經(jīng)驗豐富的詐騙犯在仔細(xì)地處理了一份電子郵件妥協(xié)案后，從一家美國公司手中奪走了1500萬美元，這項妥協(xié)花了大約兩個月才完成。

這名網(wǎng)絡(luò)犯罪分子在獲得有關(guān)一項商業(yè)交易的電子郵件對話后，以外科手術(shù)般的精準(zhǔn)執(zhí)行了他們的計劃。他們把自己插進(jìn)了交易所，轉(zhuǎn)移了付款，并能將盜竊行為隱藏得足夠長時間，以便拿到錢。

盡管研究人員調(diào)查了一個受害者的事件，但他們發(fā)現(xiàn)了一些線索，表明建筑、零售、金融和法律部門的數(shù)十家企業(yè)都在他們的目標(biāo)名單上。

[[344917]]

電子郵件第一階段

在演員確定了目標(biāo)后，他們花了大約兩個星期的時間嘗試訪問電子郵件帳戶。一到，他們又花了一周時間從受害者的郵箱里收集信息，并確定了一個機(jī)會。

負(fù)責(zé)調(diào)查這起事件的migrate公司的首席工程官arielparnes告訴BleepingComputer，他們的研究人員沒有在受害者系統(tǒng)上發(fā)現(xiàn)惡意軟件，這表明電子郵件登錄存在漏洞。

不過，帕恩斯告訴我們，電子郵件訪問是不夠的。由于參與者隨時可能丟失這些信息，他們創(chuàng)建了電子郵件轉(zhuǎn)發(fā)規(guī)則，以從受監(jiān)視的電子郵件收件箱中獲取消息。

通過使用microsoftoffice365電子郵件服務(wù)冒充交易雙方，網(wǎng)絡(luò)犯罪分子將能夠繼續(xù)攻擊。

Miligate說，威脅參與者使用Office 365帳戶發(fā)送電子郵件，以減少懷疑和逃避檢測。他們還通過GoDaddy注冊商(Wild West域名)注冊域名，這些域名與合法企業(yè)使用的域名相似(其中很多是在美國)。

這些細(xì)節(jié)讓Midget建立了一個模式，并發(fā)現(xiàn)了150多個這些流氓域名，揭示了網(wǎng)絡(luò)犯罪集團(tuán)的更大活動。

在四周的時間里，攻擊者利用從高級管理人員的收件箱中收集到的信息，小心地推進(jìn)了他們的計劃。他們在適當(dāng)?shù)臅r候利用假域名接管了對話，為資金轉(zhuǎn)移提供了修改過的細(xì)節(jié)。

第二階段-保護(hù)戰(zhàn)利品

不過，這并不是結(jié)束。當(dāng)資金流向錯誤的賬戶時，銀行可以鎖定交易，并及時標(biāo)記錯誤。威脅參與者很清楚這一細(xì)節(jié)，并為這一階段做好了準(zhǔn)備。

為了隱藏盜竊行為，直到他們把錢轉(zhuǎn)移到外國銀行并使其永遠(yuǎn)丟失，攻擊者使用收件箱過濾規(guī)則將郵件從特定的電子郵件地址移動到一個隱藏的文件夾中。

這一舉動讓合法收件箱擁有者不知道有關(guān)匯款的溝通。米蒂亞說，這場戲持續(xù)了大約兩周，足以讓這名演員的1500萬美元消失。

Midge在這起事件中的作用是調(diào)查受害者公司意識到他們的錢輸給了網(wǎng)絡(luò)罪犯之后發(fā)生了什么。研究人員正在幫助聯(lián)邦調(diào)查局和美國特勤局追蹤襲擊者。

通過遵循一組簡單的建議，組織可以加強(qiáng)對此類攻擊的防御，其中包括在Office 365中啟用雙因素身份驗證和防止電子郵件轉(zhuǎn)發(fā)到外部地址。

此外，Midge建議：

• 強(qiáng)制Office 365密碼更新
• 考慮阻止電子郵件自動轉(zhuǎn)發(fā)，讓網(wǎng)絡(luò)罪犯更難竊取你的信息
• 搜索收件箱中的隱藏文件夾
• 阻止可用于規(guī)避多因素身份驗證的舊電子郵件協(xié)議，如POP、IMAP和SMTP1
• 確保對郵箱登錄和設(shè)置的更改被記錄并保留90天
• 啟用對可疑活動(如外部登錄)的警報，并分析服務(wù)器日志中是否存在異常電子郵件訪問
• 考慮訂閱域管理服務(wù)
• 提高對電匯交易的認(rèn)識和審查控制(除了電子郵件，還包括電話驗證，以及驗證簽名和帳戶)