<rp id="miz1i"></rp>
    1. <ruby id="miz1i"></ruby>
      您當前的位置是:  首頁 > 資訊 > 國內 >
       首頁 > 資訊 > 國內 >

      Check Point安全響應案例:Florentine Banker 黑客組織

      2020-04-30 14:01:08   作者:   來源:CTI論壇   評論:0  點擊:


        在全球趨向沒有戰爭的和平年代,互聯網領域卻在隨時上演著一幕幕沒有硝煙的攻防戰。企業應用、個人信息乃至巨額財產……在網絡世界稍有不慎就會造成不可逆的損失。值得慶幸的是,這場戰爭中有一群身經百戰的安全衛士,他們可以在用戶遭受威脅時化身網絡超級英雄,在幫助用戶挽回損失的同時,協助執法機構將黑客繩之于法。接下來,小編就用一次真實案例展示這些網絡衛士如何幫助用戶化險為夷。
        背景
        2019 年 12 月 16 日,Check Point 事故響應小組 (CPIRT) 受三家金融服務公司的委托,調查其聯合銀行賬戶欺詐性電子轉賬事件。在這起詐騙事件中,攻擊者試圖通過四筆銀行交易將 110 萬英鎊轉入無法識別的銀行賬戶。在銀行的緊急干預下,57 萬英鎊得到及時挽救,其余資金則有待執法機構進一步調查追回。
        如果場景似曾相識,那是因為不久前響應小組剛剛發布了一個由 CPIRT 接手的類似案件的報告。在該案件中,黑客竊取了中國風投公司向一家以色列初創企業提供的 100 萬美元資金。
        隨著調查逐步展開,幕后黑手“Florentine Banker”組織露出了真面目。從攻擊者數月以來對受害者的監控,到他們逐步將數十萬美元從毫無戒心的組織手里挪到自己的口袋中,這起復雜商務電子郵件入侵 (BEC) 攻擊的細節也全部浮出了水面。
        目標
        在深入研究收集到的所有證據之前,我們先來快速了解一下受害組織的整體情況。受害組織是英國和以色列的三家大型金融公司,他們通常每周都會為新合作伙伴和第三方提供商處理并轉移大量資金,并使用 Office 365 作為全公司的主要電子郵件提供商。
        犯罪的逐步開展
        鎖定目標之后,Florentine Banker 黑客組織先對目標公司內的個人發起有針對性的網絡釣魚攻擊。這些人可能是首席執行官、首席財務官或組織內負責執行金錢交易的任何其他關鍵人員。
        在這次案例中,第一批網絡釣魚電子郵件僅瞄準了兩名人員,并通過其中一人獲得了用戶憑證。這些網絡釣魚攻擊交替使用不同的方法持續了數周,偶爾會攻擊新的員工,直到掌握公司整體財務狀況為止。

       
        Florentine Banker 組織發送的網絡釣魚電子郵件
        第一步:觀察
        攻擊者控制受害者的電子郵件帳戶后,便立即開始閱讀電子郵件,以了解:
      1. 受害者的各個轉賬渠道。
      2. 受害者與客戶、律師、會計和銀行等其他第三方的關系。
      3. 目標公司內部的關鍵角色。
        Florentine Banker 會在干預郵件通信前花費數天、數周甚至數月的時間進行偵察,并耐心地繪制目標公司的業務計劃和流程。
        第二步:控制并隔離
        將目標公司研究透徹后,攻擊者便開始創建惡意郵箱規則,將受害者與第三方和內部同事隔離開來。這些電子郵件規則會將內容或主題中含有重要信息的電子郵件轉移到受黑客組織監控的文件夾中,從而實質上構成一種“中間人”攻擊。
        例如,任何包含“發票”、“退回”或“失敗”等預定義詞的電子郵件都將被移到受害者不常用的另一個文件夾,比如“RSS Feeds”文件夾。
        Outlook 電子郵件規則 — 演示
        第三步:相似的設置
        為了進行下一個環節,攻擊者注冊了相似的域,這些域看起來與電子郵件攔截目標的合法域非常相似。例如,如果“finance-firm.com”和“banking-service.com”之間存在通信,攻擊者就會注冊“finance-firms.com”和“banking-services.com”等類似的域名。
        設置完成后,攻擊者便開始從相似域發送電子郵件。他們要么創建新對話,要么繼續現有對話,讓受害者誤以為這些電子郵件來自合法用戶,并且不會注意到發送域名的微小變化。
        電子郵件流程示例:設置前和設置后
        第四步:發起欺詐
        在此階段,攻擊者對公司的入站電子郵件流量具有高度控制權,并且可以偽造看似合法并受信任的電子郵件,而無需從真正的公司帳戶發送任何電子郵件。
        然后,攻擊者再開始注入欺詐性銀行賬戶信息,方法有兩種:
        1. 攔截合法電匯交易 — 攻擊者先閱讀公司電子郵件,了解匯款計劃,然后利用在設置階段準備的基礎架構提供“新”銀行賬戶信息,讓受害者將資金轉到自己的銀行賬戶中。
        在本次案例中,攻擊者發現目標公司計劃與第三方進行交易,并建議使用英國銀行賬戶來加快此過程。但收件方表示他們沒有英國銀行賬戶。黑客組織趁機而入,提供了一個英國銀行賬戶。
        2. 生成新電匯請求 — 攻擊者將在偵察階段了解一些轉賬細節,包括目標公司的匯款程序、審批周期以及最重要的公司關鍵負責人和交易銀行信息。在我們的案例中,Florentine Banker 搜查了目標公司與其轉賬銀行之間的電子郵件往來,并使用從中獲取的信息與轉賬銀行聯系人聯系,通知其進行新的匯款交易。
        最后一步:轉賬
        Florentine Banker 會一直操縱對話,直到第三方批準新銀行信息并確認交易為止。如果銀行由于賬戶幣種不匹配、收款人姓名有誤或任何其他原因而拒絕交易,則攻擊者將修復拒絕會話,直到錢到手為止。
        這在詐騙案例中很常見。攻擊者會監視與銀行聯系人的通信往來,一旦有阻礙匯款的地方,便立即進行修復,從而成功操縱所有人把錢轉到自己的賬戶中。Florentine Banker 組織前后通過三筆無法撤銷的交易詐騙了約 600萬英鎊。
        其他目標
        在調查 Florentine Banker 黑客組織的上述操作時,Check Point事故相應小組收集了一些證據信息并觀察了黑客使用的各個域名。
        攻擊者共使用了七個不同的域,均為相似域或提供網絡釣魚網頁的網站。
        事故相應小組可以通過從域的 WHOIS 信息(注冊名稱、電子郵件、電話號碼)中收集的數據推測攻擊者的其他行動,并根據具有唯一性的 WHOIS 信息找到了 2018-2020 年期間注冊的其他 39 個相似域,這些域名顯然是想嘗試偽裝成被 Florentine Banker 瞄準的各個合法公司。
        域名調查結果 Maltego 視圖
        以下是小組根據發現的相似域,推測得出的 Florentine Banker 在不同國家和行業的攻擊目標細分圖。
        不同國家的受害者
        不同行業的受害者
        Florentine Banker 的來歷
        事故相應小組雖然沒有調查到有關 Florentine Banker 來歷的確切證據,但也從蛛絲馬跡中捕捉到了一些線索:
      1. 僅攔截和修改了英語會話或
      2. 交易。
      3. 在潛入受害組織的這兩個月內,Florentine Banker 均從周一到周五開展行動。
      4. 欺詐性銀行賬戶位于中國香港和英國。
      5. 有幾封希伯來語電子郵件包含一些重要信息,但它們卻未被攻擊者使用,因此我們猜測攻擊者不會講希伯來語。
      6. Florentine Banker 組織要求直接從受害者銀行聯系人處進行電匯時,使用了一家中國香港公司的名稱。該公司可能是偽造的,也可能先前注冊而后又倒閉的。
        為了保護潛在受害者的隱私,我們不會公開相似域名或目標攻擊品牌。Check Point Research 正在努力聯系這些公司,防止它們成為下一個 BEC 詐騙受害者。
        結語
        私募股權和風險投資公司已成為 BEC 攻擊者眼中的主要目標。由于風險投資公司經常向新合作伙伴和收件方匯轉大量資金,這使它們成為誘導進行新欺詐性交易的理想對象。
        事實證明,經過至少幾年的攻擊實戰和技術打磨,Florentine Banker 組織已經成為一個陰險老辣而又懂得靈活應變的黑客高手。
        除了最初的攻擊目標外,這些攻擊技術(尤其是相似域)也會對相似域通信中所涉及的第三方構成重大威脅。當主要攻擊目標從網絡中檢測到并消除威脅后,攻擊者可能會繼續嘗試向已建立信任關系的第三方發起欺詐活動。
        如何保護自己
      1. 電子郵件是迄今為止攻擊者入侵企業網絡的第一大媒介,其中網絡釣魚是最常見的威脅。網絡釣魚電子郵件可誘騙用戶公開企業登錄憑證或單擊惡意鏈接/文件。企業必須部署電子郵件安全解決方案,利用不斷更新的安全引擎自動防御此類攻擊。
      2. 教育員工 — 適當對員工進行有關最新威脅形勢的持續教育。
      3. 如需電子轉賬,請務必致電匯款方或收款方進行二次驗證。
      4. 如果用戶在公司內部檢測到類似的威脅,請務必也通知所有業務合作伙伴 — 否則只要延遲一步就會被黑客搶占先機。
        為了保障電子郵件安全,Check Point 基于人工智能的安全引擎引入了一個高級反網絡釣魚引擎,可通過行為分析防止文中案例的悲劇再次上演。


       
      【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

      專題

      CTI論壇會員企業

      疯狂挺进美艳老师后臀小说
      <rp id="miz1i"></rp>
      
      1. <ruby id="miz1i"></ruby>