您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
新的網(wǎng)絡(luò)安全BEC攻擊冒充供應商
金融行業(yè)供應鏈攻擊是商業(yè)電子郵件攻擊(BEC)下面的一個子類,其手段似乎非常有效,似乎越來越猖獗。Abnormal Security近日發(fā)現(xiàn)了一伙惡意威脅分子——它稱之為Firebrick Ostrich,該團伙使用金融供應鏈攻擊這種花招來誘騙目標進行支付。
這家安全公司此前已發(fā)現(xiàn)了四種金融供應鏈攻擊,這幾種攻擊不需要冒充目標公司的內(nèi)部高管,而是冒充目標公司的其中一家供應商。Abnormal Security表示,F(xiàn)irebrick Ostrich使用了其中一種類型的金融供應鏈攻擊:第三方偵察攻擊,實施了346起B(yǎng)EC攻擊活動(最早可以追溯到2021年4月),冒充151家組織,并使用212個惡意注冊的域名,幾乎全部在美國境內(nèi)。
Abnormal Security的威脅情報主管Crane Hassold表示,通過冒充外部第三方騙取的資金比傳統(tǒng)的BEC攻擊手法多出三倍。攻擊能夠得逞,源于受害者缺乏安全意識,因為許多公司及員工接受培訓后只懂得尋找冒充內(nèi)部高管的郵件,而不是冒充供應商的郵件。
他說:“此外,如果你仔細觀察第三方偵察及其他金融供應鏈攻擊,就會發(fā)現(xiàn)誘騙的有效性取決于他們能夠在郵件中添加的信息量——這些信息使它們看起來比其他形式的BEC更為逼真?!?/span>
Hassold特別指出,每年因BEC而造成的損失高達數(shù)百億美元;BEC是自2016年以來企業(yè)蒙受經(jīng)濟損失的主要原因。
他說:“由于攻擊者冒充外部實體,BEC在去年上半年真正呈井噴之勢,達到了高峰。這是一個很大的變化,因為自BEC問世以來,其手段主要是冒充內(nèi)部實體。BEC攻擊者已將第三方(包括供應商)視為整條鏈中的薄弱一環(huán)?!?/span>
靠技術(shù)含量低的冒充手段大撈一把
據(jù)Hassold聲稱,從網(wǎng)絡(luò)犯罪這門行當?shù)慕嵌葋砜?,發(fā)起第三方偵察攻擊所需的開銷很低。只需要基本的偵察和信息收集,不需要底層基礎(chǔ)設(shè)施或開發(fā)人員來維護和改進惡意軟件。只需要發(fā)送電子郵件,所以從開銷角度來看,這非常有利可圖。
據(jù)Abnormal聲稱,冒充第三方的攻擊(主要源自西非)使用了分三步走的過程(圖A)。
圖A:第三方偵察攻擊的三個步驟是1)進行開源研究,2)搭建攻擊基礎(chǔ)設(shè)施,3)向客戶發(fā)送針對性的電子郵件(圖片來源:Abnormal Security)。
1. 對供應商客戶關(guān)系進行開源研究,信息可能來自州和地方政府(提供有關(guān)新舊合同的詳細信息),也可能來自供應商網(wǎng)站(供應商在網(wǎng)站上顯示了客戶的名稱或標志),甚至可以上網(wǎng)搜索公司名稱以查看可能的聯(lián)系信息。
2. 搭建攻擊基礎(chǔ)設(shè)施:威脅團伙注冊一個域,使用Namecheap或谷歌作為注冊機構(gòu)以冒充供應商的域,然后欺騙這家供應商的應付賬款員工的電子郵件地址。
3. 向客戶發(fā)送針對性的電子郵件:攻擊者向供應商的客戶發(fā)送電子郵件,詢問潛在的未付發(fā)票或提供更新后的賬戶信息(以便接收將來支付的款項)。
注冊域名一周內(nèi)攻擊
據(jù)Abnormal Security聲稱,F(xiàn)irebrick Ostrich使用新注冊的域名恰恰表明,新注冊域名結(jié)合其他行為指標是識別威脅的有效信號。Abnormal Security聲稱,F(xiàn)irebrick Ostrich注冊的域名中60%是在實施使用了這些域名的BEC活動的當天注冊的;大約四分之三的域名是在攻擊后48小時內(nèi)獲得的,89%的域名是在攻擊后一周內(nèi)注冊的。
Firebrick Ostrich使用新注冊的域名,創(chuàng)建電子郵件地址,冒充實際的供應商賬戶管理人員,然后趁機為攻擊提供便利,主賬戶通過模仿供應商的實際應收賬款專員與攻擊目標進行聯(lián)系。輔助性的電子郵件賬戶可能包括供應商的財務(wù)高管,為攻擊增加了一層真實性。
“合理”的請求和長遠策略
Abnormal Security的報告稱,F(xiàn)irebrick Ostrich攻擊中的初始電子郵件通常以問候開頭,比如供應商“非常感謝您這個重要客戶,我們感謝您的持續(xù)合作”,后面可能跟有兩個請求:
第一個請求表明供應商希望想要更新保存在客戶處的銀行賬戶。郵件特意提到了供應商無法通過支票收款,于是ACH和電匯支付是唯一的兩個選擇。
第二個請求查詢應付給供應商的任何未付款項。郵件聲稱,由于供應商的會計團隊無法審核賬戶,供應商因而無法跟蹤已開的發(fā)票。Firebrick Ostrich在一封電子郵件中提供了更多細節(jié),聲稱賬戶團隊“無法進入到服務(wù)器或無法進入到Oracle系統(tǒng),以審查賬戶或公布已收到的付款?!?/span>
Hassold說:“我們發(fā)現(xiàn),在許多第三方偵察攻擊中,謊稱遇到技術(shù)問題是一個常見的借口,以解釋為什么供應商無法訪問自己的發(fā)票庫存,但郵件開頭先奉承收件人似乎是這個BEC團伙所特有的?!?/span>
另一種策略特別隱秘,因為它不要求當前發(fā)票付款,而只是要求更新供應商存儲的銀行賬戶資料,以便將來的任何付款都可以轉(zhuǎn)入到這個新賬戶。Abnormal Security表示,這避開了應付賬款專員接受過培訓后可能會留意到的危險信號。得到下一筆發(fā)票款項的將是威脅分子,而不是實際供應商。
這個團伙的獨特之處在于,即使不需要攻陷帳戶,也不需要深入研究供應商與客戶的關(guān)系,他們照樣大獲成功。據(jù)Abnormal Security聲稱,只需使用相當明顯的社會工程伎倆,威脅團伙就能發(fā)現(xiàn)開展成功的BEC活動所需要的一切,不需要往初始研究上投入大量的時間或資源。
最佳防御是全面篩查
Hassold表示,可識別靜態(tài)攻擊指標的電子郵件標記技術(shù)不足以防御BEC攻擊;他推薦采用一種更全面的防御方法,使用行為分析等技術(shù)來了解發(fā)件人和收件人之間的關(guān)系。這種全面策略還包含關(guān)于目標公司的第三方供應商生態(tài)系統(tǒng)的信息,并密切關(guān)注欺騙供應商的特定的冒充攻擊以及可疑的語言和線索。
他說:“了解整個網(wǎng)絡(luò)威脅領(lǐng)域所出現(xiàn)的趨勢,并確保員工們意識到這些趨勢,這一點至關(guān)重要。這意味著,當他們看到請求賬戶更改或咨詢技術(shù)問題之類郵件的類似Firebrick Ostrich的攻擊時,他們已經(jīng)有了內(nèi)部策略,在實際更改之前就已經(jīng)向供應商線下驗證了這些請求。我們認為網(wǎng)絡(luò)攻擊錯綜復雜,但歸根結(jié)底,絕大多數(shù)網(wǎng)絡(luò)攻擊只不過是社會工程伎倆,企圖操縱人類行為——讓人們做一些他們原本不會做的事情?!?/span>
參考及來源:https://www.techrepublic.com/article/cybersecurity-bec-attack-mimics-vendors/
來源:嘶吼專業(yè)版