俄罗斯首个BEC商业电子邮件诈骗犯罪网络浮出水面
近日,Agari的安全研究人员发现了有史以来第一个报告的俄罗斯商业电子邮件泄露(BEC)网络犯罪网络,该犯罪网络也是Nigerian Scammer的幕后黑手,最近正在将目光投向基于电子邮件的攻击媒介。
这个俄罗斯BEC团伙被代号Cosmic Lynx,自去年7月以来,已经针对46个国家/地区的200多个高级管理人员发动BEC邮件诈骗攻击。与其他常规的BEC骗局不同,Cosmic Lynx的电子邮件内容非常逼真,以没有部署DMARC邮件安全策略的受害者为目标,并利用伪造的“合并并购”方案来窃取更大额资金。
据Agari的研究人员说:
这是向全球电子邮件威胁态势的历史性转变,预示着全球CISO必须立即应对的新型复杂的社交网络钓鱼攻击。 |
研究人员说,大多数BEC诈骗团伙团体都没有特定的攻击目标,但Cosmic Lynx则具有明确的针对性,它专门寻找具有重要全球影响力的大型跨国组织,其中包括许多财富500强或全球2,000强公司。Agari表示,Cosmic Lynx的目标员工通常是高级管理人员,其中75%担任副总裁、总经理或常务董事的头衔。
几乎所有攻击事件的说辞都是受害者的公司正准备与一家亚洲公司达成收购协议。Cosmic Lynx声称自己是这家亚洲公司的首席执行官,并要求目标员工与“外部法律顾问”合作,以协调完成收购所需的付款。由于其敏感的性质,要求目标员工对交易的细节保密,直到交易完成为止,这使欺诈行为更容易被发现而不被发现。
研究人员说,Cosmic Lynx电子邮件的内容非常“规范和专业”,与通常使用较差语法的其他BEC攻击迥然不同。
研究人员说:
与大多数BEC电子邮件中拼写错误的单词和语法错误不同,Cosmic Lynx电子邮件通常非常详细,并且几乎用完美的英语书写。在某些情况下,Cosmic Lynx使用大多数人的词汇表中可能没有的专业书面单词,并在适当的上下文中使用。 |
图片:Agari
Cosmic Lynx往往会假借律师的身份来取得信任。例如,Cosmic Lynx劫持了英国某知名律师事务所中真正律师的身份,从而为其攻击增加了另一层合法性。
Cosmic Lynx首先注册一个与律师事务所的实际域名非常相似的域名,然后创建详细的电子邮件签名,其中包含模拟律师的照片、指向合法律师事务所网站的链接,甚至是保密免责声明。
最后,作为“收购”的一部分,要求目标员工将一笔或多笔付款发送到该组控制的子账户。然后,它将被盗资金通过香港的子账户转移。研究人员说,其他洗钱账户位于匈牙利、葡萄牙和罗马尼亚。他们说,该组织积极避免使用美国的洗钱账户。
图片:Agari
Cosmic Lynx攻击得手后索要的金额也明显高于平均值,在大多数高管模仿BEC攻击中,平均索要的金额为55,000美元,但研究人员表示,Cosmic Lynx电子邮件索要金额高达数十万美元,有时甚至数百万美元。
Cosmic Lynx还会嗅探尚未部署DMARC策略的组织。创建DMARC的目的是防止恶意行为者在发送电子邮件时直接欺骗组织的域。如果目标没有DMARC策略,则威胁组将直接假冒CEO的电子邮件地址,并将Reply-To电子邮件设置为他们实际用于与受害者通信的操作电子邮件账户。
研究人员说:
假冒CEO的电子邮件地址可以增强其电子邮件的真实性。基于我们对Cosmic Lynx历史攻击的分析,很明显,该小组知道哪些目标组织实施了有效的DMARC政策,哪些组织没有实施。 |
2020年,网络钓鱼诈骗继续给公司造成严重损失。FBI在2月份发布的IC3年度网络犯罪报告中表示,企业电子邮件泄露(BEC)攻击在2019年给受害者造成了17亿美元的损失。在2019年,这些类型的“成功”攻击案例包括媒体集团Nikkei(2,900万美元)、德克萨斯州学区(230万美元),甚至还有一个社区非营利组织(120万美元)。诈骗的对象不限于企业,甚至包括市政府和教堂。例如佛罗里达州的奥卡拉市政府(City of Ocala),被诈骗了742,000美元,而俄亥俄州布伦瑞克(Brunswick)的一座教堂,去年8月被诈骗了175万美元。
研究人员警告说,Cosmic Lynx代表了新型的更复杂、更难检测的BEC攻击。
与传统的BEC团体不同,Cosmic Lynx展示了开发更复杂和更具创造性的攻击的能力,这使它们与我们每天看到的更通用的BEC攻击有显著区别。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
TikTok或被美国禁用!白宫称威胁美国国家安全,呼吁民众谨慎下载
大数据文摘出品 作者:刘俊寰、魏子敏 一周前印度刚刚封杀了中国59款APP,本周,美国也向中国的出海软件动手了。 周一,美国国务卿Mike Pompeo表示,美国或将禁止中国多款社交媒体软件,其中就包括在海外多国大火的抖音国际版TikTok。 根据市场研究公司Sensor Tower的数据,在美国,抖音海外版TikTok是2020年上半年仅次于Zoom的第二大下载应用程序。该公司称TikTok迄今为止在苹果和谷歌商店的下载量已达到1.847亿,而2020年美国的人口为3.2亿,也就是说,差不多一半以上的美国人终端机里安装了这款应用。 就新增用户而言,美国是TikTok的第三大市场,仅次于印度和巴西。TikTok凭借引人入胜的视频内容已经获得了数百万美元的收益。 也正因如此,白宫对这款杀入美国超过半数居民人数的中国软件格外紧张。 在接受福克斯新闻采访时,针对后续可能出台的一系列政策,Pompeo表示“对此十分重视”。“对于美国人民手机上安装的中国APP,我们正在进行深入的调查,会处理好这件事。” 华盛顿的高级外交官补充道,他们应该思考是否要“把自己的私人信息交由中国科技公司负责”后,再决...
- 下一篇
D3.js 力导向图的显示优化(二)- 自定义功能
摘要: 在本文中,我们将借助 D3.js 的灵活性这一优势,去新增一些 D3.js 本身并不支持但我们想要的一些常见的功能:Nebula Graph 图探索的删除节点和缩放功能。 文章首发于 Nebula Graph 官博:https://nebula-graph.com.cn/posts/d3-js-examples-for-advaned-uses/ 前言 在上篇文章中(D3.js 力导向图的显示优化),我们说过 D3.js 在自定义图形上相较于其他开源可视化库的优势,以及如何对文档对象模型(DOM)进行灵活操作。既然 D3.js 辣么灵活,那是不是实现很多我们想做的事情呢?在本文中,我们将借助 D3.js 的灵活性这一优势,去新增一些 D3.js 本身并不支持但我们想要的一些常见的功能。 构建 D3.js 力导向图 在这里我们就不再细说 d3-force 粒子物理运动模块原理,感兴趣同学可以看看我们的上篇的简单描述, 本次实践我们侧重于可视化操作的功能实现。 好的,进入我们的实践时间,我们还是以 D3.js 力导向图对图数据库的数据关系进行分析为目的,增加一些我们想要功能。 首先...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8编译安装MySQL8.0.19
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS关闭SELinux安全模块
- Hadoop3单机部署,实现最简伪集群
- CentOS6,7,8上安装Nginx,支持https2.0的开启