经验丰富的诈骗犯在仔细处理电子邮件妥协后,从一家美国公司手中拿走了1500万美元,大约需要两个月才能完成。
在收到商业交易的电子邮件对话后,这名网络犯罪分子准确地执行了他们的计划,就像手术一样。他们把自己插入交易所,转移付款,并能够长时间隐藏盗窃行为以获得资金。
尽管研究人员调查了一个受害者的事件,但他们发现了一些线索,表明建筑、零售、金融和法律部门的数十家企业都在他们的目标名单上。
电子邮件的第一阶段
在演员确定了目标后,他们花了大约两个星期的时间尝试访问电子邮件帐户。一到,他们又花了一周时间从受害者的邮箱里收集信息,并确定了一个机会。
负责调查这起事件的migrate公司首席工程官arielparnes告诉BleepingComputer,他们的研究人员在受害者系统中没有发现恶意软件,这表明电子邮件登录存在漏洞。
然而,帕恩斯告诉我们,电子邮件访问是不够的。由于参与者可能随时丢失这些信息,他们创建了电子邮件转发规则,从监控的电子邮件收件箱中获取信息。
通过使用microsoftoffice365电子邮件服务冒充交易双方,网络犯罪分子将继续攻击。
Miligate威胁参与者使用Office 365账户发送电子邮件,减少怀疑和逃避检测。他们还通过GoDaddy注册商(Wild West域名)注册域名,类似于合法企业使用的域名(其中很多在美国)。
这些细节让Midget建立了150多个流氓域名,揭示了网络犯罪集团的更大活动。
在周围,攻击者利用从高级管理人员的收件箱中收集到的信息,仔细推进了他们的计划。他们在适当的时候使用假域名来接管对话,并为资本转移提供了修改后的细节。
第二阶段-保护战利品
然而,这还没有结束。当资金流入错误账户时,银行可以锁定交易并及时标记错误。威胁参与者了解细节,并为这一阶段做好准备。
为了隐藏盗窃行为,直到他们将钱转移到外国银行并永远丢失,攻击者使用收件箱过滤规则将邮件从特定的电子邮件地址移动到隐藏的文件夹。
这一举动让合法收件箱所有者不知道汇款的沟通。米蒂亚说,这出戏持续了大约两周,足以让演员的1500万美元消失。
Midge在这起事件中的作用是调查受害者公司意识到他们的钱输给了网络罪犯之后发生了什么。研究人员正在帮助联邦调查局和美国特勤局追踪袭击者。
组织可以通过遵循一组简单的建议来加强这种攻击的防御,包括Office 365使用双因素身份验证,防止电子邮件转发到外部地址。
此外,Midge建议:
- 强制Office 365密码更新
- 考虑防止电子邮件自动转发,让网络罪犯更难窃取你的信息
- 搜索收件箱中隐藏的文件夹
- 阻止可用于避免多因素身份验证的旧电子邮件协议,如POP、IMAP和SMTP1
- 确保电子邮件登录和设置的更改被记录并保留90天
- 启用可疑活动(如外部登录)报警,分析服务器日志中是否有异常电子邮件访问
- 考虑订阅域管理服务
- 提高对电汇交易的理解和审查控制(除电子邮件外,还包括电话验证、验证签名和账户)