網絡釣魚者釣到威脅情報公司的身上 黑客慘遭溯源

黑客和網際網路詐騙未必總是複雜高端的。域名中一個小小的迷惑性拼寫錯誤，黑客就可以僞裝成高管給員工下令轉賬。這種詐騙形式被稱為釣鲸或商業電子郵件攻擊。

詐騙者研究管理錢款的員工，用公司慣用語言針對那些通常與國外供應商合作，或者經常進行電彙付款的公司下手。過程不複雜，但網絡罪犯們用起來非常有效。

fbi聲稱，過去3年間，釣鲸給公司企業帶來的損失超過了23億美元。自2015年1月起，fbi見證了已确認受害者和已披露損失高達270%的增長。執法部門收到了來自美國各個州和至少79個國家的投訴，這一現象已蔓延到了全球範圍。

公司員工要被提醒注意電子郵件的細節，尤其是那些涉及款項的郵件。黑客會在郵件url上耍花招，比如說，把“i's”寫成“1's”或“i's”。如果員工收到這樣的郵件，應該立即與公司安全團隊聯系，確定付諸正确的行動。詐騙者極有可能不止從1個員工身上下手，快速反應能讓公司有機會将狩獵者變成獵物。

安全公司對此類攻擊也不免疫。最近威脅情報公司 centripetal network 就遭到了這樣的一次攻擊，我們可以從中借鑒他們處理這種攻擊的方法。

黑客确實做了仔細的調查研究，他們搞到了ceo的姓名，蒂文·羅傑斯，并以ceo的名義妄圖從公司騙錢。遺憾的是，作為一家威脅情報公司，他們的員工能很快識别出釣魚活動。centripetal不僅采取了必要的措施保護自身，而且還扭轉形勢，反過來溯源追蹤了黑客。

過程

centripetal network 銷售人員收到了一封聲稱是ceo史蒂文·羅傑斯發來的郵件，要求立即轉賬32780美元。該郵件來自于一個熟悉的域名，隻有一個字母的拼寫有變，centripatalnetworks.com。快速一撇的話，很難發現這個不同，郵件看起來很像是ceo發出的。但沒有躲過安全專業公司銷售人員敏銳的眼睛，他知道這并不是ceo所發，遂轉發給了公司的安全團隊去做分析。

在確定了公司網絡安全，員工對攻擊有防範意識後，安全團隊計劃根治這個問題。他們聯系了特勤局，然後在多次郵件交流中跟進攻擊者，收集詐騙計劃的關鍵資訊，比如銀行路由和賬号、包括馬來西亞和奈及利亞在内的幾個使用者地點，以及在得克薩斯州收錢的那個人的名字。

安全團隊還着手搞定了那個拼寫錯誤域名的營運方。然後發現，攻擊者還征用了其他77個拼寫錯誤的域名。黑客和網際網路詐騙未必總是複雜高端的。域名中一個小小的迷惑性拼寫錯誤，黑客就可以僞裝成高管給員工下令轉賬。這種詐騙形式被稱為釣鲸或商業電子郵件攻擊。

安全團隊還着手搞定了那個拼寫錯誤域名的營運方。然後發現，攻擊者還征用了其他77個拼寫錯誤的域名。

本文轉自d1net（轉載）