網路釣魚威脅增大，財富500強公司繼續成為支付欺詐對象

IBM發布警告稱，他們近期發現犯罪分子正在發起針對財富500強企業財務人員的網路釣魚欺詐互動，通過網路欺詐誘導受害者匯款。

攻擊者通過入侵員工郵箱或身份偽造發起釣魚，輔以社會工程技巧，頻頻實施作案。

攻擊者在獲取目標的合法憑證之後，會在郵件上下文會話中加入自己的銀行賬號或其他支付憑證。他們還通過創建郵件過濾器，確保過程中之存在受害者一方。 在某些情況下，他們還偽造了必要的上級審批表格以增獲取信任。

IBM表示，犯罪團伙使用的發件人郵箱地址和IP指向奈及利亞。

釣魚實施過程

他們的目標用戶不僅有零售、醫療健康，金融和服務行業，也包括財富 500 強企業。

犯罪團夥同時在被侵入的100多個屬於不同國家的網站上創建了DocuSign登錄頁面。為了收集身份憑證，攻擊者向企業用戶的內部和外部聯繫人發送了大規模的網路釣魚電子郵件。郵件中會包括商業文件的鏈接，但該鏈接指向的是偽造的 DocuSign 頁面，要求用戶進行驗證或下載。

在獲取的憑證中，攻擊者會篩選出可用的部分，如只需要用戶名和密碼即可登錄的郵箱賬號。

「攻擊者特別針對企業財務部門人員，潛在企圖在於確保訪問公司的銀行賬戶。」

隨後他們就進入了偵查階段，攻擊者冒充成客戶活著合作企業的員工，不斷與下一步目標進行接觸和郵件交流以建立信任關係。攻擊者在此階段獲得了企業組織結果的調查結果，熟悉了郵件流程和上級主管的行動習慣。

下階段中，攻擊者會註冊與目標難以區分差別的域名（使用不同頂級域名或細微的拼寫差別），建立員工郵箱賬號，並用這些員工賬號向目標發送郵件。

攻擊者發送的郵件中英語的遣詞造句水準很高，雖然出現了幾個小的語法和口語化問題，但從目標的角度來看「付款」需求是比較急切的。這種微妙的心理氛圍也幫助犯罪分子達到數百萬美元詐騙的圓滿實現。

於此同時，攻擊者還會創建電子郵件過濾規則或自動刪除用戶公司內部的電子郵件，以防止受害者在其收件箱中發現異常消息。 其次，他們還將電子郵件回復自動轉發到不同的地址。

避免商業郵件釣魚的防護方法

攻擊者的偽造和欺詐水平不斷提升，普通用戶越來越難以識別精心構建的騙局。企業僅僅是對員工進行網路釣魚威脅的簡單培訓可能還是不夠的，重新審查企業內部流程，彌補關鍵基礎設施的不足，降低網路安全風險還是必須補上的一課。

1. 為用戶登錄增加兩部驗證（2FA），減小憑證竊取的安全隱患。

2. 在郵件中提示內部和外部郵箱地址，幫助員工區分偽造的相似的郵箱地址。

3. 在企業外部

禁用

4. 企業財務和金融人員應採納嚴密的交易轉賬培訓，能夠在緊急支付流程中驗證郵件的真實性（如應用數字證書之類）

5. 對客戶企業進行身份確認。

*參考來源：

securityweek

／

securityintelligence

，Elaine編譯，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！