We use cookies to ensure that we give you the best experience on our website.

首席财务官的网络钓鱼——黑客如何将数十亿美元的诈骗变成一桩生意

黑客是否会聪明地了解谁持有公司信用卡号码并故意针对首席财务官

网络钓鱼是黑客用来进入计算机系统的一种技术。网络钓鱼不是依靠复杂的技术、黑客技术和编码来渗透系统,而是欺骗员工自愿放弃密码(或其他有价值的个人数据)。这就是为什么它通常被称为“社会工程”。

传统上,针对大公司的网络钓鱼攻击都是针对小企业的。无意中让黑客进入系统的低级别员工。一旦进入网络,黑客就可以更深入地渗透到公司的系统中——嵌入自己以注入复杂的恶意软件和木马。例如,过去,恶意漏洞被用来打开计算机麦克风或摄像头来执行企业间谍活动。

现在,研究人员发现越来越多的证据表明黑客正在攻击更高级的员工。根据 Agari 网络情报部门 (ACID) 的说法一个名为“伦敦蓝”的黑客组织一直将攻击重点放在抵押贷款公司、会计师事务所和世界上一些最大银行的首席财务官 (CFO) 上。

根据该网络安全公司现已向美国和英国当局提交的证据,London Blue 黑客编制了一份包含 35,000 名公司 CFO 和 50,000 名会计部门高级目标的名单。黑客正在利用这些目标的电子邮件帐户来欺骗其他高级员工,将资金转移到属于网络犯罪团伙的帐户。

针对 CFO 的网络钓鱼

该攻击被称为商业电子邮件泄露 (BEC)。就所有目的而言,BEC 与常规网络钓鱼攻击完全相同。然而,通过访问属于首席财务官的公司电子邮件帐户,黑客可以通过向其他员工发送内部电子邮件来更轻松地欺骗公司。

这次攻击的可怕之处在于其执行的效率,阿加里将伦敦蓝描述为相当于现代公司的黑客攻击。 Agari 在论文中解释说,London Blue 将任务分配给多名黑客员工,他们负责开发潜在客户、财务运营和人力资源等角色。

根据研究,黑客一直在使用从两个大型数据经纪人窃取的联系人列表来选择目标。这些列表通常由营销和销售团队用来产生潜在的销售线索。 Agari 表示,通过网络钓鱼活动向成百上千个潜在目标发送垃圾邮件,即使成功的一小部分,它也能从中获利。

Agari 威胁研究高级总监 Crane Hassold 评论说,此次攻击是“纯粹的社会工程“ 那是“上升是因为它已被证明有效。”

代价高昂的攻击

根据 FBI 7 月份的报告,自 2013 年以来,此类诈骗已给企业造成超过 120 亿美元的损失。Agari 在美国、英国、西班牙、芬兰、荷兰和墨西哥等国家发现了受害者。

BEC 攻击的受害者面临的问题是,相关电子邮件看起来是合法的,而且当高级员工要求您做某事时(通常会迅速遵守)。

Agari 解释说,有一次,网络犯罪分子能够说服一家银行的防损部门同意一笔超过 20,000 美元的交易。通常这种交易会受到二次检查。


可悲的是,社会工程技术利用了人们之间的信任,迫使他们犯下代价高昂的人为错误。尽管安全措施已经存在,但如果对此类攻击没有足够的了解,黑客就可以成功地玩数字游戏,找到首席财务官,从而意外落入骗局。教育是关键,因为到目前为止,大公司的高级管理层根本没有获得他们需要的信息。

错误的目标

令人难以置信的是,据说当 London Blue 黑客试图欺骗自己的首席财务官转移大量资金时,Agari 发现了该黑客组织。当时,黑客冒充了网络安全公司的首席执行官。对于阿加里来说幸运的是,这次社会工程的特殊尝试失败了。

然而,有趣的是,攻击者已经成功进入了首席执行官的电子邮件帐户,这证明即使是网络安全公司的最高级别员工也可能成为网络钓鱼的受害者。

阿加里认为,黑客最初来自尼日利亚。然而,该公司表示,该黑客组织极其复杂,其成员分布在欧盟和美国的多个地区。阿加里声称至少有两名高级黑客居住在英国。当局希望首先抓住这些黑客,因为起诉他们会容易得多。


企业应该做什么?

在过去几年中,高级网络钓鱼大幅增加。过去,公司会专注于教育较低级别的员工。这是有道理的,因为有数百甚至数千名员工 - 所有这些员工都可能遭受网络钓鱼攻击。

事实上,近年来,公司实际上已经决定开始对员工进行内部网络钓鱼攻击的培训。如果一名员工陷入网络钓鱼诈骗,他们会被挑选出来并接受更多培训。随着时间的推移,公司将增加网络钓鱼活动的难度,以便员工越来越善于发现攻击。现在,似乎更多的高级员工也需要开始考虑培训。

很多时候,管理职位的人员无法学习基本的安全要点,而下层员工则接受了大量的培训。管理人员现在必须努力确保自己不会成为受害者。当涉及到社会工程时,如果准备不足,任何人都可能成为受害者。

最后,尽管当高层员工成为攻击目标时,公司可能会感到尴尬,但重要的是他们必须迅速采取行动,向当局举报欺诈行为。 FBI IC3 部门此前曾评论道:

“如果您发现欺诈性转账,时间至关重要。首先,联系您的金融机构并要求收回资金。不同的金融机构有不同的政策;重要的是要了解您的金融机构在尝试追回资金时会提供哪些帮助。”

“执法部门或许能够协助金融机构追回资金。IC3 将能够协助金融机构和执法部门追回资金。”

图片来源:DRogatnev/Shutterstock.com、Vitaly Raduntsev/Shutterstock.com、

Related articles