网络钓鱼威胁增大,财富500强公司继续成为支付欺诈对象

IBM发布警告称,他们近期发现犯罪分子正在发起针对财富500强企业财务人员的网络钓鱼欺诈互动,通过网络欺诈诱导受害者汇款。攻击者通过入侵员工邮箱或身份伪造发起钓鱼,辅以社会工程技巧,频频实施作案。

攻击者在获取目标的合法凭证之后,会在邮件上下文会话中加入自己的银行账号或其他支付凭证。他们还通过创建邮件过滤器,确保过程中之存在受害者一方。 在某些情况下,他们还伪造了必要的上级审批表格以增获取信任。

IBM表示,犯罪团伙使用的发件人邮箱地址和IP指向尼日利亚。

钓鱼实施过程

他们的目标用户不仅有零售、医疗健康,金融和服务行业,也包括财富 500 强企业。

犯罪团伙同时在被侵入的100多个属于不同国家的网站上创建了DocuSign登录页面。为了收集身份凭证,攻击者向企业用户的内部和外部联系人发送了大规模的网络钓鱼电子邮件。邮件中会包括商业文件的链接,但该链接指向的是伪造的 DocuSign 页面,要求用户进行验证或下载。

在获取的凭证中,攻击者会筛选出可用的部分,如只需要用户名和密码即可登录的邮箱账号。

“攻击者特别针对企业财务部门人员,潜在企图在于确保访问公司的银行账户。”

随后他们就进入了侦查阶段,攻击者冒充成客户活着合作企业的员工,不断与下一步目标进行接触和邮件交流以建立信任关系。攻击者在此阶段获得了企业组织结果的调查结果,熟悉了邮件流程和上级主管的行动习惯。

下阶段中,攻击者会注册与目标难以区分差别的域名(使用不同顶级域名或细微的拼写差别),建立员工邮箱账号,并用这些员工账号向目标发送邮件。

攻击者发送的邮件中英语的遣词造句水准很高,虽然出现了几个小的语法和口语化问题,但从目标的角度来看“付款”需求是比较急切的。这种微妙的心理氛围也帮助犯罪分子达到数百万美元诈骗的圆满实现。

于此同时,攻击者还会创建电子邮件过滤规则或自动删除用户公司内部的电子邮件,以防止受害者在其收件箱中发现异常消息。 其次,他们还将电子邮件回复自动转发到不同的地址。

避免商业邮件钓鱼的防护方法

攻击者的伪造和欺诈水平不断提升,普通用户越来越难以识别精心构建的骗局。企业仅仅是对员工进行网络钓鱼威胁的简单培训可能还是不够的,重新审查企业内部流程,弥补关键基础设施的不足,降低网络安全风险还是必须补上的一课。

1. 为用户登录增加两部验证(2FA),减小凭证窃取的安全隐患。 2. 在邮件中提示内部和外部邮箱地址,帮助员工区分伪造的相似的邮箱地址。 3. 在企业外部禁用自动转发邮件的功能,避免被攻击者窃取邮件。 4. 企业财务和金融人员应采纳严密的交易转账培训,能够在紧急支付流程中验证邮件的真实性(如应用数字证书之类) 5. 对客户企业进行身份确认。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-02-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

安卓很受伤:Black Hat 2015黑客大会上将公布的6个移动安全威胁

Black Hat 2015召开在即,现在随小编一起瞅瞅下个月将在Black Hat USA公布的一些Android安全威胁吧。 64位Android Root...

21590
来自专栏FreeBuf

追踪、定位、监听一个也不能少:最强悍的监控间谍软件FlexiSPY源码泄露

4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。 这家监控公司其实是一家总部位于泰国(...

862100
来自专栏FreeBuf

Google Play Store启动漏洞赏金计划保护Android应用

? Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。 这个项目的名称为 “Go...

28350
来自专栏FreeBuf

SiteLock最新报告显示:针对网站的攻击激增,平均每天有63起

根据SiteLock于本周一发布的最新分析报告显示,在过去的几个月里,针对网站的攻击活动数量出现了大幅增加。 ? SiteLock的网站安全内部报告是基于对超过...

23690
来自专栏Youngxj

web安全思维图

20190
来自专栏FreeBuf

ProjectSauron/Strider | 顶级的网络间谍平台暗中窃取政府加密通讯数据

一. 简介 在过去几年间,媒体报道的“APT相关”事件数量已呈显著增长趋势。但是,对于其中一些事件而言,“APT”(即高级持续性威胁)存在被夸大的成分。 除一些...

21560
来自专栏iOSDevLog

Apple Developer Program注册时所需的内容

探索 无限可能 针对 Apple 平台进行开发意味着您能够轻松获取最新的 macOS、iOS、watchOS 和 tvOS 技术,这将为您带来无限可能,助您...

18230
来自专栏镁客网

黑客随时入侵!看了这个,你还敢用Android手机吗?

27660
来自专栏FreeBuf

NSA工具DoublePulsar已入侵数万Windows设备,来看你是否也在其中?

背景 Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Wind...

251100
来自专栏西安-晁州

商城系统中商品模块数据库设计的一些思考

43340

扫码关注云+社区

领取腾讯云代金券