我们发现了各种网络犯罪分子利用监控受害者邮箱所收集来的信息以从企业窃取金钱的方法,其中“变更供货商”是最值得注意的。
步骤一:选择官方服务邮箱成为犯罪目标
我们发现在此案例中,网络犯罪分子专门针对中小型企业的公开电子邮件地址,我们的数据显示出这些都是“官方”公司邮件地址,格式通常为info@companyname.com或sales@companyname.com。
(目标邮件地址的类型)
这是一种有趣的策略,因为公司的官方邮件地址通常用来接收来自未知发件人的邮件,如果管理邮件账号的团队不够精明到能够识别社交工程邮件,就很有可能会打开这些网络犯罪分子所送来的邮件。
步骤二:进行接触,放长线钓大鱼
网络犯罪分子并没有立即送出恶意文件,而是送出真正用来联络目标的电子邮件。
(网络犯罪分子寄送给目标的初次邮件样本)
攻击者貌似无害的接触目标,试图得到目标的信任,一旦取得,便会寄送恶意的文件(在此例中为HawkEye)给目标。
(网络犯罪分子寄送给目标带有恶意文件的电子邮件样本)
步骤三:实时拦截正在讨论付款的电子邮件
一旦受害者感染了HawkEye,网络犯罪分子便能够监视目标的活动,并且查看可以利用来进行诈骗的信息。攻击者的目标可以存取受害公司的电子邮件账号,进而监视任何进行的对话,之后拦截对话并提供假帐户数据给客户,好加以劫持来进行“变更供货商”诈骗。一旦攻击成功,客户将付费给网络犯罪分子的帐户而非实际厂商。
(攻击者将所付费用转到自己帐户的邮件样本)
大丰收
虽然这种诈骗看起来技术并不复杂,它所需要的主要是利用受害者数据,但它对企业所造成的危害并不会比较小。假设网络犯罪分子能够在一段时间内同时攻击多个目标,就可以轻易地推论出他们可以通过这种骗局赚取更多。