變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC) (Business Email Compromise,亦稱「商務電子郵件入侵」,簡稱 BEC) 這幾年來在全球瘋狂成長,專家預測這項威脅在 2018 年將達到 90 億美元的規模。由於變臉詐騙手法簡單有效,因此未來肯定將持續成為歹徒最青睞的攻擊之一,尤其是那些缺乏專業工具、知識和技術而無法從事其他複雜攻擊的不肖之徒。
去年我們趨勢科技花了九個月的時間 (2017 年 1 月至 9 月) 仔細研究了各種變臉詐騙案例,希望能從中發掘一些發展趨勢以及歹徒使用的工具和技巧,進而描繪出今日變臉詐騙的整體樣貌。
變臉詐騙兩大技巧
網際網路犯罪申訴中心 (Internet Crime Complaint Center,簡稱 IC3) 將變臉詐騙分成五大類型。不過,我們在追蹤研究的期間發現,變臉詐騙可根據其攻擊技巧只分成兩大類:
- 竊取帳號登入憑證:這類技巧通常使用鍵盤側錄程式和網路釣魚套件來竊取目標企業網頁郵件 (webmail) 的帳號密碼。
- 單純利用電子郵件:這項技巧基本上是發送一封電子郵件給目標企業財務部門的員工,其對象通常是企業的財務長 (CFO)。這封電子郵件會假冒企業的高階主管,並要求員工匯一筆款項給某供應商或外包商,或是幫其個人暫時代墊某筆款項。
竊取帳號登入憑證的技巧還可細分為兩種:第一種使用的是惡意程式,另一種使用的是網路釣魚。
變臉詐騙最喜歡的檔名:採購訂單
在仔細觀察惡意附件檔案的樣本之後,我們發現歹徒使用的附件檔名有一定的規律,以下就是最常用的幾種檔名類型:
惡意程式附件檔最常使用的幾種檔名類型
(根據 VirusTotal 的樣本)。
在使用惡意程式的變臉詐騙方面,最活躍的惡意程式有兩個:第一個是叫做「Ardamax」的軟體,售價 50 美元,提供了變臉詐騙所需的基本功能,另一個叫做「LokiBot」,是變臉詐騙集團越來越常用的惡意程式家族。
反觀單純採用電子郵件的變臉詐騙則主要仰賴社交工程技巧。雖然社交工程技巧原本就是大多數變臉詐騙的重要元素之一,但純粹使用電子郵件的變臉詐騙,其社交工程技巧要高明許多,很能掌握人類的心理。簡單來說,這類攻擊會讓電子郵件看其來相當具說服力,並且會巧妙運用電子郵件的「主旨」、「回覆地址」及「寄件人」等欄位。
刻意註冊看似受害機構高階主管個人的電子郵件,或註冊模仿被害企業的網域。
除了前述手法之外,變臉詐騙集團還會註冊一些看似受害機構高階主管個人的電子郵件地址。他們會到一些狡猾的免費網頁郵件服務開立信箱,或者註冊一個模仿被害企業的網域。
變臉詐騙電子郵件所用技巧的分布情況大致如下:
電子郵件變臉詐騙所使用的技巧 (回覆地址、狡猾的網頁郵件、模仿被害企業的網域)。
此外,我們也研究了一下歹徒如何取得他們的犯案工具,尤其是攻擊中所使用的網路釣魚網站。變臉詐騙集團最常用使用網路釣魚套件來發動攻擊。我們從研究案例當中找到了一名變臉詐騙歹徒,並且找出他所使用的工具以及取得管道。
趨勢科技在好幾個網路釣魚網站發現這名歹徒的蹤跡,因此推論變臉詐騙嫌犯應該都會架設多個網路釣魚網站來從事詐騙。他們大多活躍於地下犯罪市場,並且從中取得他們所需的詐騙工具。而且,地下市場甚至還有一些專門給變臉詐騙新手的教學資源,協助他們快速上手。換句話說,變臉詐騙歹徒可以很輕易地獲得它們所需的工具和技巧。這份研究主要是希望能讓大家對變臉詐騙有一番更清楚的認識,包括:最新發展趨勢、歹徒的工具和技巧,以及一般消費者和企業該如何防範這類攻擊。
➔ 完整報告:變臉詐騙 (BEC) 技巧發展趨勢追蹤
原文出處:Delving into the World of Business Email Compromise (BEC)
