變臉詐騙/執行長 CEO詐騙/BEC- Business Email Compromise企業郵件受駭詐騙 - 資安趨勢部落格

不再只假冒 CXO , 冒充一般員工的 BEC 詐騙郵件數量暴增

2022 年 05 月 09 日2022 年 04 月 14 日趨勢科技 TrendMicro

有別於過去幾年變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)大多假冒企業高階主管或最高管理階層，新的趨勢是冒用一般員工的姓名。這類假冒一般員工身分的詐騙郵件數量突然暴增，而其手法大多是誘騙受害人進行銀行轉帳、變更薪資轉帳帳戶，或騙取其他企業相關資訊。
我們也發現，變臉詐騙集團會長時間使用相同的管道和技巧，而非只用於一次的攻擊行動，這樣他們才能追蹤被假冒或被詐騙的受害人是否有反映任何問題。

BEC變臉詐騙常用的五種電子郵件服務

本文分析了變臉詐騙 (BEC) 集團使用的五種主要電子郵件服務，以及他們在詐騙過程中常用的關鍵字和網域名稱。

變臉詐騙 (BEC) 就如同許多善於利用職場環境的網路攻擊和威脅一樣，目前仍是造成企業最大財務損失的網路犯罪之一，儘管其受害者的數量正逐漸減少。根據趨勢科技對變臉詐騙的持續監控顯示，這類活動的數量在今年一直穩定增加。

figure1-analyzing-email-types-for-BEC — 圖 1：2021 年 1 月至 9 月的變臉詐騙偵測比例。資料來源：趨勢科技 Smart Protection Network™ (SPN) 全球威脅情報網。

趨勢科技一直有在持續觀察這股穩定的成長趨勢，但它在 8 月份突然竄升，也因此特別引起我們注意。有別於過去幾年變臉詐騙大多假冒企業高階主管或最高管理階層，我們發現變臉詐騙出現一種趨勢是專門冒用一般員工的姓名。這類假冒一般員工身分的危險郵件數量突然暴增，而其手法大多是誘騙受害人進行銀行轉帳、變更薪資轉帳帳戶，或騙取其他企業相關資訊。今年第 1 季我們針對趨勢科技 Cloud App Security 雲端應用程式防護推出了「姓名冒用」(Display Name Spoofing) 變臉詐騙偵測技術來解決這項問題。隨後，我們就在美洲地區偵測到最多的變臉詐騙。

繼續閱讀

CEO 邀請加入Teams會議?竟是駭客冒充的!

2022 年 03 月 08 日2024 年 03 月 29 日趨勢科技 TrendMicro

美國的科技部落格網站 VentureBeat在最近的一篇文章中將Microsoft Teams稱為“網路釣魚攻擊的新前線”。有越來越多駭客從傳統的網路釣魚(Phishing)作法轉向使用其他平台，像是最近有超過2.7億月活躍使用者的 Teams。

Hackers Are Targeting Microsoft Teams With Malware Attacks

CEO 電視採訪的片段以消音形式,加入會議,聲稱連線不良,要求傳送特定檔案連結

趨勢科技的研究顯示，駭客會將執行檔加入Teams對話串，以便利用木馬程式來感染受害者的裝置。攻擊者透過入侵使用者的郵件帳號（或用竊取的Microsoft 365帳密）來取得存取權限。一旦進入，他們可以繞過保護措施並連上各種系統。
趨勢科技的研究顯示，駭客會將執行檔加入Teams對話串，以便利用木馬程式來感染受害者的裝置。攻擊者透過入侵使用者的郵件帳號（或用竊取的Microsoft 365帳密）來取得存取權限。一旦進入，他們可以繞過保護措施並連上各種系統。

繼續閱讀

你收到郵件及電話可能是假的!?-秘書、助理需留意的網路威脅

2021 年 07 月 27 日2021 年 09 月 07 日趨勢科技 TrendMicro

業務助理藉著郵件及電話處理申訴諮詢、帳單處理、與客戶的業務往來及負責直屬上司及團隊人員的行程管理。在這些日常的業務中潛藏著資訊外洩或惡意病毒感染、金錢遭竊等網路威脅。本文介紹助理人員應留意的網路威脅及對應對策。

將日常業務當作踏板的網路攻擊

粗心大意疏忽導致資訊外洩

不論職業種類每個人都應多加留意

繼續閱讀

《BEC 詐騙》高階主管請當心!Water Nue網路釣魚正鎖定Office 365帳號,準備海撈一票

2020 年 08 月 18 日2020 年 08 月 18 日趨勢科技 TrendMicro

自2020年3月以來,一連串針對Office 365帳戶發動的魚叉式釣魚攻擊,它的目標是全球超過1,000家企業的高階主管,最近這類的BEC 變臉詐騙活動，則是針對了美國和加拿大的高階人員。

我們將幕後的詐騙份子稱為”Water Nue”，它們會針對財務主管騙取財務詐騙用的帳號密碼。釣魚郵件會將使用者導向偽造的Office 365登入網頁。一旦取得帳密並成功入侵了帳號，就會向下屬發送包含篡改過銀行資訊發票檔案的電子郵件，試圖透過轉帳來騙取金錢。

Water Nue網路釣魚工具很基本，但卻更難被鑑識人員發現

這波攻擊活動背後的攻擊者很有意思，原因有幾個。儘管他們成功地在全球範圍內攻擊高層員工，不過他們的技術能力似乎很有限。他們的網路釣魚工具很基本（沒有後門、木馬程式和其他惡意軟體），不過會利用公共雲服務來進行操作。使用雲端服務讓他們可以託管基礎設施並混淆自己的運作，讓他們的活動更難被鑑識人員發現。這種策略在網路犯罪分子中變得越來越普遍。

趨勢科技一開始是從網路釣魚攻擊所用的大批電子郵件網域注意到此次活動。我們發現大多數收件者都是企業的高階主管，特別是財務部門。我們所遇到的第一波案例中就有一起是非洲銀行高階財務主管寄送PDF檔發票給同事並指定香港的銀行帳號。這封郵件來自攻擊者測試功能時所用釣魚網站的IP地址。

這波攻擊活動仍在進行中，當用過的網域被舉報或列入黑名單，駭客就會切換到新的基礎設施。

800 多個高階主管帳密已經得手

攻擊者使用雲端郵件寄送服務（如SendGrid）來寄送帶有連結的電子郵件，將目標導向假的Office 365網頁。（我們已經聯繫SendGrid並分享了我們的發現。）一旦目標進行登入，帳密就會被一個PHP腳本所記錄。

Figure 1. Water Nue attack scenario — *圖1. Water Nue攻擊情境*

Figure 2. Sample of recorded credentials — *圖2. 被記錄的帳密*

儘管這並不是什麼新技術，不過攻擊是成功的，直到本文撰寫時，已經從各公司的高階主管收集了800多個帳密。

偽造公司郵件網域的帳號名稱,主旨與發票有關

從七月寄給高階主管的電子郵件裡，我們發現基礎網域是U10450540[.]ct[.]sendgrid[.]net,，加上名稱*getting-panes[.]sfo2*。

Figure 3. Email header “from” field shows New York and various email accounts indicating “Swiftme@{company domain names}” — *圖3. 郵件標頭”From”欄位顯示出”New York”和加上郵件帳號”Swiftme*@{公司網域名稱}”

“Swiftme”出現在釣魚郵件標頭，並且加上偽造公司郵件網域的帳號名稱。顯示的郵件標頭”From”和主旨也偽裝成語音信箱服務。”Swiftme”可能是暗示跟電子轉帳或電匯有關，並在取得帳密後揭示了攻擊活動目的。

要注意的是SendGrid平台原本似乎沒有加上X-Mailer。帶有不同X-Mailer和標頭的電子郵件可能是透過會混淆掃描引擎的工具所加上。底下是我們所看到的一些X-Mailer：

X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu) X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I) X-Mailer: iPhone Mail (8A293) X-Mailer: Opera7.22/Win32 M2 build 3221 X-Mailer: ZuckMail [version 1.00] X-Mailer: CommuniGate Pro WebUser v5.3.2

Figure 5. A phishing site imitates Office 365 login — *圖5.一個偽裝成Office 365登入網頁的釣魚網站*

Water Nue測試/部署機器的原始IP保留在收集帳密用釣魚網站伺服器內的文字檔裡。

Figure 7. The landing page index.html has a dummy speech function — *圖7. 登入頁面index.html內有無用的語音功能*

Figure 8. While the main collection function resides in app.js, command and control (C&C) location is embedded in JavaScript code — *圖8. 主要收集功能位在app.js，將命令和控制（C&C）位置內嵌在JavaScript碼中*

Figure 9. jQuery method is used to post the target’s credentials to hosting site — *圖9. jQuery method被用來將目標帳密送到託管網站*

偽裝成主管寄送電匯請求，誘騙收件者將錢匯入犯罪分子的帳號

我們發現一封來自同一IP的BEC詐騙郵件。這封惡意郵件是具備合法郵件標頭的發票請求，這是BEC詐騙裡常見的伎倆。

Figure 10. An email sample with the same originating IP — *圖10. 來自相同IP地址的郵件樣本*

Figure 11. A sample fake PDF invoice in a BEC email — *圖11. BEC詐騙郵件內的假PDF發票*

如何抵禦BEC詐騙和其他網路釣魚攻擊?

跟其他網路犯罪技術不同，網路釣魚(Phishing)和變臉詐騙攻擊或稱為商務電子郵件入侵 BEC)因為是針對特定收件者而可能很難偵測。攻擊者試圖入侵電子郵件帳號來取得業務運作相關的財務資訊和其他敏感資訊。

以下是一些關於防範電子郵件詐騙的建議：

提供員工教育訓練。通過資訊安全教育訓練來降低公司遭受入侵的風險。從CEO到一般員工都必須了解各類型的詐騙及遇到時的處理方式（與對方進行確認並檢查郵件詳細資訊）。
使用其他管道確認要求。在處理敏感資訊時，員工必須遵循驗證系統來謹慎行事（如多重簽名或其他驗證協定）。
檢查所有郵件。小心包含可疑內容的非常規郵件，如可疑寄件者、網域名稱、寫作風格和緊急要求。

在這裡討論的案例中，攻擊者的郵件本身沒有夾帶典型的惡意軟體。這也導致傳統安全解決方案無法保護帳號和系統來抵禦此類攻擊。使用者也可以在電子郵件閘道來檢查寄件者”sendgrid[.]net”。

趨勢科技可以保護各規模的企業來抵禦網路釣魚和BEC詐騙等惡意郵件攻擊。趨勢科技Hosted Email Security解決方案結合了增強的機器學習功能和專家規則，能夠分析電子郵件標頭和內容來阻止BEC詐騙和其他類型的郵件威脅。對於來源驗證和身份驗證，它使用了寄件者策略框架（SPF）、網域金鑰標識郵件（DKIM）和以網域為基礎的進行郵件驗證、報告和一致性（DMARC）。

趨勢科技Cloud App Security解決方案增強了微軟Office 365和其他雲端服務的安全防護，透過沙箱惡意軟體分析來偵測BEC詐騙和其他進階威脅。它使用寫作風格DNA來偵測BEC詐騙的假冒行為並用電腦視覺來找出會竊取帳密的釣魚網站。它還會透過控制敏感資料使用狀況來保護雲端檔案分享抵禦惡意威脅和資料遺失等風險。