基金公司被骗1000万美元!如何应对商业电子邮件诈骗?
北京时间4月29日消息,作为全球最大的主权财富基金 Norfund 基金因网络诈骗,被骗走 1000 万美元,而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。
据报道,挪威主权基金 Norfund (也被称为挪威国家基金)的资金来源于著名的北海油田收益,目前市值超过1万亿美元。该基金表示,有黑客操纵了该组织的一笔交易,将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户,结果导致该基金在3月份被骗 1 亿克朗(约为 1000 万美元)。该基金表示,这笔钱似乎已经从柬埔寨转移到了墨西哥,由于损失巨大,国际警方已经介入调查此事。
Norfund 在谈到这起网络攻击诈骗案时表示:“在这段时间里,诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式,操纵和伪造了 Norfund 与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户。
其实这个骗局很简单,但却非常有效。骗子会先欺骗公司里的某个关键人物,然后欺骗公司里的其他人把钱转到一个新账户里,因为这些付款在计划中是合法和得到授权的,所以受害者通常要到最后才反应过来。
- 骗子是如何展开商业电子邮件诈骗?
商业电子邮件诈骗(Business Email Compromise,简称 BEC),在 BEC 诈骗案中,钓鱼邮件是这类攻击的第一步,攻击者组织只针对个别员工发动网络钓鱼攻击。后续在准备阶段,攻击者为了不被发现,会窜改受害者的电子邮件规则,并利用注册相似的电子邮箱来冒充另一方身份。
攻击者在窃取公司员工电子邮件账号密码后,会先阅读该公司的电子邮件,以掌握一些关键信息,包括公司汇款的各个渠道,公司内部的重要角色,以及公司外部如客户、律师、会计师与银行等第三方合作关系。他们可能会耐心观察数周或数月,以描绘出公司的业务计划和流程。
接下来,攻击者会为之后的攻击做准备,包括对该公司人员的邮件进行控制与隔离,以及注册与往来公司相似的域名。攻击者会通过建立邮件规则的方式,让受害者与其他人的邮件隔离。例如,收到含有发票(invoice)、退回(returned)、失败(fail)文字内容的邮件时,自动转移到其他邮件文件夹中。
此外,攻击者会注册相似的域名并发送电子邮件,以伪装成该公司或合作公司的来信。比如,假设该公司域名是 finance-firm.com,与合作公司域名是 banking-service.com,攻击者可以注册 finance-firms.com 与 banking-services.com,域名当中多了一个 s,收件人容易忽略,误以为仍是对方来信或回信。
后续,攻击者在要钱阶段会通过两种手法,包括拦截合法电汇交易,以及产生新的电汇交易。到了最后的转账阶段,攻击者将会持续介入操控这些邮件,直到第三方批准新的银行信息并确认交易。
由于有些公司使用的是 Office 365 的电子邮件,黑客的钓鱼邮件内容,是伪装成Office 365 错误信息的通知。Office 365 企业用户要小心了,才刚改版 1 个月的 Azure AD 登入页面(sign-in pages)已经出现伪造版本,攻击者通过钓鱼邮件将用户引至恶意网站以窃取账号密码。据统计,91% 的网络攻击都从钓鱼邮件开始,所以提高网络安全防护能力要从邮件安全开始。
近些年,BEC 诈骗案频频发生,不少金融公司被骗,造成巨大损失。守内安提醒企业用户,对于这种网络诈骗要有所警惕与认知。针对如何防止成为 BEC 诈骗案的受害者,守内安给出如下建议:
- 仔细检查所有的电子邮件,小心来自主管的不寻常邮件,重视要求资金转移的邮件。
- 对员工进行网络安全培训,帮助他们养成良好的安全习惯。
- 当供应商付款账号变更时,需由公司人员进行核实后再付款。
- 使用手机验证来确认资金转移请求以作为双因子认证。
- 如果你怀疑自己成为 BEC 诈骗邮件的目标,立即向公司 IT 部门反映。
- 守内安 BEC 诈骗解决方案
SPAM SQR 威胁邮件全防御
N-tier 多层次过滤机制,具备完善的威胁特征与恶意网址数据库,搭载多种防御引擎,利用差分更新技术,有效缩短零时差攻击的风险,提供企业更安全的邮件使用环境。
高级防御模块 ( Advanced Defense Module ),提供智能诈骗邮件行为特征检测,通过云端机制定期更新诈骗源数据库和诈骗特征,防御 BEC 诈骗邮件、冒名伪造网域社交邮件以及各式诈骗来源邮件。
SPAM SQR 协助揭露潜在威胁
密码强度检测模块,定期扫描用户密码强度,了解实际弱密码漏洞数与用户密码安全意识强弱。独立的威胁统计报表提供完整邮件收发情况、密码被猜测次数及认证来源异常、恶意连结不当点击等信息。并可通过系统自动汇总威胁指针触发的排行名单,让管理者快速定位被瞄准者与安全意识不足者。
可运用 SPAM SQR 约定往来信件的验证机制,如 SPF,DKIM,DMARC,降低待发邮件被伪造冒名的机会。
Mail SQR Expert 外发加密防伪、内发提醒
可将内容含有汇款账号,汇款金额关键词的待发邮件,将附件自动转为 PDF 并加密,收件人必须取得密码才能看到附件内容。
可将内容含有汇款账号,汇款金额关键词的待发邮件,转换成超链接发给收件人,收件人必须访问超链接输入密码才能看到信件内容。
当发件来源隐藏伪造特征,或 DKIM 验证失败的邮件,传送到客户端时,Mail SQR Expert 便会在邮件主题加以标注提醒,让收件人提高警惕。
相关文章
- 3条评论
- 夙世一镜2022-05-28 13:52:06
- 主管的不寻常邮件,重视要求资金转移的邮件。对员工进行网络安全培训,帮助他们养成良好的安全习惯。当供应商付款账号变更时,需由公司人员进行核实后再付款。使用手机验证来确认
- 鸽吻清晓2022-05-28 08:44:58
- 后续在准备阶段,攻击者为了不被发现,会窜改受害者的电子邮件规则,并利用注册相似的电子邮箱来冒充另一方身份。攻击者在窃取公司员工电子邮件账号密码后,会先阅读该公司的电子邮件,以掌握一些关键信息,包括公司汇
- 辙弃绮烟2022-05-28 13:41:52
- ail)文字内容的邮件时,自动转移到其他邮件文件夹中。此外,攻击者会注册相似的域名并发送电子邮件,以伪装成该公司或合作公司的来信。比如,假设该公司域名是 finance-firm.com,与合作公司域