您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
新的網(wǎng)絡(luò)安全BEC攻擊冒充供應(yīng)商
金融行業(yè)供應(yīng)鏈攻擊是商業(yè)電子郵件攻擊(BEC)下面的一個(gè)子類,其手段似乎非常有效,似乎越來越猖獗。Abnormal Security近日發(fā)現(xiàn)了一伙惡意威脅分子——它稱之為Firebrick Ostrich,該團(tuán)伙使用金融供應(yīng)鏈攻擊這種花招來誘騙目標(biāo)進(jìn)行支付。
這家安全公司此前已發(fā)現(xiàn)了四種金融供應(yīng)鏈攻擊,這幾種攻擊不需要冒充目標(biāo)公司的內(nèi)部高管,而是冒充目標(biāo)公司的其中一家供應(yīng)商。Abnormal Security表示,F(xiàn)irebrick Ostrich使用了其中一種類型的金融供應(yīng)鏈攻擊:第三方偵察攻擊,實(shí)施了346起B(yǎng)EC攻擊活動(dòng)(最早可以追溯到2021年4月),冒充151家組織,并使用212個(gè)惡意注冊的域名,幾乎全部在美國境內(nèi)。
Abnormal Security的威脅情報(bào)主管Crane Hassold表示,通過冒充外部第三方騙取的資金比傳統(tǒng)的BEC攻擊手法多出三倍。攻擊能夠得逞,源于受害者缺乏安全意識(shí),因?yàn)樵S多公司及員工接受培訓(xùn)后只懂得尋找冒充內(nèi)部高管的郵件,而不是冒充供應(yīng)商的郵件。
他說:“此外,如果你仔細(xì)觀察第三方偵察及其他金融供應(yīng)鏈攻擊,就會(huì)發(fā)現(xiàn)誘騙的有效性取決于他們能夠在郵件中添加的信息量——這些信息使它們看起來比其他形式的BEC更為逼真?!?/span>
Hassold特別指出,每年因BEC而造成的損失高達(dá)數(shù)百億美元;BEC是自2016年以來企業(yè)蒙受經(jīng)濟(jì)損失的主要原因。
他說:“由于攻擊者冒充外部實(shí)體,BEC在去年上半年真正呈井噴之勢,達(dá)到了高峰。這是一個(gè)很大的變化,因?yàn)樽訠EC問世以來,其手段主要是冒充內(nèi)部實(shí)體。BEC攻擊者已將第三方(包括供應(yīng)商)視為整條鏈中的薄弱一環(huán)?!?/span>
靠技術(shù)含量低的冒充手段大撈一把
據(jù)Hassold聲稱,從網(wǎng)絡(luò)犯罪這門行當(dāng)?shù)慕嵌葋砜?,發(fā)起第三方偵察攻擊所需的開銷很低。只需要基本的偵察和信息收集,不需要底層基礎(chǔ)設(shè)施或開發(fā)人員來維護(hù)和改進(jìn)惡意軟件。只需要發(fā)送電子郵件,所以從開銷角度來看,這非常有利可圖。
據(jù)Abnormal聲稱,冒充第三方的攻擊(主要源自西非)使用了分三步走的過程(圖A)。
圖A:第三方偵察攻擊的三個(gè)步驟是1)進(jìn)行開源研究,2)搭建攻擊基礎(chǔ)設(shè)施,3)向客戶發(fā)送針對性的電子郵件(圖片來源:Abnormal Security)。
1. 對供應(yīng)商客戶關(guān)系進(jìn)行開源研究,信息可能來自州和地方政府(提供有關(guān)新舊合同的詳細(xì)信息),也可能來自供應(yīng)商網(wǎng)站(供應(yīng)商在網(wǎng)站上顯示了客戶的名稱或標(biāo)志),甚至可以上網(wǎng)搜索公司名稱以查看可能的聯(lián)系信息。
2. 搭建攻擊基礎(chǔ)設(shè)施:威脅團(tuán)伙注冊一個(gè)域,使用Namecheap或谷歌作為注冊機(jī)構(gòu)以冒充供應(yīng)商的域,然后欺騙這家供應(yīng)商的應(yīng)付賬款員工的電子郵件地址。
3. 向客戶發(fā)送針對性的電子郵件:攻擊者向供應(yīng)商的客戶發(fā)送電子郵件,詢問潛在的未付發(fā)票或提供更新后的賬戶信息(以便接收將來支付的款項(xiàng))。
注冊域名一周內(nèi)攻擊
據(jù)Abnormal Security聲稱,F(xiàn)irebrick Ostrich使用新注冊的域名恰恰表明,新注冊域名結(jié)合其他行為指標(biāo)是識(shí)別威脅的有效信號(hào)。Abnormal Security聲稱,F(xiàn)irebrick Ostrich注冊的域名中60%是在實(shí)施使用了這些域名的BEC活動(dòng)的當(dāng)天注冊的;大約四分之三的域名是在攻擊后48小時(shí)內(nèi)獲得的,89%的域名是在攻擊后一周內(nèi)注冊的。
Firebrick Ostrich使用新注冊的域名,創(chuàng)建電子郵件地址,冒充實(shí)際的供應(yīng)商賬戶管理人員,然后趁機(jī)為攻擊提供便利,主賬戶通過模仿供應(yīng)商的實(shí)際應(yīng)收賬款專員與攻擊目標(biāo)進(jìn)行聯(lián)系。輔助性的電子郵件賬戶可能包括供應(yīng)商的財(cái)務(wù)高管,為攻擊增加了一層真實(shí)性。
“合理”的請求和長遠(yuǎn)策略
Abnormal Security的報(bào)告稱,F(xiàn)irebrick Ostrich攻擊中的初始電子郵件通常以問候開頭,比如供應(yīng)商“非常感謝您這個(gè)重要客戶,我們感謝您的持續(xù)合作”,后面可能跟有兩個(gè)請求:
第一個(gè)請求表明供應(yīng)商希望想要更新保存在客戶處的銀行賬戶。郵件特意提到了供應(yīng)商無法通過支票收款,于是ACH和電匯支付是唯一的兩個(gè)選擇。
第二個(gè)請求查詢應(yīng)付給供應(yīng)商的任何未付款項(xiàng)。郵件聲稱,由于供應(yīng)商的會(huì)計(jì)團(tuán)隊(duì)無法審核賬戶,供應(yīng)商因而無法跟蹤已開的發(fā)票。Firebrick Ostrich在一封電子郵件中提供了更多細(xì)節(jié),聲稱賬戶團(tuán)隊(duì)“無法進(jìn)入到服務(wù)器或無法進(jìn)入到Oracle系統(tǒng),以審查賬戶或公布已收到的付款?!?/span>
Hassold說:“我們發(fā)現(xiàn),在許多第三方偵察攻擊中,謊稱遇到技術(shù)問題是一個(gè)常見的借口,以解釋為什么供應(yīng)商無法訪問自己的發(fā)票庫存,但郵件開頭先奉承收件人似乎是這個(gè)BEC團(tuán)伙所特有的?!?/span>
另一種策略特別隱秘,因?yàn)樗灰螽?dāng)前發(fā)票付款,而只是要求更新供應(yīng)商存儲(chǔ)的銀行賬戶資料,以便將來的任何付款都可以轉(zhuǎn)入到這個(gè)新賬戶。Abnormal Security表示,這避開了應(yīng)付賬款專員接受過培訓(xùn)后可能會(huì)留意到的危險(xiǎn)信號(hào)。得到下一筆發(fā)票款項(xiàng)的將是威脅分子,而不是實(shí)際供應(yīng)商。
這個(gè)團(tuán)伙的獨(dú)特之處在于,即使不需要攻陷帳戶,也不需要深入研究供應(yīng)商與客戶的關(guān)系,他們照樣大獲成功。據(jù)Abnormal Security聲稱,只需使用相當(dāng)明顯的社會(huì)工程伎倆,威脅團(tuán)伙就能發(fā)現(xiàn)開展成功的BEC活動(dòng)所需要的一切,不需要往初始研究上投入大量的時(shí)間或資源。
最佳防御是全面篩查
Hassold表示,可識(shí)別靜態(tài)攻擊指標(biāo)的電子郵件標(biāo)記技術(shù)不足以防御BEC攻擊;他推薦采用一種更全面的防御方法,使用行為分析等技術(shù)來了解發(fā)件人和收件人之間的關(guān)系。這種全面策略還包含關(guān)于目標(biāo)公司的第三方供應(yīng)商生態(tài)系統(tǒng)的信息,并密切關(guān)注欺騙供應(yīng)商的特定的冒充攻擊以及可疑的語言和線索。
他說:“了解整個(gè)網(wǎng)絡(luò)威脅領(lǐng)域所出現(xiàn)的趨勢,并確保員工們意識(shí)到這些趨勢,這一點(diǎn)至關(guān)重要。這意味著,當(dāng)他們看到請求賬戶更改或咨詢技術(shù)問題之類郵件的類似Firebrick Ostrich的攻擊時(shí),他們已經(jīng)有了內(nèi)部策略,在實(shí)際更改之前就已經(jīng)向供應(yīng)商線下驗(yàn)證了這些請求。我們認(rèn)為網(wǎng)絡(luò)攻擊錯(cuò)綜復(fù)雜,但歸根結(jié)底,絕大多數(shù)網(wǎng)絡(luò)攻擊只不過是社會(huì)工程伎倆,企圖操縱人類行為——讓人們做一些他們原本不會(huì)做的事情。”
參考及來源:https://www.techrepublic.com/article/cybersecurity-bec-attack-mimics-vendors/
來源:嘶吼專業(yè)版