揭秘!大额跨境贸易诈骗中间人攻击

揭秘!大额跨境贸易诈骗中间人攻击

前言

跨境贸易是经济生产的重要组成部分,根据相关数据表示,国内进出口总额屡创新高。在体量巨大的跨境贸易经济实体之下,潜伏着一波犯罪团伙,以获取经济利益为目的实施诈骗活动。犯罪团伙会根据目标进行不同角色的伪装,逐步诱导受害者进行资金转账、核心资料递送等高危害操作。

那么问题来了,犯罪团伙是如何锁定目标,并能够精准掌握目标信息,从而在实施犯罪过程中和目标建立高度可信的交互关系的呢?其实这中间离不开现代化的网络攻击技术,在利益链背后有黑客在进行技术支撑。真的是就怕骗子有文化~

下面安恒威胁情报中心猎影实验室将揭底金融诈骗团伙是如何进行跨境贸易诈骗,一步步剖析犯罪团伙从筛选目标到成功获利的犯罪手法。

简论

网络型金融诈骗团伙实施诈骗的过程其实和网络攻击有许多相似环节,过程大致可以分为收集信息、设定群体目标、挑选精准目标、对精准目标进行信息扩展、伪装入场、获得利益。

下面直接进入主题。

过程揭秘

  • 兵马未动,粮草先行

出兵无粮怎能行,诈骗团伙总得选取诈骗目标,这个选目标的过程也并不容易,并且需要充足的准备工作。

诈骗团伙会收集大量的跨境贸易公司的信息(跨境贸易公司的范围包括有贸易往来的制造业、能源材料业、相关运输业等广泛企业、公司),其中包括公司成员的邮箱信息、联系方式等,收集渠道五花八门,相信一个比较有实力的团伙手上会有一大批这样的信息列表。

  • 广撒网,多敛“鱼”

有了邮箱信息列表之后,诈骗团伙会选择主动攻击。进入下一轮数据收集,这个过程主要为向群体目标发送经过伪装、附件带有间谍程序的钓鱼邮件。受害者一旦点击附件中的程序或文档,就会被间谍软件持续监控,源源不断的为攻击者提供数据。

  • 邮件伪装主题

这类主题往往以“purchase order”、“Swift”、“RFQ”、“PO”、“DHL”、“payment”、“shipping”等账单、购货单、订单、发票、报价、付款、船运等与贸易往来相关的主题,通用型较高,在针对大批量投递情况下较为适用,偶尔也会针对某些目标编制专门的内容。如有特殊针对性目标,则会更加精心设计。

  • 配置间谍程序

这主要看犯罪团伙预算是否充足,来决定是否使用开源的、商业购买的、还是自己定制开发的。这类间谍软件的目的以信息窃取为主。

常见的信息窃取类间谍软件如AgentTesla, HawkEye, MassLogger, M00nD3v, Phoenix, AspireLogger, Orion Logger,FormBook,LokiBot, RedLine,Raccoon, Remcos等,具备记录用户的键盘记录、获取保存在浏览器中的用户名密码、从电子邮件客户端抓取用户名密码、以及窃取其它用户敏感信息等,然后可以通过SMTP、FTP、HTTP(S)等数据通道将窃取的数据传输至邮箱、FTP服务器或是Web服务器。

  • 发件邮箱伪装

钓鱼使用的发件邮箱是多样化的,

其中一部分是已经窃取的跨境贸易相关企业的邮箱账户,相当一部分是船运物流公司;

还有一部分会是使用匿名邮箱,邮箱用户模仿为跨境贸易相关公司、船运物流公司此类即可;

另外还有自己注册仿冒域名,搭建邮件服务器用于投递。

  • 守株待“鱼”

经过大量的钓鱼邮件发送,此时犯罪团伙就等待目标群体失陷,从而失陷人员机器中会被植入间谍程序,间谍程序不断将各类信息回传到犯罪团伙设定的数据渠道。

  • 滴水成海,大海捞“鱼”

在不断的进行前面几步操作的状态下,此时就不断的有大量窃密数据被传送到设定的邮箱、FTP、Web服务器等,形成海量数据集。数据内容包括前文提到的键盘记录信息、邮箱账号密码、浏览器中的用户名密码等。

如果是有实力的犯罪团伙,这个时候估计会建立一个数据分析系统。

接下来,就是分析这里面的数据,可以通过分析键盘记录信息挖掘相关目标、通过窃取的邮箱账户、网站账户登录查看里面的信息。从中筛选出关注目标,逐步建立目标画像,并持续进行关注。

举个例子,如一个跨国贸易企业的财务人员的电脑不小心中了间谍软件,那么犯罪团伙可以监控到财务人员的键盘记录(如可能包含聊天信息、编写文档信息),甚至可以登进该人员的邮箱进行查看邮件来往信息。那么在这些窃密信息中极有可能包含和贸易企业的来往信息、交易信息、转账信息等,那么这个财务人员就成为了重点关注对象。犯罪团伙的目的就是挖掘出这类高价值信息及诈骗目标(尤其是正在进行交易的目标),为其实施诈骗提供了有效的信息基础。

  • 信息扩展,深度挖“鱼”

经过上面的挖掘,这个财务人员和这家跨国企业就成了其中一个诈骗关注对象。

这个时候犯罪团伙不仅仅只关注这位财务人员持续回传的窃密信息,还会对这家跨国企业及其员工展开深入调查,目的就是尽可能全的收集目标的相关信息,如目标公司业务、人员配置、岗位功能、外贸交易细节(外贸交易对象、交易金额、交易时间等)。然后分析诈骗时机,在交易之前,以伪装者身份入场进行诈骗。

这个深入调查过程,就是持续挖掘掌握更多信息的过程,如会不断收集这个跨国企业的员工邮箱,尝试通过一些方式拿到一些邮箱的账号密码,登入观察。查看企业是否存在外部数据泄露,如将业务代码等放在GitHub等开放的地方,挖掘是否有可利用的账户信息、或业务漏洞等。观察是否存在业务站点,对其进行攻击,获取补充数据。

  • 李逵和“李鬼”

经过前面掌握的信息,犯罪团伙会在合适的时机入场,这个时候假李逵真“李鬼”上线。犯罪团伙人员会冒充跨国企业的贸易对象的交易工作人员,和该跨国企业交易人员进行联系,开始实施诈骗。

这个合适的时机也有一定的讲究,如果太早入场可能信息还不全面,怕有疏漏,太晚入场,如交易前夕,那么恐生嫌疑。

“李鬼”如何上线?犯罪团伙在这个环节也花足了功夫。

我们把这家跨国贸易企业设为A,跨国贸易企业的外贸交易企业设为B。

如犯罪团伙会根据外贸交易企业B的公司邮箱域名申请伪装域名,伪装域名和原域名十分接近,带有迷惑效果,大概就是google.com变成qoogle.com、gooogle.com、g0ogle.com、googie.com、goog1e.com这样。

根据前期掌握的信息,已经获取了外贸交易企业B交易人员的邮箱信息及交易人员姓名,这个时候就可以用上邮箱账户名产生“李鬼”邮箱了。

“李鬼”邮箱开始替代“真李逵”邮箱和跨国贸易企业A交易人员进行多次邮件来往,让企业A交易人员对“李鬼”邮箱是信任的。这中间还有一个关键点是真李逵邮箱,犯罪团伙可能通过一定技术手段阻断真李逵邮箱对企业A交易人员邮箱的信息发送,或也存在可能同时使用“李鬼”模式,冒充企业A交易人员邮箱和外贸交易企业B交易人员邮箱进行沟通,进行双向欺骗。这一过程的目的,就是让双方都不产生怀疑,达到无感状态。应该还有许多奇异的手法,可以自行想象。

  • 起网收“鱼”

前期铺垫了这么多,就是为了这临门一脚。在进入交易打款阶段,“李鬼”邮箱发送的是经过篡改的打款账户,从而将款项直接打到了犯罪团伙持有的账户中,获取直接利益。

后论

以上仅是金融诈骗团伙对跨国贸易企业实施诈骗手法的一部分内容,其它手法还有很大的想象空间。实施跨境贸易诈骗是其中一种通过群体钓鱼、信息窃取达到可落地的一种获利方案,并且说不定已经是一条非常成熟的利益链。相信除了这类获利方法外,还存在其它方式。

这类企业也应当多多关注这方面内容,让自己从大“鱼”变成大“鲨鱼”。

安恒威胁情报中心猎影实验室将持续关注威胁动态。

  • 重要提示

请勿随意点击打开未知来源的邮件及附件

注意观察发送邮件方的邮箱账户

在转账汇款前仔细查看收款方是否正确

及时更新系统或网站业务的补丁程序

注意避免信息泄露,核心数据不外传

有条件可以部署防护设备,增加一层保障

个人和企业都需要做好反诈宣传,提高防范意识,一旦被骗直接拨打110

问答环节

问:怎么发现是不是中招了?

答:可以部署防御设备和防御软件,通过监测,可以发现这类问题,如安恒信息的恶意邮件、恶意软件监测、异常回连监测、终端恶意行为监测等多种防护设备或解决方案可以提供。

问:怎么样进行预防此类事件的发生呢?

答:主要有这么几点:

  1. 培养企业人员的安全意识,可以定期开展讲座,或是进行攻防演练,对安全要点进行透析式的理解和加深印象
  2. 进行网络安全检查,不仅仅包括检查资产和业务是否存在存在安全漏洞,同时也包括检查是否有敏感数据被无意放在了公网上等
  3. 部署防护设备,可以让防护设备自动发现问题

问:怎么样确保打款正确,而没有被诈骗呢?

答:跨境贸易很多时候通过邮件来进行沟通,这里要注意邮箱的同时,在进行重要操作前,可以通过电话沟通来进一步确认,当然也要注意电话是否准确。

问:发现已经被诈骗打款了怎么办?

答:请第一时间联系当地公安,或者同时也可以联系我们的技术人员提供技术支持。