一次成功利用了相似域的精準BEC攻擊
9月9日,汽車零部件製造商豐田紡織(Toyota Boshoku Corporation)報告了一起BEC詐騙(商業郵件詐騙,Business Email Compromise,簡稱BEC),其中一家歐洲子公司損失了超過3700萬美元。BEC攻擊非常容易成功,因為欺詐者通常會謹慎選擇攻擊目標,例如可靠的業務合作夥伴或公司的CEO。BEC攻擊主要依賴於社會工程學,向特定目標發送釣魚郵件,達到攻擊目的。
想像一下,如果你是一家初創公司的老闆,正在等待一百萬美元的種子輪融資,但它卻從未出現在你的銀行賬戶上。再或者,假如你是一家風險投資公司的老闆,你認為自己已經將投資基金轉到投資合作中的另一家初創公司,但這些資金卻從未出現在對方的賬戶中。
一家中國風險投資公司被他們的轉賬銀行提醒,他們最近的一筆網路交易有問題。僅僅幾天後,中國風險投資公司的對象,即一家年輕的以色列初創公司也發現,他們沒有收到100萬美元的種子基金。雙方電話核對後,很快意識到他們的錢被盜了。
在查找原因的過程中,他們注意到雙方之間的郵件發生了一些奇怪的事情,因為一些郵件被修改了,有些甚至都不是他們親自寫的。
在Check Point接入調查後,研究人員一開始認為這只是一個普通的商務郵件攻擊(BEC),但通過仔細調查,發現事情並沒有表面上那麼簡單。
CP IRT收集並分析了可用的日誌、電子郵件和相關的PC。
在證據收集階段,CP IRT面臨3個挑戰,這是任何一個面對客戶的事件響應者都會遇到的。
客戶的郵箱位於GoDaddy的電子郵件伺服器上,毫無疑問,該伺服器沒有提供任何有助於調查的信息。
另外,審計日誌只顯示到伺服器的最後五次登錄,而且所有這些信息都是關於以色列初創公司員工的。研究人員發現,如果用戶帳戶是在以色列方面被破壞,他們可能無法確定攻擊者登錄的確切時間或使用了哪個IP。
研究人員必須追蹤原始郵件,這樣才能調查郵件標題。由於研究人員只有這些郵件的截圖(來自手機),他們決定收集所有在原始線索中抄送的人的郵箱檔案。通過從截圖中搜索關鍵字,我們能夠找到原始郵件。
分析過程
現在研究者有了原始的電子郵件,通過這些材料,就可以看到攻擊者是如何實施這次攻擊的。
顯然,就在這筆錢被盜的幾個月前,攻擊者就注意到一個電子郵件的內容,該內容就包含啟動數百萬美元的種子基金。
於是攻擊者決定註冊兩個新的相似域,而不是像通常的BEC攻擊那樣,僅僅通過創建一個自動轉發規則來監控電子郵件。
可以看出,第一個域名與以色列的啟動域名本質上是一樣的,但是在域名的末尾添加了一個額外的「s」。第二個域名和中國風投公司的很像,但是也在域名後面加了一個「s」。
然後,攻擊者發送了兩封標題與原始郵件相同的郵件。第一封電子郵件是從一個類似於以色列的域名發送給這家中國風投公司的,它偽造了這家以色列初創公司首席執行官的電子郵件地址。
第二封電子郵件是從中國風投公司的域名發送給這家以色列初創公司的,該域名偽造了處理該投資的風險投資客戶經理。
通過已上分析,可以很明顯看到,這種就是典型的中間人(MITM)攻擊。雙方發送的每封電子郵件實際上都是發送給攻擊者的,攻擊者然後查看電子郵件,確定是否需要編輯任何內容,然後將電子郵件從相關的相似域轉發到其原始目的地。
在整個攻擊過程中,攻擊者向中國投資方面發送了18封偽造的電子郵件,向以色列方面發送了14封偽造的電子郵件。攻擊者的耐心、對細節的注意和良好的偵察使這次攻擊成功。
在攻擊期間,中國公司和這家以色列初創公司的首席執行官一度計劃在上海會面。在最後一刻,攻擊者向雙方發送了一封電子郵件,取消了會議,為他們無法見面提供了不同的借口。
如果沒有攻擊者的這一關鍵行動,整個操作可能會失敗。如果要舉行會議,那在會議期間,將要求帳戶所有者驗證所有的銀行帳戶的款是否到賬。如果這樣,那攻擊無疑就穿幫了,因此,攻擊者會採取措施確保這種情況不會發生,這說明攻擊者的經驗非常豐富。
更可怕的是,在發生了這樣的盜竊之後,攻擊者並沒有收手的意思,而是繼續努力,試圖進行新一輪的風險投資詐騙。可以從下圖中看到,這位以色列首席財務官在被詐騙後每月還會收到一封電子郵件,要求他進行網路匯款。郵件內容如下:
緩解措施
1.自動阻止:電子郵件是迄今為止對商業網路進行攻擊的第一大媒介。釣魚郵件會引誘用戶暴露他們的組織證書或點擊一個惡意鏈接/文件是電子郵件攻擊的頭號威脅,企業必須配有電子郵件安全解決方案,旨在防止這種攻擊自動利用不斷更新的安全引擎。
2.教育你的員工:最重要的是,對員工進行適當的、持續的教育,讓他們了解電子郵件攻擊的威脅。
3.當處理網路交易時,一定要添加二次驗證,無論是打電話給要求匯款的人還是打電話給接收方。
4.確保你的電子郵件託管伺服器至少能夠追述六個月以內的審核和訪問日誌,在啟動模式下,通過安全性和日誌記錄來快速構建基礎架構很容易。
5.在處理可疑或已確認的網路安全事件時,要儘可能多地獲取證據,刪除證據只會幫助攻擊者。另外,及時捕獲事件發生時的證據還可以確保重要的日誌和證據不會被覆蓋。
6.利用一種工具來識別與你自己的域名相似的新註冊域名。
7.提前準備好事件響應計劃和戰術IR劇本!在危機發生前知道該做什麼可以簡化響應活動,減少補救所需的時間。
對於電子郵件安全性,Check Point基於人工智慧的安全性引擎包括一個高級的反網路釣魚引擎,該引擎依賴於行為分析,旨在防止與該案例類似的精確攻擊。
註:本文翻譯自:https://www.cybereason.com/blog/the-higher-ed-security-challenge
