您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
新的網絡安全BEC攻擊冒充供應商
金融行業(yè)供應鏈攻擊是商業(yè)電子郵件攻擊(BEC)下面的一個子類,其手段似乎非常有效,似乎越來越猖獗。Abnormal Security近日發(fā)現了一伙惡意威脅分子——它稱之為Firebrick Ostrich,該團伙使用金融供應鏈攻擊這種花招來誘騙目標進行支付。
這家安全公司此前已發(fā)現了四種金融供應鏈攻擊,這幾種攻擊不需要冒充目標公司的內部高管,而是冒充目標公司的其中一家供應商。Abnormal Security表示,Firebrick Ostrich使用了其中一種類型的金融供應鏈攻擊:第三方偵察攻擊,實施了346起B(yǎng)EC攻擊活動(最早可以追溯到2021年4月),冒充151家組織,并使用212個惡意注冊的域名,幾乎全部在美國境內。
Abnormal Security的威脅情報主管Crane Hassold表示,通過冒充外部第三方騙取的資金比傳統(tǒng)的BEC攻擊手法多出三倍。攻擊能夠得逞,源于受害者缺乏安全意識,因為許多公司及員工接受培訓后只懂得尋找冒充內部高管的郵件,而不是冒充供應商的郵件。
他說:“此外,如果你仔細觀察第三方偵察及其他金融供應鏈攻擊,就會發(fā)現誘騙的有效性取決于他們能夠在郵件中添加的信息量——這些信息使它們看起來比其他形式的BEC更為逼真?!?/span>
Hassold特別指出,每年因BEC而造成的損失高達數百億美元;BEC是自2016年以來企業(yè)蒙受經濟損失的主要原因。
他說:“由于攻擊者冒充外部實體,BEC在去年上半年真正呈井噴之勢,達到了高峰。這是一個很大的變化,因為自BEC問世以來,其手段主要是冒充內部實體。BEC攻擊者已將第三方(包括供應商)視為整條鏈中的薄弱一環(huán)?!?/span>
靠技術含量低的冒充手段大撈一把
據Hassold聲稱,從網絡犯罪這門行當的角度來看,發(fā)起第三方偵察攻擊所需的開銷很低。只需要基本的偵察和信息收集,不需要底層基礎設施或開發(fā)人員來維護和改進惡意軟件。只需要發(fā)送電子郵件,所以從開銷角度來看,這非常有利可圖。
據Abnormal聲稱,冒充第三方的攻擊(主要源自西非)使用了分三步走的過程(圖A)。
圖A:第三方偵察攻擊的三個步驟是1)進行開源研究,2)搭建攻擊基礎設施,3)向客戶發(fā)送針對性的電子郵件(圖片來源:Abnormal Security)。
1. 對供應商客戶關系進行開源研究,信息可能來自州和地方政府(提供有關新舊合同的詳細信息),也可能來自供應商網站(供應商在網站上顯示了客戶的名稱或標志),甚至可以上網搜索公司名稱以查看可能的聯系信息。
2. 搭建攻擊基礎設施:威脅團伙注冊一個域,使用Namecheap或谷歌作為注冊機構以冒充供應商的域,然后欺騙這家供應商的應付賬款員工的電子郵件地址。
3. 向客戶發(fā)送針對性的電子郵件:攻擊者向供應商的客戶發(fā)送電子郵件,詢問潛在的未付發(fā)票或提供更新后的賬戶信息(以便接收將來支付的款項)。
注冊域名一周內攻擊
據Abnormal Security聲稱,Firebrick Ostrich使用新注冊的域名恰恰表明,新注冊域名結合其他行為指標是識別威脅的有效信號。Abnormal Security聲稱,Firebrick Ostrich注冊的域名中60%是在實施使用了這些域名的BEC活動的當天注冊的;大約四分之三的域名是在攻擊后48小時內獲得的,89%的域名是在攻擊后一周內注冊的。
Firebrick Ostrich使用新注冊的域名,創(chuàng)建電子郵件地址,冒充實際的供應商賬戶管理人員,然后趁機為攻擊提供便利,主賬戶通過模仿供應商的實際應收賬款專員與攻擊目標進行聯系。輔助性的電子郵件賬戶可能包括供應商的財務高管,為攻擊增加了一層真實性。
“合理”的請求和長遠策略
Abnormal Security的報告稱,Firebrick Ostrich攻擊中的初始電子郵件通常以問候開頭,比如供應商“非常感謝您這個重要客戶,我們感謝您的持續(xù)合作”,后面可能跟有兩個請求:
第一個請求表明供應商希望想要更新保存在客戶處的銀行賬戶。郵件特意提到了供應商無法通過支票收款,于是ACH和電匯支付是唯一的兩個選擇。
第二個請求查詢應付給供應商的任何未付款項。郵件聲稱,由于供應商的會計團隊無法審核賬戶,供應商因而無法跟蹤已開的發(fā)票。Firebrick Ostrich在一封電子郵件中提供了更多細節(jié),聲稱賬戶團隊“無法進入到服務器或無法進入到Oracle系統(tǒng),以審查賬戶或公布已收到的付款?!?/span>
Hassold說:“我們發(fā)現,在許多第三方偵察攻擊中,謊稱遇到技術問題是一個常見的借口,以解釋為什么供應商無法訪問自己的發(fā)票庫存,但郵件開頭先奉承收件人似乎是這個BEC團伙所特有的?!?/span>
另一種策略特別隱秘,因為它不要求當前發(fā)票付款,而只是要求更新供應商存儲的銀行賬戶資料,以便將來的任何付款都可以轉入到這個新賬戶。Abnormal Security表示,這避開了應付賬款專員接受過培訓后可能會留意到的危險信號。得到下一筆發(fā)票款項的將是威脅分子,而不是實際供應商。
這個團伙的獨特之處在于,即使不需要攻陷帳戶,也不需要深入研究供應商與客戶的關系,他們照樣大獲成功。據Abnormal Security聲稱,只需使用相當明顯的社會工程伎倆,威脅團伙就能發(fā)現開展成功的BEC活動所需要的一切,不需要往初始研究上投入大量的時間或資源。
最佳防御是全面篩查
Hassold表示,可識別靜態(tài)攻擊指標的電子郵件標記技術不足以防御BEC攻擊;他推薦采用一種更全面的防御方法,使用行為分析等技術來了解發(fā)件人和收件人之間的關系。這種全面策略還包含關于目標公司的第三方供應商生態(tài)系統(tǒng)的信息,并密切關注欺騙供應商的特定的冒充攻擊以及可疑的語言和線索。
他說:“了解整個網絡威脅領域所出現的趨勢,并確保員工們意識到這些趨勢,這一點至關重要。這意味著,當他們看到請求賬戶更改或咨詢技術問題之類郵件的類似Firebrick Ostrich的攻擊時,他們已經有了內部策略,在實際更改之前就已經向供應商線下驗證了這些請求。我們認為網絡攻擊錯綜復雜,但歸根結底,絕大多數網絡攻擊只不過是社會工程伎倆,企圖操縱人類行為——讓人們做一些他們原本不會做的事情。”
參考及來源:https://www.techrepublic.com/article/cybersecurity-bec-attack-mimics-vendors/
來源:嘶吼專業(yè)版