近日,Agari的安全研究人员发现了有史以来第一个报告的俄罗斯商业电子邮件泄露(BEC)网络犯罪网络,该犯罪网络也是Nigerian Scammer的幕后黑手,最近正在将目光投向基于电子邮件的攻击媒介。
这个俄罗斯BEC团伙被代号Cosmic Lynx,自去年7月以来,已经针对46个国家/地区的200多个高级管理人员发动BEC邮件诈骗攻击。与其他常规的BEC骗局不同,Cosmic Lynx的电子邮件内容非常逼真,以没有部署DMARC邮件安全策略的受害者为目标,并利用伪造的“合并并购”方案来窃取更大额资金。
据Agari的研究人员说:
几乎所有攻击事件的说辞都是受害者的公司正准备与一家亚洲公司达成收购协议。Cosmic Lynx声称自己是这家亚洲公司的首席执行官,并要求目标员工与“外部法律顾问”合作,以协调完成收购所需的付款。由于其敏感的性质,要求目标员工对交易的细节保密,直到交易完成为止,这使欺诈行为更容易被发现而不被发现。
研究人员说,Cosmic Lynx电子邮件的内容非常“规范和专业”,与通常使用较差语法的其他BEC攻击迥然不同。
研究人员说:
图片:Agari
Cosmic Lynx往往会假借律师的身份来取得信任。例如,Cosmic Lynx劫持了英国某知名律师事务所中真正律师的身份,从而为其攻击增加了另一层合法性。
Cosmic Lynx首先注册一个与律师事务所的实际域名非常相似的域名,然后创建详细的电子邮件签名,其中包含模拟律师的照片、指向合法律师事务所网站的链接,甚至是保密免责声明。
最后,作为“收购”的一部分,要求目标员工将一笔或多笔付款发送到该组控制的子账户。然后,它将被盗资金通过香港的子账户转移。研究人员说,其他洗钱账户位于匈牙利、葡萄牙和罗马尼亚。他们说,该组织积极避免使用美国的洗钱账户。
图片:Agari
Cosmic Lynx攻击得手后索要的金额也明显高于平均值,在大多数高管模仿BEC攻击中,平均索要的金额为55,000美元,但研究人员表示,Cosmic Lynx电子邮件索要金额高达数十万美元,有时甚至数百万美元。
Cosmic Lynx还会嗅探尚未部署DMARC策略的组织。创建DMARC的目的是防止恶意行为者在发送电子邮件时直接欺骗组织的域。如果目标没有DMARC策略,则威胁组将直接假冒CEO的电子邮件地址,并将Reply-To电子邮件设置为他们实际用于与受害者通信的操作电子邮件账户。
研究人员说:
研究人员警告说,Cosmic Lynx代表了新型的更复杂、更难检测的BEC攻击。
与传统的BEC团体不同,Cosmic Lynx展示了开发更复杂和更具创造性的攻击的能力,这使它们与我们每天看到的更通用的BEC攻击有显著区别。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文