老练的诈骗者在小心翼翼地处理了大约两个月后才完成的电子邮件泄露事件后,从一家美国公司窃取了1500万美元。网络犯罪分子在获得有关商业交易的电子邮件对话后,以外科手术般的精确度执行了他们的计划。他们将自己插入交易所,转移支付,并能够将盗窃隐藏足够长的时间以获取他们的钱。尽管研究人员查看了一个受害者的事件,但他们发现了建筑、零售、金融和法律部门的数十家企业在他们的目标名单上的线索。电子邮件第一阶段在攻击者确定目标后,他们花了大约两周的时间试图获得对电子邮件帐户的访问权限。到达那里后,他们又花了一周时间从受害者的邮箱中收集信息并确定机会。调查该事件的公司migrate的首席工程官ArielParnes告诉BleepingComputer,他们的研究人员在受害者的系统上没有发现恶意软件,这表明存在电子邮件登录漏洞。不过,Parnes告诉我们,仅仅访问电子邮件是不够的。由于参与者随时可能丢失此信息,因此他们创建了电子邮件转发规则以从受监控的电子邮件收件箱中获取消息。通过使用MicrosoftOffice365电子邮件服务冒充交易各方,网络犯罪分子将能够继续他们的攻击。Miligate说,威胁行为者使用Office365帐户发送电子邮件以减少怀疑和逃避检测。他们还通过GoDaddy注册商(WildWestDomains)注册了与合法企业(其中许多在美国)使用的域名相似的域名。这些细节让Midget能够建立一个模式并发现150多个这样的流氓域,从而揭示网络犯罪集团的更大范围的活动。在四个星期的时间里,攻击者使用从高级管理人员的收件箱中收集到的信息,谨慎地推进了他们的计划。在适当的时候,他们使用假域名接管了对话,提供了经过编辑的资金转移细节。第二阶段-保护战利品然而,这还没有结束。当资金去错账户时,银行可以锁定交易并及时标记错误。威胁演员很清楚这个细节,并为这个阶段做好了准备。为了隐藏盗窃行为,直到他们将钱转移到外国银行并永远丢失它,攻击者使用收件箱过滤规则将邮件从特定电子邮件地址移动到隐藏文件夹中。此举使合法的收件箱所有者无法知道汇款通信。米蒂亚说,这一幕持续了大约两周,足以让这位演员花掉1500万美元。米奇在事件中的作用是调查受害人的公司意识到他们的钱被网络犯罪分子损失后发生的事情。研究人员正在帮助联邦调查局和美国特勤局追查袭击者。组织可以通过遵循一组简单的建议来加强对此类攻击的防御,其中包括在Office365中启用双因素身份验证并防止将电子邮件转发到外部地址。此外,Midge建议:强制更新Office365密码考虑阻止电子邮件自动转发,使网络罪犯更难窃取您的信息在收件箱中搜索隐藏文件夹阻止可用于规避多重身份验证的旧电子邮件协议,例如POP、IMAP和SMTP1确保对邮箱登录和设置的更改进行记录并保留90天交易的审计控制(除了电子邮件之外还包括电话验证,以及签名和帐户的验证)
