駭客變臉詐騙攻擊行動來襲,亞洲企業成為攻擊目標 ,單一企業損失金額可達 13 萬美金

新一波駭客變臉詐騙「Olympic Vision」攻擊行動來襲,已入侵亞洲及中東地區,台灣企業請提高警覺!

所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 是網路犯罪集團透過入侵企業的商務電子郵件系統來進行牟利。常見的手法為入侵企業財務人員的電子郵件帳號來攔截預定好的轉帳交易,或者假借高階主管名義寄發郵件,指示執行新的轉帳交易將款項錢轉入駭客所掌控的銀行帳戶。FBI 預估遭受變臉詐騙攻擊形式的受駭企業平均損失金額為美金130,000,高達四百萬台幣 !

mail2

此波趨勢科技最新發現的「Olympic Vision變臉詐騙攻擊行動係寄出主旨與財務相關的緊急事件的電子郵件給企業內部的財務人員,一旦財務人員開啟此郵件中所附的檔案,即被植入Olympic Vision鍵盤側錄後門程式,駭客將可輕易取得包含財務、營運的機密資料。在亞洲受攻擊的國家包含大陸印度印尼馬來西亞及泰國,涵蓋房地產、製造、營造等多個產業。

趨勢科技資深技術顧問簡勝財表示,過去台灣企業遭受此類變臉詐騙攻擊手法的案例已有多起,雖然目前針對此波「Olympic Vision」變臉詐騙攻擊台灣尚未有重大災情傳出,但有為數眾多的台灣廠商於大陸有設置分公司或是業務往來,面對鎖定商務電子郵件的目標性攻擊,企業不可不防。並提醒企業內各部門人員都應該有資安意識,養成良好的郵件使用習慣,在開啟任何收到的電子郵件之前,特別是與重大業務相關的郵件,都請務必先確認一下,或是透過其他來源確定寄件人身分。

「Olympic Vision」變臉詐騙攻擊行動鎖定中東與亞太地區企業

根據美國 FBI 估計,平均每家企業因變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 攻擊案件所造成的損失金額約為 130,000 美金。企業受害的原因,不外乎是員工不熟悉今日的社交工程技巧,以及企業網路架構不足以防止威脅進入網路。我們在「Olympic Vision」這項專門攻擊美國、中東與亞洲地區的 BEC 攻擊行動當中,很明顯地看到這樣的情況。

此攻擊的源頭可追溯至奈及利亞的拉哥斯 (Lagos) 和馬來西亞的吉隆坡 (Kuala Lumpur),其攻擊目標涵蓋房地產、製造、營造等多個產業。

圖 1:變臉詐騙攻擊行動的目標分布 (按地區)。
圖 1:變臉詐騙攻擊行動的目標分布 (按地區)。

 

亞太地區歐洲與中東北美
中國
印度
印尼
馬來西亞
泰國
德國
伊朗
伊拉克
荷蘭
卡達
沙烏地阿拉伯
斯洛伐尼亞
西班牙
阿拉伯聯合大公國
英國
辛巴威
加拿大
美國

表 1:「Olympic Vision」變臉詐騙/BEC 攻擊行動的受害國家。

變臉詐騙在過去幾年當中已逐漸成為企業的一大威脅,為此 FBI 不得不發出 公告 來提醒企業小心防範。在這類攻擊當中,網路犯罪集團會入侵某家企業的商務電子郵件系統,更確切來說,是入侵該公司出納人員的電子郵件帳號。網路犯罪集團藉由入侵這些人員的電子郵件帳號來攔截預定好的轉帳交易,或者下令執行新的轉帳交易,目的就是要將錢轉入他們所掌控的銀行帳戶。

BEC 主要仰賴社交工程技巧來達成目的。有些 BEC 詐騙的歹徒甚至會假冒公司高層主管向會計人員佯稱要進行一筆祕密交易,因此需將款項匯至某個戶頭。

圖 2:歹徒在 變臉詐騙攻擊當中利用受害者的電子郵件帳號發信。
圖 2:歹徒在 變臉詐騙攻擊當中利用受害者的電子郵件帳號發信。

 

如上所述,每件變臉詐騙攻擊案例所帶來的損失相當可觀。歹徒的潛在獲利與其所支付的代價有如天壤之別,歹徒多半只需用到一般的後門程式 (網路價格不到 50 美元) 以及在網路上調查受害目標及其員工背景資料的開銷。

以此攻擊案例為例,歹徒使用了一個名叫「Olympic Vision」的鍵盤側錄程式,並透過電子郵件附件的方式將此程式寄給目標對象。根據我們監控變臉詐騙攻擊的經驗,這類電子郵件的內容通常會以事情急迫為藉口來說服收件人打開附件檔案。

圖 3: 變臉詐騙/BEC 攻擊第一階段的電子郵件試圖說服收件人安裝其後門程式。
圖 3: 變臉詐騙/BEC 攻擊第一階段的電子郵件試圖說服收件人安裝其後門程式。

 

圖 4:變臉詐騙/BEC 攻擊說服受害人匯款至他們掌控的銀行帳戶。
圖 4:變臉詐騙/BEC 攻擊說服受害人匯款至他們掌控的銀行帳戶。

 

Olympic Vision 是我們在變臉詐騙攻擊行動當中見過的第四個惡意程式,先前出現過的還有 Predator Pain、Limitless 以及 HawkEye。Olympic Vision 與之前的 BEC 惡意程式類似,會從目標企業竊取各種資訊,而製作這個惡意程式的工具套件只需 25 美元就能買到。有關此惡意程式的更多資訊,請參閱我們「Olympic Vision 技術簡報 (Olympic Vision Technical Brief)」一文。

我們嘗試在網路上尋找 Olympic Vision 鍵盤側錄程式的活動蹤跡,並明確追查到了幕後的二名奈及利亞網路犯罪份子,一名位於奈及利亞的拉哥斯,另一名位於馬來西亞的吉隆坡。奈及利亞網路犯罪份子涉入此變臉詐騙攻擊行動,讓我們想起了去年我們監測到的  HawkEye BEC 攻擊行動。該行動主要攻擊小型企業,同樣也是兩位奈及利亞網路犯罪份子所為。目前我們正與執法機關通力合作,試圖捉拿前述的兩位嫌犯。

如何防範 BEC 攻擊

由於變臉詐騙攻擊非常仰賴社交工程技巧,因此,教育員工如何分辨這類詐騙,對於防止這類攻擊有莫大幫助。此外,很重要的一點是安裝一套能夠偵測並攔截 BEC 相關電子郵件與惡意程式的防護,以便能夠在它們進入企業網路時加以攔截。

趨勢科技 InterScan Messaging Security 虛擬裝置即具備了先進的社交工程攻擊防護,可有效防止變臉詐騙攻擊當中所使用的社交工程電子郵件。此外,趨勢科技的客製化防禦 Custom Defense 客製化防禦解決方案當中的 Deep Discovery Analyzer 也可協助企業偵測 Olympic Vision  和其他來自電子郵件的威脅。

除了這些解決方案之外,我們也建議您採取一些最佳實務原則來保護您的企業,其中之一就是養成良好的電子郵件習慣 (例如,在開啟任何收到的電子郵件之前,都務必先確認一下,或是透過其他來源確定寄件人身分)。如需更詳細的內容,請參考我們「對抗商務電子郵件入侵詐騙:您如何著手?(Battling Business Email Compromise Fraud: How Do You Start?)」一文。

其他 變臉詐騙/BEC 攻擊相關資訊

若要了解之前我們所調查過的 變臉詐騙/BEC 攻擊行動,請參閱以下文章:

 

原文出處:Olympic Vision Business Email Compromise Campaign Targets Middle East and Asia Pacific Companies作者:Ryan Flores (威脅研究經理)