【安全圈】分析黑客如何从美国一家公司夺走 1500 万美元？

经验丰富的诈骗犯在仔细地处理了一份电子邮件妥协案后，从一家美国公司手中夺走了 1500 万美元，这项妥协花了大约两个月才完成。

这名网络犯罪分子在获得有关一项商业交易的电子邮件对话后，以外科手术般的精准执行了他们的计划。他们把自己插进了交易所，转移了付款，并能将盗窃行为隐藏得足够长时间，以便拿到钱。

尽管研究人员调查了一个受害者的事件，但他们发现了一些线索，表明建筑、零售、金融和法律部门的数十家企业都在他们的目标名单上。

电子邮件第一阶段

在演员确定了目标后，他们花了大约两个星期的时间尝试访问电子邮件帐户。一到，他们又花了一周时间从受害者的邮箱里收集信息，并确定了一个机会。

负责调查这起事件的 migrate 公司的首席工程官 arielparnes 告诉 BleepingComputer，他们的研究人员没有在受害者系统上发现恶意软件，这表明电子邮件登录存在漏洞。

不过，帕恩斯告诉我们，电子邮件访问是不够的。由于参与者随时可能丢失这些信息，他们创建了电子邮件转发规则，以从受监视的电子邮件收件箱中获取消息。

通过使用 microsoftoffice365 电子邮件服务冒充交易双方，网络犯罪分子将能够继续攻击。

Miligate 说，威胁参与者使用 Office 365 帐户发送电子邮件，以减少怀疑和逃避检测。他们还通过 GoDaddy 注册商 ( Wild West 域名 ) 注册域名，这些域名与合法企业使用的域名相似 ( 其中很多是在美国 ) 。

这些细节让 Midget 建立了一个模式，并发现了 150 多个这些流氓域名，揭示了网络犯罪集团的更大活动。

在四周的时间里，攻击者利用从高级管理人员的收件箱中收集到的信息，小心地推进了他们的计划。他们在适当的时候利用假域名接管了对话，为资金转移提供了修改过的细节。

第二阶段 - 保护战利品

不过，这并不是结束。当资金流向错误的账户时，银行可以锁定交易，并及时标记错误。威胁参与者很清楚这一细节，并为这一阶段做好了准备。

为了隐藏盗窃行为，直到他们把钱转移到外国银行并使其永远丢失，攻击者使用收件箱过滤规则将邮件从特定的电子邮件地址移动到一个隐藏的文件夹中。

这一举动让合法收件箱拥有者不知道有关汇款的沟通。米蒂亚说，这场戏持续了大约两周，足以让这名演员的 1500 万美元消失。

Midge 在这起事件中的作用是调查受害者公司意识到他们的钱输给了网络罪犯之后发生了什么。研究人员正在帮助联邦调查局和美国特勤局追踪袭击者。

通过遵循一组简单的建议，组织可以加强对此类攻击的防御，其中包括在 Office 365 中启用双因素身份验证和防止电子邮件转发到外部地址。

此外，Midge 建议：

强制 Office 365 密码更新

考虑阻止电子邮件自动转发，让网络罪犯更难窃取你的信息

搜索收件箱中的隐藏文件夹

阻止可用于规避多因素身份验证的旧电子邮件协议，如 POP、IMAP 和 SMTP1

确保对邮箱登录和设置的更改被记录并保留 90 天

启用对可疑活动 ( 如外部登录 ) 的警报，并分析服务器日志中是否存在异常电子邮件访问

考虑订阅域管理服务

提高对电汇交易的认识和审查控制 ( 除了电子邮件，还包括电话验证，以及验证签名和帐户 )