记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

情报分析:非洲西部的一伙黑客,通过BEC欺诈获利愈50亿美元

2017-08-28 19:45

前情提要

一般来说,BEC(business email compromise,企业电子邮件入侵)诈骗被广泛认为是一种所需技术含量相对较低的网络犯罪类型。尽管如此,多个领域的分析师们观察到BEC诈骗从最初的粗暴、简单方式(如通过419、虚假彩票等方式,诱骗不知情的受害者发送付款信息)逐渐地开始复杂化,犯罪分子开始尝试利用恶意软件和复杂的网络技术,以便于快速可靠地将资金从受害者账户转移到自己控制的账户。

FlashPoint公司最近定位到一个来自非洲西部的网络犯罪团伙,尽管他们的网络技术水平很低,但是通过BEC欺诈在过去的三年中已经成功获利了数十亿美金。

事件分析

最近确认的这些试图通过钓鱼邮件获取用户凭据的欺诈活动,检测率很低,原因是因为它很简单性;攻击者主要依赖恶意PDF文件,其中包含了嵌入的链接地址,能够将潜在的受害者重定向到钓鱼网站,便于进一步骗取用户凭据。

在2017年3月28日到2017年8月8日这段时间内,从攻击者发送的钓鱼邮件中收集到了73份恶意PDF文件。这些恶意的PDF文件,主要以学校、软件技术公司、零售商、工程组织和房地产企业等垂直行业进行有针对性的攻击,目标是骗取用户的凭据。

从已经确定的这73份恶意文件中,分析师识别出了70个独特的统一资源标识符(URI),这些域之间有部分重叠,共计有29个不同的域名:

图1:从攻击者使用的样本中提取的域名信息

钓鱼活动的过程概述如下:潜在的受害者都会收到一个含有恶意链接的PDF文件。一旦用户打开这个PDF,会收到一个提示,指引用户查看一个安全的在线文件;如果用户选择点击这个提示,就会被重定向到一个钓鱼网站,被诱骗输入登录凭据。

图2:一旦打开恶意PDF文件,潜在的受害者会看到一个访问安全的在线文档的提示,进一步被引导到一个钓鱼页面

一旦潜在的受害者进入网络钓鱼页面,会看到一个下拉菜单,提供了几种“下载”文件的选项,同时要求他们输入组织的登录凭据。一旦受害者输入他们的登录凭据,脚本会将受害者重定向到一个文档或目标组织所拥有的网页上。

图3:用于骗取用户凭据的钓鱼网页

这些提交的凭据信息自然是会传到犯罪分子手里。一旦收获有效的用户凭据,犯罪分子会登录这些邮箱账号,并向给受害者的联系人发送钓鱼邮件;这些“虚假的”电子邮件很可能被认为是“可信的”,因为它们来自合法的电子邮件帐户。在BEC诈骗的过程中,这种做法允许犯罪分子在目标组织内部获得一个更好的立足点,甚至有可能以此为跳板入侵其他的组织。与此同时,攻击者也可以从泄露的邮箱账户的收件箱、发件箱中收获其他额外的敏感信息(如其他账户凭据、商业机密等)。

进一步评估

通过分析这些钓鱼邮件的原始IP地址、攻击者使用的的战术、技术和程序(TTP      ,例如专注于获取凭据、没有恶意软件参与、攻击者的部分操作明显不当/非安全的操作),分析师认为这些攻击可能是由位于西部非洲的攻击者实施的。

基于恶意PDF文件遗留的痕迹,这些文件可能出自西非的一个网络犯罪集团,他们专注于凭据钓鱼。

图4:钓鱼邮件来源于一个电子邮件服务云提供商,源IP中有一个尼日利亚的IP地址

尽管非洲西部的BEC威胁行为者被普遍认为是技术水平最低的网络威胁行为者,但他们在过去三年中通过这类欺诈行为获利已经超过了50亿美元。相比之下,2016年勒索软件行业的盈利额约为10亿美元,欧洲刑警组织估计暗网中的alphabay市场的盈利额也接近10亿美元。(alphabay市场从2014年开始运营,2017年7月已经关闭)

来自非洲西部的这群以BEC欺诈为主的网络犯罪分子,似乎并不注重提高自己的网络技能,也不在意如何隐藏自己的操作,没有证据显示他们在提升攻击活动安全性方面有过努力;然而,尽管如此,他们仍然能够成功地从各类上市公司/组织中窃取数十亿美元。

更多资料

《思科2017年中网络安全报告》中重点阐释了BEC攻击的严重危害,但目前大多数的企业和组织都未能充分意识到这一点。MottoIN为了提醒大家注意这种容易被忽视的、简单却有效的攻击类型,专门针对思科的报告做过解读,传送门:

http://www.mottoin.com/104335.html

http://www.mottoin.com/104547.html

知识来源: www.mottoin.com/105102.html

阅读:91177 | 评论:0 | 标签:安全报告

想收藏或者和大家分享这篇好文章→复制链接地址

“情报分析:非洲西部的一伙黑客,通过BEC欺诈获利愈50亿美元”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词