你會檢視信箱內的轉寄設定嗎?提醒您,萬一駭客幫你設定了,往往當你發現時,信件幾乎都已遭長期轉寄,你的各種秘密都被第三者甚至競爭對手同步接收了。
根據趨勢科技觀察,善於利用信箱轉寄功能搜集企業情資的 BEC變臉詐騙集團,偏愛使用一些全球知名的免費電子郵件服務,方便駭客建立很多的帳號。其中 Gmail、Hotmail 及 Outlook 是變臉詐騙集團最愛的三大電子郵件服務。本文將分享 Gmail 自動轉寄功能發生過的個案。
◎趨勢科技 PC-cillin 雲端版可以防範網路釣魚攻擊,可以防範網路釣魚攻擊,避免帳密因為網路釣魚信被盜,進而暗中設定自動轉寄。》即刻免費下載立即掃描
密碼改到快記不住信件內容還是外洩這時你會怎麼做?
1.懷疑犯小人,暗中找出身邊間諜
2.懷疑中邪,桌上放乖乖鎮住衰神
3.檢查信箱是否被偷偷啟動自動轉寄
本文分析了一起專門攻擊全球大型企業且利用開放原始碼工具來躲避偵測的變臉詐騙 (BEC) 攻擊行動。
是一項威脅全球企業的嚴重問題。根據美國聯邦調查局 (FBI) 統計,變臉詐騙對受害者所造成的損失更甚於勒索病毒(勒索軟體,Ransomware),光 2021 年就在美國造成 24 億美元的損失。根據 FBI 報告,美國人民因勒索病毒、變臉詐騙及金融詐騙所損失的金額高達 69 億美元,其中變臉詐騙就占了一大部分。近期,變臉詐騙集團一直不斷利用合法 SMTP 郵件服務 (如 SendGrid ) 的失竊帳號來散發精心設計的郵件,藉此躲避郵件服務供應商與資安服務的電子郵件過濾功能。透過這些正牌服務,詐騙集團的電子郵件看起來似乎也就變得合法 (儘管是偷來的帳號)。透過這樣的手法,再配合一些網路犯罪工具與開放原始碼工具,就能讓詐騙集團大幅提高變臉詐騙攻擊的成效與成功率。
2022 年 9 月,趨勢科技研究員發現了一波疑似新的變臉詐騙攻擊正在攻擊全球各地的大型企業,我們認為這波行動最早可追溯至 2022 年 4 月。由於歹徒會仔細挑選其下手目標,並且使用開放原始碼工具,因此這波行動持續了好一段時間而沒被發現。
這波攻擊在電子郵件中夾帶了一個 HTML 檔案,內含經過加密編碼的 JavaScript 腳本。經過我們分析之後研判這應該是一起針對性攻擊,因為其 JavaScript (JS) 及來自伺服器端的 PHP 程式碼當中都啟用了某些功能。
就如同其他典型的變臉詐騙一樣,這波攻擊的第一階段也是利用針對某特定目標使用者的魚叉式網路釣魚 (Spear Phishing )攻擊。歹徒使用了一個惡意的 JavaScript 附件 (趨勢科技命名為「Trojan.JS.DYBBUK.SMG」),它會將使用者導向一個假冒的 Microsoft 網路釣魚網頁。圖 1 顯示這波攻擊使用的惡意郵件。
繼續閱讀變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC) 是否比勒索病毒(勒索軟體,Ransomware) 更具破壞力?變臉詐騙集團有哪些手法?企業如何強化防禦能力?趨勢科技威脅情報副總裁 Jon Clay 在本文中為您解說這些問題,協助您降低資安風險。
重點預覽:
2021 年 BEC變臉詐騙造成的損失高達 24 億美元,勒索病毒只有 4,920 萬美元BEC 變臉詐騙比勒索病毒黑心錢賺更兇的四個原因變臉詐騙使用的電子郵件服務的五種類型變臉詐騙防禦策略有關變臉詐騙的相關數據以及管理資安風險的更多資訊
變臉詐騙 (BEC) 亦稱電子郵件帳號入侵 (EAC),是一種電子郵件網路犯罪,其主要目的是要誘騙企業將款項匯到駭客的銀行帳戶。主要有五種型態:假發票詐騙、執行長詐騙 (假冒企業 CXX 高層主管要求底下員工匯款)、盜用帳號、假冒律師、資料竊取。
表面上,似乎每天都有關於某家企業又被勒索數百萬美元的新聞,例如:俄羅斯 REvil 勒索病毒集團駭入使用 Kaseya IT 管理軟體的企業並勒索 7 千萬美元 的贖金。儘管勒索病毒經常占據媒體版面,但其損失金額跟變臉詐騙相比,其實是小巫見大巫。根據 FBI 的報告指出,2021 年變臉詐騙造成的損失金額高達 24 億美元,但勒索病毒造成的損失卻只有 4,920 萬美元。
BEC 變臉詐騙比勒索病毒黑心錢賺更兇的四個原因:
繼續閱讀奈及利亞「經濟與金融犯罪委員會」 (EFCC) 在一項名為「Operation Killer Bee」(殺人蜂行動) 的突襲誘捕行動當中逮捕了三名涉及全球詐騙的奈及利亞籍嫌犯。趨勢科技在這項行動當中提供了有關該集團的背景資訊及做案手法。
2020 年初,就在「石油輸出國組織」 (OPEC) 為了因應 新冠肺炎(COVID-19) 疫情而決定在俄羅斯與沙烏地阿拉伯地區減產前夕,許多石油天然氣產業的公司都遭到了網路攻擊,駭客使用的是Agent Tesla 惡意程式。我們分析了這起攻擊使用的惡意程式樣本 (趨勢科技命名為 TrojanSpy.MSIL.NEGASTEAL.THCAFBB,SHA-256 雜湊碼 0f67d58cb68cf3c5f95308f2542df6ff2e9444dc3efe9dd99dc24ab0f48a4756),找出了惡意程式背後的駭客集團以及他們的做案手法 ─ 假冒埃及某大型石油公司。
趨勢科技所分析的惡意程式會竊取某些應用程式和通訊協定的資訊與登入憑證,如:瀏覽器、電子郵件用戶端、FTP 檔案傳輸協定、Wi-Fi 等等。除此之外,也會鍵盤側錄輸入並擷取螢幕截圖。
除了使用 Agent Tesla 惡意程式之外,該集團還使用 Yandex 電子郵件服務來當成資料接收站。從監測資料當中我們觀察到很多偵測案例都出現在中東及東南亞地區,這一點相當合理,因為大多數的石油公司及生產設備和工廠都集中在這些地區。圖 1 的感染分布圖顯示的是資料接收站的資訊。
繼續閱讀有別於過去幾年變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)大多假冒企業高階主管或最高管理階層,新的趨勢是冒用一般員工的姓名。這類假冒一般員工身分的詐騙郵件數量突然暴增,而其手法大多是誘騙受害人進行銀行轉帳、變更薪資轉帳帳戶,或騙取其他企業相關資訊。
我們也發現,變臉詐騙集團會長時間使用相同的管道和技巧,而非只用於一次的攻擊行動,這樣他們才能追蹤被假冒或被詐騙的受害人是否有反映任何問題。
本文分析了變臉詐騙 (BEC) 集團使用的五種主要電子郵件服務,以及他們在詐騙過程中常用的關鍵字和網域名稱。
變臉詐騙 (BEC) 就如同許多善於利用職場環境的網路攻擊和威脅一樣,目前仍是造成企業最大財務損失的網路犯罪之一,儘管其受害者的數量正逐漸減少。根據趨勢科技對變臉詐騙的持續監控顯示,這類活動的數量在今年一直穩定增加。
趨勢科技一直有在持續觀察這股穩定的成長趨勢,但它在 8 月份突然竄升,也因此特別引起我們注意。有別於過去幾年變臉詐騙大多假冒企業高階主管或最高管理階層,我們發現變臉詐騙出現一種趨勢是專門冒用一般員工的姓名。這類假冒一般員工身分的危險郵件數量突然暴增,而其手法大多是誘騙受害人進行銀行轉帳、變更薪資轉帳帳戶,或騙取其他企業相關資訊。今年第 1 季我們針對趨勢科技 Cloud App Security 雲端應用程式防護推出了「姓名冒用」(Display Name Spoofing) 變臉詐騙偵測技術來解決這項問題。隨後,我們就在美洲地區偵測到最多的變臉詐騙。
繼續閱讀