【資安】假冒執行長的《變臉詐騙 》🤡郵件,沒有惡意附件或網址,該如何預防?
一連串利用假冒執行長騙局的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊了美國17家、英國10家和加拿大8家的醫療機構。這些機構包括了一般醫院、教學醫院,專業照護和私人診所。即便是製藥公司也不能免於BEC詐騙,因為英國一家和加拿大兩家的製藥公司也成為目標。
假冒執行長詐騙(CEO fraud)是BEC商務電子郵件詐騙的一種,透過假冒執行長或其他高階主管的電子郵件帳號來對管理公司匯款的負責人(財務長、財務總監或會計)發送詐欺性匯款請求。不知情的員工因為誤信這是個正常的請求而將資金轉帳到網路犯罪分子所控制的銀行帳戶(每次事件的平均金額是14萬美元)。
看起來像是來自執行長或高階主管的來信, 使用與目標醫療機構非常相似的網域名稱
趨勢科技發現針對醫療機構的攻擊活動主要使用兩種技術。
第一種是假造寄件者地址讓它看起來像是來自執行長或高階主管的電子郵件,而回覆地址則使用詐騙分子的電子郵件地址。
第二種技術是利用相似的網域名稱,詐騙分子使用跟目標醫療機構非常相似的網域名稱。這可以讓電子郵件地址只有一個字元的不同。詐騙分子接著製作簡單而無害的主旨,通常包含以下字詞:
非常緊急、付款到期、緊急付款
幾個國家保健署(NHS)的機構也被觀察到成為這些攻擊的目標,使用顯示成<醫院名稱>-http://nhs.xn--conhs-6o2h834cko8ankxh4pi8f4s2f.uk/。偵察顯示這些假冒執行長詐騙背後的惡意分子可以輕易地利用公開來源資訊(OSINT)來針對這些機構 – 從公開的組織圖來收集公司內部職位。
攻擊者通常只對「寄件者」和「回覆」地址動手腳,郵件本身不會出現惡意附件或網址。
與其他網路犯罪計劃不同,要防禦商務電子郵件入侵可能特別有困難度。根據針對醫療機構的電子郵件,攻擊者通常只對「寄件者」和「回覆」地址動手腳,並將主旨限制在幾個字,以避免引起懷疑並增加急迫性。換句話說,郵件本身不會在本文出現典型的惡意內容(惡意附件或網址)。這意味著傳統安全解決方案根本不會加以刪除。
趨勢科技透過社交工程攻擊防護技術來保護中小企業、大型企業和醫療機構對抗BEC詐騙相關的電子郵件。此技術已經整合進InterScan Messaging Security Virtual Appliance和Hosted Email Security,利用機器學習來檢查電子郵件標頭和社交工程技術,並且偵測BEC詐騙相關的惡意軟體。這些端點和電子郵件安全功能都是由趨勢科技 Smart Protection Suites和Network Defense解決方案提供。
💁♂️預防: 不要直接用回覆,而是使用轉寄選項再從公司通訊錄內選擇電子郵件地址
其實員工也能夠有效地阻止BEC詐騙,雖然匯款要求通常要目標員工立即採取行動,但還是要仔細檢查並驗證轉帳詳情。不要直接用回覆,而是使用轉寄選項再從公司通訊錄內選擇電子郵件地址以確保通訊的正確性。
文章出處:資安趨勢部落格
https://blog.trendmicro.com.tw/?p=37062
osint教學 在 UCCU Hacker - 久聞OSINT 卻不見其為威力所在,本次邀請到 ... 的推薦與評價
久聞OSINT 卻不見其為威力所在,本次邀請到趨勢科技miaoski 來帶大家動手做親身體驗,並練習常見的操作方法、小技巧、常用工具、以及做investigation 需要注意的小細節 ... ... <看更多>