近日,Agari的安全研究人员发现了有史以来第一个被报道的俄罗斯商业电子邮件入侵(BEC)网络犯罪网络,也是一个尼日利亚诈骗者,该网络最近将目光投向了基于电子邮件的攻击媒介。自去年7月以来,代号为CosmicLynx的俄罗斯BEC团伙针对46个国家的200多名高级管理人员发起了BEC电子邮件诈骗。与其他常规的BEC骗局不同,CosmicLynx的邮件内容非常真实,针对没有部署DMARC邮件安全策略的受害者,并使用虚假的“并购”计划来窃取更大数额的资金。据Agari的研究人员称:这是全球电子邮件威胁格局的历史性转变,预示着全球CISO必须立即应对的新型复杂社交网络钓鱼攻击。研究人员表示,虽然大多数BEC诈骗团伙没有具体目标,但CosmicLynx专门寻找具有重要全球影响力的大型跨国组织,包括许多财富500强或全球2,000强公司。公司。CosmicLynx的目标员工通常是高级管理人员,其中75%的人担任副总裁、总经理或董事总经理的职务,Agari说。在几乎所有的攻击中,据称受害人的公司都准备与一家亚洲公司达成收购协议。CosmicLynx自称是这家亚洲公司的首席执行官,并要求目标员工与“外部法律顾问”合作,协调完成收购所需的付款。由于其敏感性,目标员工必须对交易细节保密直到交易完成,这使得欺诈更容易被忽视。研究人员表示,CosmicLynx电子邮件的内容非常“正规和专业”,这与通常使用糟糕语法的其他BEC攻击不同。“与大多数BEC电子邮件中的拼写错误和语法错误不同,CosmicLynx电子邮件通常非常详细,并且用几乎完美的英语书写,”研究人员说。在某些情况下,CosmicLynx在适当的上下文中使用大多数人的词汇表中可能没有的专业文字。图片:AgariCosmicLynx经常伪装成律师来获得信任。例如,CosmicLynx劫持了英国一家知名律师事务所的真实律师的身份,为其攻击增加了另一层合法性。CosmicLynx首先注册一个与律师事务所实际域名非常相似的域名,然后创建详细的电子邮件签名,其中包括模拟律师的照片、合法律师事务所网站的链接,甚至保密免责声明。最后,作为“接管”的一部分,目标员工被要求向该集团控制的子账户发送一笔或多笔款项。然后,它通过香港的子账户转移被盗资金。研究人员说,其他洗钱账户位于匈牙利、葡萄牙和罗马尼亚。他们说,该组织积极避免在美国使用洗钱账户。图片:AgariCosmicLynx攻击要求的金额明显高于平均水平,大多数模仿BEC攻击的高管平均要求55,000美元,但研究人员表示,CosmicLynx电子邮件要求数十万美元,有时甚至数百万美元。CosmicLynx还会嗅探尚未部署DMARC策略的组织。创建DMARC是为了防止恶意行为者在发送电子邮件时直接欺骗组织的域。如果目标没有DMARC策略,威胁组织将简单地冒充CEO的电子邮件地址并将回复电子邮件设置为他们实际用于与受害者通信的操作电子邮件帐户。研究人员说:虚假的CEO电子邮件地址可以提高他们电子邮件的真实性。根据我们对历史CosmicLynx攻击的分析,很明显该组织知道哪些目标组织实施了有效的DMARC策略,哪些没有。2020年,网络钓鱼诈骗继续让企业付出沉重代价。FBI在2月份发布的IC3年度网络犯罪报告中表示,2019年,商业电子邮件妥协(BEC)攻击使受害者损失了17亿美元。2019年,这类“成功”攻击的例子包括媒体集团日经指数(2900万美元)、德克萨斯州的一个学区(230万美元),甚至是一个社区非营利组织(120万美元)。欺骗的目标不仅限于企业,甚至包括市政当局和教堂。例如,佛罗里达州奥卡拉市被骗了742,000美元,而俄亥俄州不伦瑞克的一座教堂去年8月被骗了175万美元。研究人员警告说,CosmicLynx代表了一种新型的BEC攻击,它更加复杂且更难检测。与传统的BEC团体不同,CosmicLynx展示了开发更复杂和更具创造性的攻击的能力,这使得它们与我们每天看到的更普遍的BEC攻击有很大不同。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
