We use cookies to ensure that we give you the best experience on our website.

首席財務官的網絡釣魚——黑客如何將數十億美元的詐騙變成一樁生意

黑客是否會聰明地了解誰持有公司信用卡號碼並故意針對首席財務官

網絡釣魚是黑客用來進入計算機系統的一種技術。網絡釣魚不是依靠複雜的技術、黑客技術和編碼來滲透系統,而是欺騙員工自願放棄密碼(或其他有價值的個人數據)。這就是為什麼它通常被稱為“社會工程”。

傳統上,針對大公司的網絡釣魚攻擊都是針對小企業的。無意中讓黑客進入系統的低級別員工。一旦進入網絡,黑客就可以更深入地滲透到公司的系統中——嵌入自己以注入複雜的惡意軟件和木馬。例如,過去,惡意漏洞被用來打開計算機麥克風或攝像頭來執行企業間諜活動。

現在,研究人員發現越來越多的證據表明黑客正在攻擊更高級的員工。根據 Agari 網絡情報部門 (ACID) 的說法一個名為“倫敦藍”的黑客組織一直將攻擊重點放在抵押貸款公司、會計師事務所和世界上一些最大銀行的首席財務官 (CFO) 上。

根據該網絡安全公司現已向美國和英國當局提交的證據,London Blue 黑客編制了一份包含 35,000 名公司 CFO 和 50,000 名會計部門高級目標的名單。黑客正在利用這些目標的電子郵件帳戶來欺騙其他高級員工,將資金轉移到屬於網絡犯罪團伙的帳戶。

針對 CFO 的網絡釣魚

該攻擊被稱為商業電子郵件洩露 (BEC)。就所有目的而言,BEC 與常規網絡釣魚攻擊完全相同。然而,通過訪問屬於首席財務官的公司電子郵件帳戶,黑客可以通過向其他員工發送內部電子郵件來更輕鬆地欺騙公司。

這次攻擊的可怕之處在於其執行的效率,阿加里將倫敦藍描述為相當於現代公司的黑客攻擊。 Agari 在論文中解釋說,London Blue 將任務分配給多名黑客員工,他們負責開發潛在客戶、財務運營和人力資源等角色。

根據研究,黑客一直在使用從兩個大型數據經紀人竊取的聯繫人列表來選擇目標。這些列表通常由營銷和銷售團隊用來產生潛在的銷售線索。 Agari 表示,通過網絡釣魚活動向成百上千的潛在目標發送垃圾郵件,即使是一小部分成功,它也能從中獲利。

Agari 威脅研究高級總監 Crane Hassold 評論說,此次攻擊是“純粹的社會工程“ 那是“上升是因為它已被證明有效。”

代價高昂的攻擊

根據 FBI 7 月份的報告,自 2013 年以來,此類詐騙已給企業造成超過 120 億美元的損失。 Agari 在美國、英國、西班牙、芬蘭、荷蘭和墨西哥等國家發現了受害者。

BEC 攻擊的受害者面臨的問題是,相關電子郵件看起來是合法的,而且當高級員工要求您做某事時(通常會迅速遵守)。

Agari 解釋說,有一次,網絡犯罪分子能夠說服一家銀行的防損部門同意一筆超過 20,000 美元的交易。通常這種交易會受到二次檢查。


可悲的是,社會工程技術利用了人們之間的信任,迫使他們犯下代價高昂的人為錯誤。儘管安全措施已經存在,但如果對此類攻擊沒有足夠的了解,黑客就可以成功地玩數字遊戲,找到首席財務官,從而意外落入騙局。教育是關鍵,因為到目前為止,大公司的高級管理層根本沒有獲得他們需要的信息。

錯誤的目標

令人難以置信的是,據說當 London Blue 黑客試圖欺騙自己的首席財務官轉移大量資金時,Agari 發現了該黑客組織。當時,黑客冒充了網絡安全公司的首席執行官。對於阿加里來說幸運的是,這次社會工程的特殊嘗試失敗了。

然而,有趣的是,攻擊者已經成功進入了首席執行官的電子郵件帳戶,這證明即使是網絡安全公司的最高級別員工也可能成為網絡釣魚的受害者。

阿加里認為,黑客最初來自尼日利亞。然而,該公司表示,該黑客組織極其複雜,其成員分佈在歐盟和美國的多個地區。阿加里聲稱至少有兩名高級黑客居住在英國。當局希望首先抓住這些黑客,因為起訴他們會容易得多。


企業應該做什麼?

在過去幾年中,高級網絡釣魚大幅增加。過去,公司會專注於教育較低級別的員工。這是有道理的,因為有數百甚至數千名員工 - 所有這些員工都可能遭受網絡釣魚攻擊。

事實上,近年來,公司實際上已經決定開始對員工進行內部網絡釣魚攻擊的培訓。如果一名員工陷入網絡釣魚詐騙,他們會被挑選出來並接受更多培訓。隨著時間的推移,公司將增加網絡釣魚活動的難度,以便員工越來越善於發現攻擊。現在,似乎更多的高級員工也需要開始考慮培訓。

很多時候,管理職位的人員無法學習基本的安全要點,而下層員工則接受了大量的培訓。管理人員現在必須努力確保自己不會成為受害者。當涉及到社會工程時,如果準備不足,任何人都可能成為受害者。

最後,儘管當高層員工成為攻擊目標時,公司可能會感到尷尬,但重要的是他們必須迅速採取行動,向當局舉報欺詐行為。 FBI IC3 部門此前曾評論道:

“如果您發現欺詐性轉賬,時間至關重要。首先,聯繫您的金融機構並要求收回資金。不同的金融機構有不同的政策;重要的是要了解您的金融機構在嘗試追回資金時會提供哪些幫助。”

“執法部門或許能夠協助金融機構追回資金。IC3 將能夠協助金融機構和執法部門追回資金。”

圖片來源:DRogatnev/Shutterstock.com、Vitaly Raduntsev/Shutterstock.com、

Related articles