果發(fā)現(xiàn)是釣魚網(wǎng)站并被釣魚成功,則第一時間修改相關(guān)賬號密碼��。
-
在日常郵件往來中定期檢查郵件收件人的郵箱地址是否被仿冒��,在回復(fù)郵件時如果回復(fù)郵件地址與發(fā)件人不一致時要引起高度重視��。
-
定期查看郵件賬戶等登陸日志���,對于郵件服務(wù)商發(fā)送的異地賬號登陸等安全風(fēng)險提示要引起重視��,定期修改郵箱���、網(wǎng)站等相關(guān)的賬號密碼���。
-
由于仍有大量企業(yè)信息流入該類釣魚組織��,請廣大相關(guān)企業(yè)引起高度重視���,同時可與瑞星公司取得聯(lián)系以獲取更多詳細(xì)信息��。
