基金公司被騙1000萬美元!如何應對商業電子郵件詐騙?
責編:gltian |2020-05-22 10:49:55北京時間4月29日消息,作為全球最大的主權財富基金 Norfund 基金因網絡詐騙,被騙走 1000 萬美元,而騙子是利用了所謂“泄露的付款數據”這一缺陷來作案的。
據報道,挪威主權基金 Norfund (也被稱為挪威國家基金)的資金來源于著名的北海油田收益,目前市值超過1萬億美元。該基金表示,有黑客操縱了該組織的一筆交易,將一筆原本打算借給柬埔寨一家小額信貸機構的貸款轉入受騙子控制的一個賬戶,結果導致該基金在3月份被騙 1 億克朗(約為 1000 萬美元)。該基金表示,這筆錢似乎已經從柬埔寨轉移到了墨西哥,由于損失巨大,國際警方已經介入調查此事。
Norfund 在談到這起網絡攻擊詐騙案時表示:“在這段時間里,詐騙者以一種在結構、內容和語言使用上都非常巧妙的方式,操縱和偽造了 Norfund 與借款機構之間的信息交換。文件和付款明細都是偽造的。”騙子用一些偽造的發票或偽造的電子郵件把錢轉移到了其他的賬戶。
其實這個騙局很簡單,但卻非常有效。騙子會先欺騙公司里的某個關鍵人物,然后欺騙公司里的其他人把錢轉到一個新賬戶里,因為這些付款在計劃中是合法和得到授權的,所以受害者通常要到最后才反應過來。
- 騙子是如何展開商業電子郵件詐騙?
商業電子郵件詐騙(Business Email Compromise,簡稱 BEC),在 BEC 詐騙案中,釣魚郵件是這類攻擊的第一步,攻擊者組織只針對個別員工發動網絡釣魚攻擊。后續在準備階段,攻擊者為了不被發現,會竄改受害者的電子郵件規則,并利用注冊相似的電子郵箱來冒充另一方身份。
攻擊者在竊取公司員工電子郵件賬號密碼后,會先閱讀該公司的電子郵件,以掌握一些關鍵信息,包括公司匯款的各個渠道,公司內部的重要角色,以及公司外部如客戶、律師、會計師與銀行等第三方合作關系。他們可能會耐心觀察數周或數月,以描繪出公司的業務計劃和流程。
接下來,攻擊者會為之后的攻擊做準備,包括對該公司人員的郵件進行控制與隔離,以及注冊與往來公司相似的域名。攻擊者會通過建立郵件規則的方式,讓受害者與其他人的郵件隔離。例如,收到含有發票(invoice)、退回(returned)、失敗(fail)文字內容的郵件時,自動轉移到其他郵件文件夾中。
此外,攻擊者會注冊相似的域名并發送電子郵件,以偽裝成該公司或合作公司的來信。比如,假設該公司域名是 finance-firm.com,與合作公司域名是 banking-service.com,攻擊者可以注冊 finance-firms.com 與 banking-services.com,域名當中多了一個 s,收件人容易忽略,誤以為仍是對方來信或回信。
后續,攻擊者在要錢階段會通過兩種手法,包括攔截合法電匯交易,以及產生新的電匯交易。到了最后的轉賬階段,攻擊者將會持續介入操控這些郵件,直到第三方批準新的銀行信息并確認交易。
由于有些公司使用的是 Office 365 的電子郵件,黑客的釣魚郵件內容,是偽裝成Office 365 錯誤信息的通知。Office 365 企業用戶要小心了,才剛改版 1 個月的 Azure AD 登入頁面(sign-in pages)已經出現偽造版本,攻擊者通過釣魚郵件將用戶引至惡意網站以竊取賬號密碼。據統計,91% 的網絡攻擊都從釣魚郵件開始,所以提高網絡安全防護能力要從郵件安全開始。
近些年,BEC 詐騙案頻頻發生,不少金融公司被騙,造成巨大損失。守內安提醒企業用戶,對于這種網絡詐騙要有所警惕與認知。針對如何防止成為 BEC 詐騙案的受害者,守內安給出如下建議:
- 仔細檢查所有的電子郵件,小心來自主管的不尋常郵件,重視要求資金轉移的郵件。
- 對員工進行網絡安全培訓,幫助他們養成良好的安全習慣。
- 當供應商付款賬號變更時,需由公司人員進行核實后再付款。
- 使用手機驗證來確認資金轉移請求以作為雙因子認證。
- 如果你懷疑自己成為 BEC 詐騙郵件的目標,立即向公司 IT 部門反映。
- 守內安 BEC 詐騙解決方案
SPAM SQR 威脅郵件全防御
N-tier 多層次過濾機制,具備完善的威脅特征與惡意網址數據庫,搭載多種防御引擎,利用差分更新技術,有效縮短零時差攻擊的風險,提供企業更安全的郵件使用環境。
高級防御模塊 ( Advanced Defense Module ),提供智能詐騙郵件行為特征檢測,通過云端機制定期更新詐騙源數據庫和詐騙特征,防御 BEC 詐騙郵件、冒名偽造網域社交郵件以及各式詐騙來源郵件。
SPAM SQR 協助揭露潛在威脅
密碼強度檢測模塊,定期掃描用戶密碼強度,了解實際弱密碼漏洞數與用戶密碼安全意識強弱。獨立的威脅統計報表提供完整郵件收發情況、密碼被猜測次數及認證來源異常、惡意連結不當點擊等信息。并可通過系統自動匯總威脅指針觸發的排行名單,讓管理者快速定位被瞄準者與安全意識不足者。
可運用 SPAM SQR 約定往來信件的驗證機制,如 SPF,DKIM,DMARC,降低待發郵件被偽造冒名的機會。
Mail SQR Expert 外發加密防偽、內發提醒
可將內容含有匯款賬號,匯款金額關鍵詞的待發郵件,將附件自動轉為 PDF 并加密,收件人必須取得密碼才能看到附件內容。
可將內容含有匯款賬號,匯款金額關鍵詞的待發郵件,轉換成超鏈接發給收件人,收件人必須訪問超鏈接輸入密碼才能看到信件內容。
當發件來源隱藏偽造特征,或 DKIM 驗證失敗的郵件,傳送到客戶端時,Mail SQR Expert 便會在郵件主題加以標注提醒,讓收件人提高警惕。