經(jīng)驗(yàn)豐富的詐騙犯在仔細(xì)地處理了一份電子郵件妥協(xié)案后，從一家美國(guó)公司手中奪走了1500萬(wàn)美元，這項(xiàng)妥協(xié)花了大約兩個(gè)月才完成。

這名網(wǎng)絡(luò)犯罪分子在獲得有關(guān)一項(xiàng)商業(yè)交易的電子郵件對(duì)話(huà)后，以外科手術(shù)般的精準(zhǔn)執(zhí)行了他們的計(jì)劃。他們把自己插進(jìn)了交易所，轉(zhuǎn)移了付款，并能將盜竊行為隱藏得足夠長(zhǎng)時(shí)間，以便拿到錢(qián)。

盡管研究人員調(diào)查了一個(gè)受害者的事件，但他們發(fā)現(xiàn)了一些線(xiàn)索，表明建筑、零售、金融和法律部門(mén)的數(shù)十家企業(yè)都在他們的目標(biāo)名單上。

[[344917]]

電子郵件第一階段

在演員確定了目標(biāo)后，他們花了大約兩個(gè)星期的時(shí)間嘗試訪(fǎng)問(wèn)電子郵件帳戶(hù)。一到，他們又花了一周時(shí)間從受害者的郵箱里收集信息，并確定了一個(gè)機(jī)會(huì)。

負(fù)責(zé)調(diào)查這起事件的migrate公司的首席工程官arielparnes告訴BleepingComputer，他們的研究人員沒(méi)有在受害者系統(tǒng)上發(fā)現(xiàn)惡意軟件，這表明電子郵件登錄存在漏洞。

不過(guò)，帕恩斯告訴我們，電子郵件訪(fǎng)問(wèn)是不夠的。由于參與者隨時(shí)可能丟失這些信息，他們創(chuàng)建了電子郵件轉(zhuǎn)發(fā)規(guī)則，以從受監(jiān)視的電子郵件收件箱中獲取消息。

通過(guò)使用microsoftoffice365電子郵件服務(wù)冒充交易雙方，網(wǎng)絡(luò)犯罪分子將能夠繼續(xù)攻擊。

Miligate說(shuō)，威脅參與者使用Office 365帳戶(hù)發(fā)送電子郵件，以減少懷疑和逃避檢測(cè)。他們還通過(guò)GoDaddy注冊(cè)商(Wild West域名)注冊(cè)域名，這些域名與合法企業(yè)使用的域名相似(其中很多是在美國(guó))。

這些細(xì)節(jié)讓Midget建立了一個(gè)模式，并發(fā)現(xiàn)了150多個(gè)這些流氓域名，揭示了網(wǎng)絡(luò)犯罪集團(tuán)的更大活動(dòng)。

在四周的時(shí)間里，攻擊者利用從高級(jí)管理人員的收件箱中收集到的信息，小心地推進(jìn)了他們的計(jì)劃。他們?cè)谶m當(dāng)?shù)臅r(shí)候利用假域名接管了對(duì)話(huà)，為資金轉(zhuǎn)移提供了修改過(guò)的細(xì)節(jié)。

第二階段-保護(hù)戰(zhàn)利品

不過(guò)，這并不是結(jié)束。當(dāng)資金流向錯(cuò)誤的賬戶(hù)時(shí)，銀行可以鎖定交易，并及時(shí)標(biāo)記錯(cuò)誤。威脅參與者很清楚這一細(xì)節(jié)，并為這一階段做好了準(zhǔn)備。

為了隱藏盜竊行為，直到他們把錢(qián)轉(zhuǎn)移到外國(guó)銀行并使其永遠(yuǎn)丟失，攻擊者使用收件箱過(guò)濾規(guī)則將郵件從特定的電子郵件地址移動(dòng)到一個(gè)隱藏的文件夾中。

這一舉動(dòng)讓合法收件箱擁有者不知道有關(guān)匯款的溝通。米蒂亞說(shuō)，這場(chǎng)戲持續(xù)了大約兩周，足以讓這名演員的1500萬(wàn)美元消失。

Midge在這起事件中的作用是調(diào)查受害者公司意識(shí)到他們的錢(qián)輸給了網(wǎng)絡(luò)罪犯之后發(fā)生了什么。研究人員正在幫助聯(lián)邦調(diào)查局和美國(guó)特勤局追蹤襲擊者。

通過(guò)遵循一組簡(jiǎn)單的建議，組織可以加強(qiáng)對(duì)此類(lèi)攻擊的防御，其中包括在Office 365中啟用雙因素身份驗(yàn)證和防止電子郵件轉(zhuǎn)發(fā)到外部地址。

此外，Midge建議：

• 強(qiáng)制Office 365密碼更新
• 考慮阻止電子郵件自動(dòng)轉(zhuǎn)發(fā)，讓網(wǎng)絡(luò)罪犯更難竊取你的信息
• 搜索收件箱中的隱藏文件夾
• 阻止可用于規(guī)避多因素身份驗(yàn)證的舊電子郵件協(xié)議，如POP、IMAP和SMTP1
• 確保對(duì)郵箱登錄和設(shè)置的更改被記錄并保留90天
• 啟用對(duì)可疑活動(dòng)(如外部登錄)的警報(bào)，并分析服務(wù)器日志中是否存在異常電子郵件訪(fǎng)問(wèn)
• 考慮訂閱域管理服務(wù)
• 提高對(duì)電匯交易的認(rèn)識(shí)和審查控制(除了電子郵件，還包括電話(huà)驗(yàn)證，以及驗(yàn)證簽名和帳戶(hù))