您现在的位置是:首页 > 密码破解

一次取得成功运用了类似域的精确BEC攻击

作者:果E安全网时间:2020-10-23 18:35:30分类:密码破解

简介引语:的9月9日,汽车零部件生产商丰田纺织(ToyotaBoshokuCorporation)汇报了一起BEC行骗(商业服务邮件行骗,BusinessEmailCompromise,通称BEC),在其中一家欧州分公司损害了超出3700万美金。的9月9日,汽车零部件生产商丰田纺织(ToyotaBoshokuCorporation)汇报了一起

引语:的9月9日,汽车零部件生产商丰田纺织(Toyota Boshoku Corporation)汇报了一起BEC行骗(商业服务邮件行骗,Business Email Compromise,通称BEC),在其中一家欧州分公司损害了超出3700万美金。

1.jpg

的9月9日,汽车零部件生产商丰田纺织(Toyota Boshoku Corporation)汇报了一起BEC行骗(商业服务邮件行骗,Business Email Compromise,通称BEC),在其中一家欧州分公司损害了超出3700万美金。BEC攻击很容易取得成功,由于欺诈者一般会慎重挑选攻击总体目标,比如靠谱的业务流程合作方或企业的CEO。BEC攻击关键取决于网络钓鱼,向特殊总体目标推送垂钓邮件,做到攻击目地。

想像一下,如果你是一家新成立公司的老总,已经等候一百万美元的种子轮股权融资,但它却从没出現在你的银行帐户上。再或是,倘若你是一家风投企业的老总,你认为自身早已将基金投资转到项目投资协作中的另一家新成立公司,但这种资产却从没出現在另一方的帐户中。

下列是2020年稍早由Check Point紧急事件解决精英团队(CP IRT)调研的一个真实案例

一家中国风投企业被她们的转帐金融机构提示,她们近期的一笔网上交易有什么问题。只是几日后,中国风投企业的目标,即一家年青的以色列新成立公司也发觉,她们沒有接到一百万美金的種子股票基金。彼此电話核查后,迅速意识到她们的钱失窃了。

在搜索缘故的全过程中,她们注意到彼此中间的邮件发生了一些怪异的事儿,由于一些邮件被改动了,一些乃至都并不是她们亲自写的。

在Check Point连接调研后,科学研究工作人员一开始觉得这仅仅一个一般的商务接待邮件攻击(BEC),但根据细心调研,发觉事儿并沒有表层上这么简单。

CP IRT搜集并剖析了能用的系统日志、电子邮件和有关的PC。

在直接证据搜集环节,CP IRT遭遇3个挑戰,它是一切一个应对顾客的恶性事件响应者都是会碰到的。

2.png

顾客的电子邮箱坐落于GoDaddy的电子邮件网络服务器上,不容置疑,该网络服务器沒有出示一切有利于调研的信息内容。

此外,财务审计系统日志只显示信息到网络服务器的最终五次登陆,并且全部这种信息内容全是有关以色列新成立公司职工的。科学研究工作人员发觉,假如客户账号是在以色列层面被毁坏,她们很有可能没法明确攻击者登陆的准确時间或应用了哪一个IP。

科学研究工作人员务必跟踪初始邮件,那样才可以调研邮件题目。因为科学研究工作人员仅有这种邮件的截屏(来源于手机上),她们决策搜集全部在初始案件线索中密送的人的电子邮箱档案资料。根据从截屏中关键字搜索,大家可以寻找初始邮件。

剖析全过程

如今学者拥有初始的电子邮件,根据这种原材料,就可以见到攻击者是怎样执行此次攻击的。

显而易见,就在该笔钱失窃的几个月前,攻击者就注意到一个电子邮件的內容,该內容就包括起动数百万美元的種子股票基金。

因此攻击者决策申请注册2个新的类似域,而不是像一般的BEC攻击那般,只是根据建立一个全自动分享标准来监管电子邮件。

3.png

能够看得出,第一个网站域名与以色列的起动网站域名实质上是一样的,可是在网站域名的结尾加上了一个附加的“s”。第二个网站域名和中国风险投资公司的很像,可是也在网站域名后边加了一个“s”。

随后,攻击者推送了两份题目与初始邮件同样的邮件。第一封电子邮件是以一个类似以色列的网站域名发给这个中国风险投资公司的,它仿冒了这个以色列新成立公司CEO的电子邮件详细地址。

第二封电子邮件是以中国风险投资公司的网站域名发给这个以色列新成立公司的,该网站域名仿冒了解决该项目投资的风投客服经理。

根据已上剖析,能够很显著见到,这类便是典型性的中介人(MITM)攻击。彼此推送的每封电子邮件事实上全是发给攻击者的,攻击者随后查询电子邮件,明确是不是必须编写一切內容,随后将电子邮件从有关的类似域分享到其初始到达站。

在全部攻击全过程中,攻击者向中国项目投资层面推送了18封仿冒的电子邮件,向以色列层面推送了14封仿冒的电子邮件。攻击者的细心、对关键点的留意和优良的侦查使此次攻击取得成功。

在攻击期内,中国企业和这个以色列新成立公司的CEO一度方案上海市区见面。在最后一刻,攻击者向彼此推送了一封电子邮件,取消了大会,为她们没法碰面出示了不一样的托词。

4】.png

要是没有攻击者的这一关键行动,全部实际操作很有可能会不成功。假如要召开会议,那在大会期内,将规定账号使用者认证全部的银行帐号的款是不是到账。假如那样,那攻击毫无疑问就穿帮图片了,因而,攻击者会采取一定的有效措施保证 这类状况不容易产生,这表明攻击者的工作经验比较丰富。

5.png

更恐怖的是,在发生了那样的偷盗以后,攻击者并沒有停手的含意,只是再接再厉,尝试开展新一轮的风投行骗。能够从下面的图中见到,这名以色列首席运营官在被行骗后每个月还会继续接到一封电子邮件,规定他开展互联网汇钱。邮件內容以下:

减轻对策

1.全自动阻拦:电子邮件是目前为止对商业服务互联网开展攻击的第一大媒体。垂钓邮件会诱惑客户曝露她们的机构资格证书或点一下一个故意连接/文档是电子邮件攻击的一号威协,公司务必装有电子邮件安全性解决方法,致力于避免 这类攻击全自动运用不断创新的安全性模块。

2.文化教育你的职工:最重要的是,对职工开展适度的、不断的文化教育,让她们掌握电子邮件攻击的威协。

3.当解决网上交易时,一定要加上二次验证,不论是打电话给规定汇钱的人還是打电话给接受方。

4.保证 你的电子邮件服务器托管最少可以追朔六个月之内的审批和浏览系统日志,在起动方式下,根据安全系数和系统日志纪录来迅速搭建系统架构非常容易。

5.在解决异常或已确定的网络信息安全恶性事件时,要尽量多地获得直接证据,删掉直接证据总是协助攻击者。此外,立即捕捉恶性事件产生时的直接证据还能够保证 关键的系统日志和直接证据不容易被遮盖。

6.运用一种专用工具来鉴别与你自身的网站域名类似的新域名注册。

7.准备充分好恶性事件回应方案和战略IR台本!在危機产生前了解该干什么能够简单化回应主题活动,降低挽救需要的時间。

针对电子邮件安全系数,Check Point根据人工智能技术的安全系数模块包含一个高級的反钓鱼攻击模块,该模块取决于行为分析,致力于避免 与该实例相近的精准攻击。

全文详细地址: https://www.4hou.com/web/21993.html

上一篇SUDO安全性绕开系统漏洞– CVE-2019-14287下一篇API 插口网站渗透测试

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句