概述:
作为了一个商务电邮欺诈攻击(BEC)盛行之国:尼日利亚,号称拥有全球规模最大的鱼叉攻击类黑客组织,甚至时至如今,提到尼日利亚,邮件黑客仿佛已经成为了当地的特产,对于如此著名的行为,当然是有一段历史底蕴在里面的。详情看黑鸟大佬的文章:
一个来自尼日尼亚的邮件黑客团伙--London blue。不仅在本国境内运营,还发展了英国,美国下线。主要进行资金窃取。
London blue像一个正规公司一样运营,分工明确,有领导者,运营主管,邮件伪造者,负责制定针对受害者的邮件,销售(攻击者),背锅侠(负责去取钱的),人力资源(发展下线的)
London blue通过与信息贩子合作,收集全球潜在受害者的个人信息,再针对性的制作诱饵邮件进行攻击
通过调查显示该组织目标基本都是公司财务相关领导,70%是首席财务官,2%是CFO助手,其余是财务相关领导。
攻击目标十分广泛,涉及各行各业。小型工业到大型跨国企业都不放过,且特别针对贷款公司。攻击邮件一般不带有恶意软件,从而绕过安全检测。
背景
有关BEC目标的运营情报可以从各种开放源头收集,如LinkedIn; 然而,这份报告表明这些罪犯也在利用专有营销服务,以获取合法企业电子邮件地址列表。根据FBI互联网犯罪投诉中心(IC3),BEC是一个120亿美元的骗局。 以前Agari的研究表明,BEC是最受欢迎和最有效的电子邮件,每100封初始电子邮件回复中就有3.97名受害者。 平均付款35,000美元,BEC对这些犯罪组织来说是一件大生意.
BEC攻击电子邮件通常不包含任何恶意软件.
揭露 London Blue
Agari首席财务官雷蒙德林(Raymond Lim)获得了伦敦蓝(London Blue)306名目标受害者名单,2017年11月。该名单由商业数据提供商生成,几乎包含在内都是首席财务官,加上其他拥有首席财务官的人,如“首席执行官和首席财务官”或“首席财务官执行助理。”
受害者包括加利福尼亚州大学的CFO,一家主要的企业数据存储公司,一家着名的吉他制造商,赌场和酒店,养老院,以及各种类型的中小型企业。
2018年8月7日,London blue发送了一封针对Lim的攻击电子邮件,似乎来自Agari的首席执行官Ravi Khatod。 虽然实际发送电子邮件帐户位于daum.net域,但是电子邮件上的显示名称是Ravi Khatod。Agari然后积极与攻击者接触,初步了解该团伙的攻击手法
攻击方式的演变
根据一致对London blue的跟踪分析,以下时随时间变化的攻击手法
2011年:Craigslist诈骗
从2011年左右开始,该团队大量参与了Craigslist骗局。 涉及这些骗局,联系美国的卖家询问是否仍有待售商品
可用。 以下是这些骗局通常如何运作:
•如果卖家回应,London告诉他们他们可以用a支付该项目
经过认证的支票,但他们无法选择该物品,需要使用当地的“搬运工”。
•为了支付搬运工,威胁演员将支票写入物品的价格并且
要求卖方通过西联汇款将差价发送给“搬家公司”。
•美国的共犯通过FedEx或UPS向卖方发送支票。
•这些经过认证的支票是高质量的假冒产品;
2015年:凭证网络钓鱼
后过渡到凭据网络钓鱼攻击,主要集中在模拟企业用户使用的网页,例如Adobe ID,Dropbox和Microsoft
Office 365.这种转变发生在2015年左右,当时全球BEC袭击事件激增 根据时间背景,London的目的是获取凭据。然后通过获取的企业邮箱发送钓鱼邮件给其他员工。
一旦诈骗者掌握了员工的电子邮件凭证,他就可以偷偷摸摸地接管电子邮件帐户并将其用于各种恶意目的。
举个例子,房地产业一直是这些袭击的主要目标。攻击者获取房地产产权代理人邮箱后,监测房地产销售或租赁签约。到截止日期接近并且即将付款,诈骗者发送电子邮件给买方或出租人提供欺诈性电汇的帐号。电子邮件出现了完全合法,因为它是从房地产产权代理人的实际电子邮件帐户发送的。
一旦转移,钱就消失了 - 我们把这个骗局称为无家可归的购房者。
而且任何发送发票的公司都容易受到这些攻击。发票可以发送到实际客户购,使用与真实商品相同的发票形式,
将付款转移到诈骗者控制的帐户。经常为公司服务发送或支付数万美元的发票,可能需要数周甚至更长时间。几个月后他们才意识到自己被欺骗了。
获取公司网络的登录凭据可以更轻松地进行各种攻击:早期访问公共公司的收入报告,通过访问员工启用W-2诈骗工资数据和勒索软件
2016 商业邮件
2016后,该组织开始假装公司员工发送邮件进行诈骗,这一手法持续至今
2019 新攻击活动
•2019年1月11日:由London blue主要负责人之一收集
超过500名其他财务主管的信息,包括Raymond。
•2019年1月13日:包含受害者的信息的CSV文件
发送给另一位London blue处理。并补充相关数据,确定公司的首席执行官,然后在攻击期间冒充他人。
•2019年1月22日:员工将一批已处理的潜在客户发回主要负责人
,其中包含Raymond经过验证的电子邮件地址和Agari
当时的CEO。这是两批加工线索中的第二批。第一个是
于2019年1月16日返回主要演员。
•2019年1月28日:为准备一轮BEC攻击,发送了一封测试电子邮件,
攻击电子邮件帐户到该组的一个中央操作电子邮件地址。这个
测试电子邮件可能用于验证BEC电子邮件是否会成功发送到
目标。我们跟踪的所有BEC组都使用了类似的测试
•2019年1月28日:首次测试电子邮件发布后的三个半小时,伦敦蓝色
攻击电子邮件发送给Raymond,但被Agari Advanced Threat Protection阻止。
在2018年8月的BEC尝试中,该组织使用了一种比较常见的BEC诡计。付款是由供应商支付,电汇需要尽快处理。 在1月
,该集团改变了策略使用了兼并和收购主题。
在通用初始电子邮件意图引起回复后,攻击者表示
一家国际供应商接受了收购要约,并根据该条款
协议,30%的购买价格需要通过电汇预先支付
。 当然,直到“收购”已经公开公布,详情
新闻不得与其他任何人分享。
我们在此次最新攻击中,挑逗攻击者信息如下:
针对亚洲的攻击
2018年11月以来,该小组已经积累了近8,500个新的目标数据库
来自全球近7,800家不同公司的财务主管。 与他们相似
在先前的目标数据集中,多个这些目标位于美国。
欢迎移步公众号:威胁情报小屋查阅原文(https://mp.weixin.qq.com/s/doVESwcqwvIhGVh8cW0Tfw)
网友评论