< APT 攻擊 >鎖定中小企業變更供應商詐騙:歹徒如何利用35美元惡意軟體賺黑心百萬?

nfo@貴公司名字.com.tw
sales@貴公司名字.com.tw ….
中小業主請小心!!「官方」對外信箱內的社交工程郵件陷阱

趨勢科技最新的研究 – 深入HawkEye(鷹眼)裡,發現了各種網路犯罪分子利用監控受害者信箱所收集來的資訊以從企業竊取金錢的方法。其中的一個例子 – 「變更供應商」是當中最值得注意的,因為這類騙局可以為網路犯罪分子賺得數百萬美元。本文詳細介紹這種騙局,以及為什麼它會對中小型企業和使用者造成很大的威脅。

Hawkeye 鷹眼 中小企業

 

步驟一:選擇官方服務信箱成為犯罪目標

根據趨勢科技對此種騙局的監視顯示出它比一般攻擊要更加具有針對性也更加計畫長遠。網路犯罪分子在部署攻擊時往往是用「亂槍打鳥法」 – 將特製的電子郵件寄送到名單上的所有人(可能跟其他網路犯罪分子買來)。但我們在這此案例中所看到的則大不相同,這些網路犯罪分子專門針對中小型企業的公開電子郵件地址。我們的資料顯示出這些都是「官方」公司郵件地址,格式通常為info@companyname.com或sales@companyname.com。

圖1、目標郵件地址的類型

這是一種有趣的策略,因為公司的官方郵件地址通常用來接收來自未知寄件者的郵件,這就讓網路犯罪分子佔了一些好處。如果管理郵件帳號的團隊不夠精明到能夠識別社交工程郵件,就很有可能會打開這些網路犯罪分子所送來的郵件。

步驟二:進行接觸-放長線釣大魚

而網路犯罪分子在此騙局中和目標進行初次接觸的模式也和經常看到的不同。網路犯罪分子並沒有立即送出惡意檔案,而是送出真正用來連絡目標的電子郵件。

圖2、網路犯罪分子寄送給目標的初次郵件樣本

 

趨勢科技的研究中,稱這種技術為「放長線釣大魚」,因為它跟現實生活中的例子類似 – 攻擊者貌似無害的接觸目標,試圖得到目標的信任。一旦取得,攻擊者會寄送與對話相關但實際上是惡意的檔案(在此例中為HawkEye)給目標。在我們所監視的騙局裡,網路犯罪分子甚至將假日作為誘餌的一部分好提升其請求的急迫性。

圖3、網路犯罪分子寄送給目標帶有惡意檔案的電子郵件樣本

 

步驟三:即時攔截正在討論付款的電子郵件

一旦受害者感染了HawkEye,網路犯罪分子便能夠監視目標的活動,並且檢視可以利用來進行詐騙的資訊。正如我們前面所分享的,攻擊者的目標可以存取受害公司的電子郵件帳號。這樣做讓他們可以監視任何進行的對話,好加以劫持來進行「變更供應商」詐騙。

網路犯罪分子會尋找正在討論付款的對話,然後攔截對話並提供假帳戶資料給客戶。下面是樣本郵件截圖,擷取自類似的案例,其所使用的是新一代的Predator PainHawkEye(鷹眼): 一個只需 35 美元就可取得的簡易後門程式:

圖4、攻擊者將所付費用轉到自己帳戶的郵件樣本

 

一旦攻擊成功,客戶將付費給網路犯罪分子的帳戶而非實際廠商。

大豐收

雖然這種詐騙看起來技術並不複雜,它所需要的主要是利用受害者資料,但它對企業所造成的危害並不會比較小。根據美國網際網路犯罪申訴中心(IC3)去年對類似詐騙的公告揭露出這類騙局所造成的平均損失為55,000美元,有些受害人甚至損失高達80萬美元。假設網路犯罪分子能夠在一段時間內同時攻擊多個目標,就可以輕易地推論出他們可以透過這種騙局賺上數百萬美元。

 

關於我們對此種騙局和網路犯罪分子所用工具的詳細分析可以參考我們的研究報告,

深入HawkEye:奈及利亞網路詐騙如何利用簡單的鍵盤側錄程式來捕食中小型企業

 

@原文出處:Change of Supplier Fraud: How Cybercriminals Earned Millions Using a $35 Malware作者:Lord Alfred Remorin(資深威脅研究員)

延伸閱讀:
奈及利亞駭客新手法 「鷹眼」勒索全球中小企業
駭客鎖定中小企業,先釣電郵密碼,後詐鉅款,非法損失金額已超過六千萬

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接