NIC亞洲銀行發生的SWIFT網路劫案凸顯出商業流程入侵的嚴重性

尼泊爾的NIC亞洲銀行是變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)最新的受害者,出現了透過SWIFT系統的詐騙性金融轉帳。這場網路劫案的幕後駭客試圖將竊來的錢轉到多個國外帳號,如日本、英國和新加坡以及紐約渣打銀行和Mashreq銀行等外幣帳戶。

NIC亞洲銀行向中央銀行(尼泊爾國家銀行)回報了此一事件。截至2017年11月6日,NIC亞洲銀行與其他金融機構(如KPMG India和印度中央調查局)合作阻止非法交易,取回了4.6億尼泊爾盧比(約合445.1萬美元)。

[相關資訊:Security 101:商業流程入侵(Business Process Compromise]

 

NIC亞洲銀行是近來SWIFT相關劫案的最新受害者,去年孟加拉中央銀行發生的相關事件損失了至少8,100萬美元。網路犯罪分子將SWIFT相關基礎設施作為目標,讓厄瓜多和越南的金融機構也都上了頭條新聞

[相關資訊:你企業內的大型主機是否暴露在危險中?你的商業流程可能會受到威脅。]

商業流程入侵破壞了管理公司運作的基礎架構完整性,像是利用其漏洞或使用資料竊取或變更惡意軟體來加以感染。在亞洲銀行的案例中,據報專門用於處理SWIFT交易的系統也被用在其他用途(如電子郵件)。這次的劫案是在排燈節時進行,這在尼泊爾是五天的國定假日,該國的銀行和金融機構在這期間也都關閉。

 

[相關資訊:網路犯罪分子如何利用你的資料來對付你]

商業流程入侵不僅被用來打擊金融機構。從物流和航運、教育和資料/商業服務零售業,不管組織是大是小都很可能遭受攻擊。 Continue reading “NIC亞洲銀行發生的SWIFT網路劫案凸顯出商業流程入侵的嚴重性”

前蘇聯國家的銀行遭受商業流程入侵(BPC)攻擊,損失約4,000萬美元

不管是大型銀行還是中小企業都可能會遭受商業流程入侵(BPC)攻擊。不過還是有辦法防範或減輕它所造成的影響….

 

金融機構是商業流程入侵(BPC)攻擊的主要目標之一,就以2016年的孟加拉銀行事件為例,這起利用銀行內部流程的複雜性攻擊導致了8,100萬美元被竊走。而在最近的另外一起事件中,商業流程入侵(BPC)攻擊了多家前蘇聯國家的銀行,造成約4,000萬美元的損失。

商業流程入侵(BPC)攻擊會惡意操弄正常的內部流程。在這些最新的攻擊中,攻擊者結合了現實中的詐騙以及網路攻擊。第一部分是利用了透支額度(OD),這指的是金融簽帳卡允許使用者使用多少超出帳戶實際存款的金額。在這起案例中,攻擊者派出許多人申辦有金融簽帳卡的銀行帳戶。然後將卡片送到位於歐洲各國的惡意份子手上。

攻擊者還利用網路釣魚活動來針對銀行員工,目的是要在他們的系統上安裝惡意軟體(趨勢科技偵測為TROJ_MBRWIPE.B)。這種惡意軟體成為攻擊者進入銀行網路和系統的後門。一旦進入,攻擊者會使用銀行的VPN憑證來連上第三方的支付處理服務網路,接著植入各種惡意軟體,包括能夠連上控制卡片管理基礎設施的監控工具。同時還會安裝其他軟體如合法的監控工具Mipko來取得螢幕截圖和按鍵側錄等等。

這場精細策劃並實行的搶劫成為了商業流程入侵(BPC)攻擊的完美範例。這些攻擊是對企業來說日益嚴重的問題,根據2013年至2015年的資料,企業已經因為商業流程入侵(BPC)攻擊而損失至少31億美元 – 這數字在今日可能會更高。

五招防止商業流程入侵(BPC)攻擊

不管是大型銀行還是中小企業都可能會遭受商業流程入侵(BPC)攻擊。不過還是有辦法防範或減輕它所造成的影響: Continue reading “前蘇聯國家的銀行遭受商業流程入侵(BPC)攻擊,損失約4,000萬美元”

【BPC 商業流程入侵-優惠卷詐欺】星巴克禮品卡,企業優惠方案代碼…地下市場什麼都賣,什麼都不奇怪!

「電信公司提供給員工的語音、簡訊和網路資費特價的優惠碼 」,「飯店訂房時所輸入的企業方案優惠碼」你可以想像這些都可以被有心人士拿來販售嗎?

趨勢科技在地下市場看到許多關於詐欺自動化的產品和服務,規模大到足夠支撐起假造或濫用優惠券/促銷代碼經濟。另外值得一提的是,我們在地下市場中所看到的價格往往比合法管道更便宜3到10倍。

地下市場販賣可以檢查和暴力破解優惠券代碼的軟體。甚至提供影片教學,包括如何破解某些共乘服務的促銷碼。

 

以優惠卷形式所進行的免費贈品及折扣等詐欺行為,據報造成美國企業每年高達3到6億美元的損失。而且只要哪裡有利可圖,網路犯罪分子也就會往哪裡去。優惠券詐欺也是如此,趨勢科技發現相關活動在地下市場非常地活躍。

優惠券詐欺對企業來說代表什麼?在2012年,各大廠商都成為假優惠券受害者,一家消費性產品公司遭受了約128萬美元的損失。另一起優惠券詐欺則是在十年內從各公司竊取了至少2.5億美元

在現實中,它所產生的損失不只是無限暢飲的咖啡、免費搭車和飯店住宿,或是特價的3C產品。地下市場的優惠券詐欺可以延伸成為商業流程入侵(BPC),破壞到支撐業務運作的部分,也進而造成更大的影響。

 

優惠券詐欺和商業流程入侵

趨勢科技在地下市場看到許多種的優惠券詐欺手法。將其整合在一起,特別是關注在商業流程上,產生以下的視覺化圖表:


圖1:如何結合網路犯罪地下服務和優惠券詐欺來入侵傳統優惠卷交易的商業流程

圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程
圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程

Continue reading “【BPC 商業流程入侵-優惠卷詐欺】星巴克禮品卡,企業優惠方案代碼…地下市場什麼都賣,什麼都不奇怪!”

企業資安: 一次搞懂 BPC、BEC及 Targeted attack

商業流程入侵(BPC)、商務電子郵件入侵(BEC)及目標式攻擊:有什麼差異?

2015 年,在攻擊者取得 SWIFT 金融網路的資金交易代碼之後,一家厄瓜多銀行損失 1,200 萬美元。隔年,另有一起牽涉 SWIFT 的網路洗劫案例,造成孟加拉中央銀行損失 8,100 萬美元。同樣在 2016 年,一家越南銀行成功防止一起類似的攻擊事件,阻止攻擊者移轉 113 萬美元到攻擊者帳戶中。

我們將這一系列新的攻擊分類為商業流程入侵 (BPC),主謀偷偷修改關鍵流程及系統,以進行看似正常卻未經授權的操作。那麼 BPC 是如何運作?BPC 的獨特之處在哪,與商務電子郵件入侵或稱為變臉詐騙 (BEC) 或目標式攻擊有何相似之處?企業又要如何找出 BPC?

BEC變臉詐騙的五種類型

BPC 及 BEC 擁有同樣的最終目標 (即經濟利益),但兩者僅有這點相似。

BEC 是極度仰賴社交工程(social engineering )策略的詐欺手段,誘騙受害者移轉資金到詐欺犯名下帳戶。在 BEC 中,攻擊者通常假扮成與金融或電匯付款業務相關的執行長或任何高階主管。根據 FBI 指出,BEC 有下列五種類型:

  1. 偽造發票收據
  2. 執行長詐欺
  3. 帳戶入侵
  4. 偽裝律師
  5. 資料竊取

[請參閱:商務電子郵件入侵(變臉詐騙)是如何運作?]

BPC的三種類型

另一方面,BPC 則是更為複雜的攻擊,其中牽涉修改程序,產生與原先預期的不同結果。這往往能讓攻擊者獲得極高的經濟利益。根據趨勢科技所觀察到的案例,BPC 有下列三種類型:

  • 聲東擊西
  • 冒用身分
  • 五鬼搬運

 

[請參閱:商業流程入侵(BPC)的種類及個別案例]

鎖定目標攻擊及 BPC: 都能無限期留在網路中,而不被偵測到

針對性攻擊/鎖定目標攻擊(Targeted attack )及 BPC 間僅有一線之隔,兩者皆使用相同工具、技術及元件,且能在不受偵測的狀況下,滲透並留存於目標網路當中。兩者都能無限期留在網路中,而不被偵測到。然而,鎖定目標式攻擊的主要目的是滲透到公司中最重要的資產 (商業機密、智慧財產等),以進行商業間諜或破壞行為。另一方面,BPC 的詐欺犯主要是為取得不法利益。BPC 可能也會使用與鎖定目標式攻擊相同的手法,如情報收集、橫向移動,到維護和資料滲透等。

圖 1BPC、BEC 及目標式攻擊之間的差異與相似之處
圖 1BPC、BEC 及鎖定目標式攻擊之間的差異與相似之處

Continue reading “企業資安: 一次搞懂 BPC、BEC及 Targeted attack”

什麼是商業流程入侵 (BPC)?

所謂的 商業流程入侵 (BPC)  是指駭客暗中對企業的電子化流程或執行這類流程的系統動手腳,藉此獲取龐大利潤的一種攻擊手法。由於這類攻擊通常相當隱密,因此企業不容易察覺或發現流程有何異樣,因為遭到入侵的流程依然能夠正常執行,只是結果與預期不同。

什麼是商業流程入侵 (BPC)?

BPC 攻擊最大的特點就是歹徒對其攻擊目標的內部網路和系統以及該機構所採用的標準非常熟悉。因此才能駭入、滲透、挾持其商業流程,例如:會計、採購、製造、出納及配送等流程。

一個 BPC 攻擊的近期案例就是 孟加拉中央銀行遭到網路洗劫 。該起攻擊造成了高達 8,100 萬美元的損失,而且歹徒顯然非常熟悉 SWIFT 金融平台的運作,並且知道採用這套平台的銀行會有什麼樣的弱點。歹徒一旦入侵了孟加拉中央銀行的電腦網路,就能查出其內部的匯款程序,進而掌握該銀行的憑證來執行非法的匯款交易。

BPC 攻擊的目標還不只金融交易。2013 年,比利時安特衛普港 (Antwerp Seaport) 的貨櫃管理系統 即遭駭客入侵以走私古柯鹼和海洛因,並且成功越過了海關。

BPC 所使用的工具和技巧,與針對性攻擊大同小異,只不過其目的不在竊取敏感資料,而是藉由竄改受害者的商業流程來詐取錢財。BPC 有點類似所謂的「變臉詐騙」(亦稱「商務電子郵件入侵」,簡稱 BEC),因為兩者都會攔截正常的商業交易,只不過 BEC 駭客比較仰賴社交工程技巧,而不是直接篡改商業流程來達成目的。

 

商業流程入侵的種類

轉移匯款目的地

這類 BPC 攻擊利用的是目標機構出納系統的安全漏洞,因此駭客可透過正常管道將錢匯出去。

一個最好的例子就是薪資轉帳詐騙:駭客或內賊在薪資系統當中增加一些幽靈帳戶或假冒員工來從事薪資轉帳詐騙。

銀行轉帳詐騙也屬於這類:歹徒找到銀行轉帳系統的漏洞,然後篡改匯款帳號或者利用惡意程式將錢轉到自己帳戶。

運送非法物品

這類 BPC 攻擊利用商業流程來運送非法物品或傳送惡意軟體,進而獲得龐大利潤。

操縱金融交易

這類 BPC 攻擊主要目標在於影響金融交易、重大商業決策 (如併購) 等等。駭客的作法是在重要的業務系統或流程當中插入一些惡意資料。

舉例來說,駭客若要操縱股票交易,可以駭入交易軟體或系統來刻意操縱某些股票的價格。不肖的投資人就可經由這樣的市場波動而獲利數千甚至數百萬美元。 Continue reading “什麼是商業流程入侵 (BPC)?”

商業流程入侵 (BPC):進階目標式攻擊的下一個步驟

近幾年來,針對性攻擊/鎖定目標攻擊(Targeted attack )  已有長足發展,其會鎖定特定對象並採用越來越進階的技術來發動攻擊。一般來說,這類駭客會鎖定企業內的單一成員、竊取其憑證、登入帳戶,並冒用這個帳戶來尋找敏感資訊。變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)就是駭客將惡意活動推展到新境界的手法之一,其會運用密集研究與量身訂做的訊息來達到入侵目的。

不過,現在又有新的威脅曝光了:商業流程入侵 (BPC)。BPC 聽起來跟 BEC 很像,但卻是完全不同的概念。

BPC 的運作方式

從趨勢科技的這段影片可以看出,BPC 駭客並非鎖定受害組織中的特定成員,而是鎖定企業中的特定流程,這些流程是完成重要日常作業的關鍵環節。一旦侵入系統之後,駭客就會試圖透過活動、漏洞或整個系統進行滲透,並使用這項弱點作為攻擊主力。

這種攻擊模式的目的是要盡量取得組織的流程資訊,包括商業用的所有活動和系統。駭客可以從這裡查出相關流程和平台的漏洞,並進行巧妙的調整或操控。如此一來,從公司的角度來看,系統仍照常運作。但是,網路罪犯卻躲在背後竊取資料、詐取利潤,甚至盜取實際商品。

BPC 有成功過嗎?

Continue reading “商業流程入侵 (BPC):進階目標式攻擊的下一個步驟”