金融行業(yè)供應(yīng)鏈攻擊是商業(yè)電子郵件攻擊(BEC)下面的一個(gè)子類(lèi)，其手段似乎非常有效，似乎越來(lái)越猖獗。Abnormal Security近日發(fā)現(xiàn)了一伙惡意威脅分子——它稱(chēng)之為Firebrick Ostrich，該團(tuán)伙使用金融供應(yīng)鏈攻擊這種花招來(lái)誘騙目標(biāo)進(jìn)行支付。

這家安全公司此前已發(fā)現(xiàn)了四種金融供應(yīng)鏈攻擊，這幾種攻擊不需要冒充目標(biāo)公司的內(nèi)部高管，而是冒充目標(biāo)公司的其中一家供應(yīng)商。Abnormal Security表示，F(xiàn)irebrick Ostrich使用了其中一種類(lèi)型的金融供應(yīng)鏈攻擊：第三方偵察攻擊，實(shí)施了346起B(yǎng)EC攻擊活動(dòng)(最早可以追溯到2021年4月)，冒充151家組織，并使用212個(gè)惡意注冊(cè)的域名，幾乎全部在美國(guó)境內(nèi)。

Abnormal Security的威脅情報(bào)主管Crane Hassold表示，通過(guò)冒充外部第三方騙取的資金比傳統(tǒng)的BEC攻擊手法多出三倍。攻擊能夠得逞，源于受害者缺乏安全意識(shí)，因?yàn)樵S多公司及員工接受培訓(xùn)后只懂得尋找冒充內(nèi)部高管的郵件，而不是冒充供應(yīng)商的郵件。

他說(shuō)：“此外，如果你仔細(xì)觀察第三方偵察及其他金融供應(yīng)鏈攻擊，就會(huì)發(fā)現(xiàn)誘騙的有效性取決于他們能夠在郵件中添加的信息量——這些信息使它們看起來(lái)比其他形式的BEC更為逼真?！?/span>

Hassold特別指出，每年因BEC而造成的損失高達(dá)數(shù)百億美元;BEC是自2016年以來(lái)企業(yè)蒙受經(jīng)濟(jì)損失的主要原因。

他說(shuō)：“由于攻擊者冒充外部實(shí)體，BEC在去年上半年真正呈井噴之勢(shì)，達(dá)到了高峰。這是一個(gè)很大的變化，因?yàn)樽訠EC問(wèn)世以來(lái)，其手段主要是冒充內(nèi)部實(shí)體。BEC攻擊者已將第三方(包括供應(yīng)商)視為整條鏈中的薄弱一環(huán)?！?/span>

靠技術(shù)含量低的冒充手段大撈一把

據(jù)Hassold聲稱(chēng)，從網(wǎng)絡(luò)犯罪這門(mén)行當(dāng)?shù)慕嵌葋?lái)看，發(fā)起第三方偵察攻擊所需的開(kāi)銷(xiāo)很低。只需要基本的偵察和信息收集，不需要底層基礎(chǔ)設(shè)施或開(kāi)發(fā)人員來(lái)維護(hù)和改進(jìn)惡意軟件。只需要發(fā)送電子郵件，所以從開(kāi)銷(xiāo)角度來(lái)看，這非常有利可圖。

據(jù)Abnormal聲稱(chēng)，冒充第三方的攻擊(主要源自西非)使用了分三步走的過(guò)程(圖A)。

圖A：第三方偵察攻擊的三個(gè)步驟是1)進(jìn)行開(kāi)源研究，2)搭建攻擊基礎(chǔ)設(shè)施，3)向客戶(hù)發(fā)送針對(duì)性的電子郵件(圖片來(lái)源：Abnormal Security)。

1. 對(duì)供應(yīng)商客戶(hù)關(guān)系進(jìn)行開(kāi)源研究，信息可能來(lái)自州和地方政府(提供有關(guān)新舊合同的詳細(xì)信息)，也可能來(lái)自供應(yīng)商網(wǎng)站(供應(yīng)商在網(wǎng)站上顯示了客戶(hù)的名稱(chēng)或標(biāo)志)，甚至可以上網(wǎng)搜索公司名稱(chēng)以查看可能的聯(lián)系信息。

2. 搭建攻擊基礎(chǔ)設(shè)施：威脅團(tuán)伙注冊(cè)一個(gè)域，使用Namecheap或谷歌作為注冊(cè)機(jī)構(gòu)以冒充供應(yīng)商的域，然后欺騙這家供應(yīng)商的應(yīng)付賬款員工的電子郵件地址。

3. 向客戶(hù)發(fā)送針對(duì)性的電子郵件：攻擊者向供應(yīng)商的客戶(hù)發(fā)送電子郵件，詢(xún)問(wèn)潛在的未付發(fā)票或提供更新后的賬戶(hù)信息(以便接收將來(lái)支付的款項(xiàng))。

注冊(cè)域名一周內(nèi)攻擊

據(jù)Abnormal Security聲稱(chēng)，F(xiàn)irebrick Ostrich使用新注冊(cè)的域名恰恰表明，新注冊(cè)域名結(jié)合其他行為指標(biāo)是識(shí)別威脅的有效信號(hào)。Abnormal Security聲稱(chēng)，F(xiàn)irebrick Ostrich注冊(cè)的域名中60%是在實(shí)施使用了這些域名的BEC活動(dòng)的當(dāng)天注冊(cè)的;大約四分之三的域名是在攻擊后48小時(shí)內(nèi)獲得的，89%的域名是在攻擊后一周內(nèi)注冊(cè)的。

Firebrick Ostrich使用新注冊(cè)的域名，創(chuàng)建電子郵件地址，冒充實(shí)際的供應(yīng)商賬戶(hù)管理人員，然后趁機(jī)為攻擊提供便利，主賬戶(hù)通過(guò)模仿供應(yīng)商的實(shí)際應(yīng)收賬款專(zhuān)員與攻擊目標(biāo)進(jìn)行聯(lián)系。輔助性的電子郵件賬戶(hù)可能包括供應(yīng)商的財(cái)務(wù)高管，為攻擊增加了一層真實(shí)性。

“合理”的請(qǐng)求和長(zhǎng)遠(yuǎn)策略

Abnormal Security的報(bào)告稱(chēng)，F(xiàn)irebrick Ostrich攻擊中的初始電子郵件通常以問(wèn)候開(kāi)頭，比如供應(yīng)商“非常感謝您這個(gè)重要客戶(hù)，我們感謝您的持續(xù)合作”，后面可能跟有兩個(gè)請(qǐng)求：

第一個(gè)請(qǐng)求表明供應(yīng)商希望想要更新保存在客戶(hù)處的銀行賬戶(hù)。郵件特意提到了供應(yīng)商無(wú)法通過(guò)支票收款，于是ACH和電匯支付是唯一的兩個(gè)選擇。

第二個(gè)請(qǐng)求查詢(xún)應(yīng)付給供應(yīng)商的任何未付款項(xiàng)。郵件聲稱(chēng)，由于供應(yīng)商的會(huì)計(jì)團(tuán)隊(duì)無(wú)法審核賬戶(hù)，供應(yīng)商因而無(wú)法跟蹤已開(kāi)的發(fā)票。Firebrick Ostrich在一封電子郵件中提供了更多細(xì)節(jié)，聲稱(chēng)賬戶(hù)團(tuán)隊(duì)“無(wú)法進(jìn)入到服務(wù)器或無(wú)法進(jìn)入到Oracle系統(tǒng)，以審查賬戶(hù)或公布已收到的付款。”

Hassold說(shuō)：“我們發(fā)現(xiàn)，在許多第三方偵察攻擊中，謊稱(chēng)遇到技術(shù)問(wèn)題是一個(gè)常見(jiàn)的借口，以解釋為什么供應(yīng)商無(wú)法訪問(wèn)自己的發(fā)票庫(kù)存，但郵件開(kāi)頭先奉承收件人似乎是這個(gè)BEC團(tuán)伙所特有的。”

另一種策略特別隱秘，因?yàn)樗灰螽?dāng)前發(fā)票付款，而只是要求更新供應(yīng)商存儲(chǔ)的銀行賬戶(hù)資料，以便將來(lái)的任何付款都可以轉(zhuǎn)入到這個(gè)新賬戶(hù)。Abnormal Security表示，這避開(kāi)了應(yīng)付賬款專(zhuān)員接受過(guò)培訓(xùn)后可能會(huì)留意到的危險(xiǎn)信號(hào)。得到下一筆發(fā)票款項(xiàng)的將是威脅分子，而不是實(shí)際供應(yīng)商。

這個(gè)團(tuán)伙的獨(dú)特之處在于，即使不需要攻陷帳戶(hù)，也不需要深入研究供應(yīng)商與客戶(hù)的關(guān)系，他們照樣大獲成功。據(jù)Abnormal Security聲稱(chēng)，只需使用相當(dāng)明顯的社會(huì)工程伎倆，威脅團(tuán)伙就能發(fā)現(xiàn)開(kāi)展成功的BEC活動(dòng)所需要的一切，不需要往初始研究上投入大量的時(shí)間或資源。

最佳防御是全面篩查

Hassold表示，可識(shí)別靜態(tài)攻擊指標(biāo)的電子郵件標(biāo)記技術(shù)不足以防御BEC攻擊;他推薦采用一種更全面的防御方法，使用行為分析等技術(shù)來(lái)了解發(fā)件人和收件人之間的關(guān)系。這種全面策略還包含關(guān)于目標(biāo)公司的第三方供應(yīng)商生態(tài)系統(tǒng)的信息，并密切關(guān)注欺騙供應(yīng)商的特定的冒充攻擊以及可疑的語(yǔ)言和線索。

他說(shuō)：“了解整個(gè)網(wǎng)絡(luò)威脅領(lǐng)域所出現(xiàn)的趨勢(shì)，并確保員工們意識(shí)到這些趨勢(shì)，這一點(diǎn)至關(guān)重要。這意味著，當(dāng)他們看到請(qǐng)求賬戶(hù)更改或咨詢(xún)技術(shù)問(wèn)題之類(lèi)郵件的類(lèi)似Firebrick Ostrich的攻擊時(shí)，他們已經(jīng)有了內(nèi)部策略，在實(shí)際更改之前就已經(jīng)向供應(yīng)商線下驗(yàn)證了這些請(qǐng)求。我們認(rèn)為網(wǎng)絡(luò)攻擊錯(cuò)綜復(fù)雜，但歸根結(jié)底，絕大多數(shù)網(wǎng)絡(luò)攻擊只不過(guò)是社會(huì)工程伎倆，企圖操縱人類(lèi)行為——讓人們做一些他們?cè)静粫?huì)做的事情。”

參考及來(lái)源：https://www.techrepublic.com/article/cybersecurity-bec-attack-mimics-vendors/

來(lái)源：嘶吼專(zhuān)業(yè)版