freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

BEC攻击升级:针对企业的诈骗手法鉴赏
  • 关注
BEC攻击升级:针对企业的诈骗手法鉴赏
2023-09-20 11:15:50

0x00 背景

商业电子邮件欺诈(Business Email Compromise,BEC)是一种社会工程学攻击,主要针对企业,通常以财务欺诈和商业机密窃取为动机。据微软的统计数据显示,自2016年以来,BEC攻击已经导致超过260亿美元的损失。这种类型的攻击已经波及了各种规模的企业,从大公司到小企业都成为了攻击的受害者。本文将深入介绍攻击者如何利用BEC攻击进行金钱欺诈,以及这些欺诈手法如何逐步演进。

0x01 BEC 1.0 什么是BEC攻击?

BEC在网络钓鱼攻击中的占比很高,因为这类型攻击非常容易实施,并且不依赖于恶意文件或链接,而是通过社会工程学进行欺骗诱导。BEC的经典攻击形式是先通过伪造电子邮件与目标员工建立联系,将电子邮件伪装成来自可信的人或组织。一旦建立信任,攻击者可能会直接要求受害者汇款或要求回复敏感信息。

为避免邮件审查和增强欺骗性,BEC攻击者还会将受害者引导至短信或即时通讯工具。一个经典的BEC攻击流程是“诱导财务人员加群”,如下图,攻击者将电子邮件伪造成银行官方邮箱,向企业财务人员批量投递“无害”的诱导加qq邮件,一旦受害者加上qq,就会被拉到一个有“领导”的诈骗群,然后由攻击者扮演的“领导”会命令“受害者”进行后续的转账汇款。

图:伪装成来自XX银行的BEC邮件(图片来源于网络)

图:冒充领导诱导转账示例

0x02 BEC 2.0 操控傀儡邮箱

近年来,安全研究员发现BEC攻击变得愈发复杂。不同于BEC1.0,攻击者现在更倾向于使用真实可信的邮箱来发送欺诈邮件。一旦攻击者锁定目标组织,他们会采用各种技术手段,如凭据网络钓鱼或密码破解,来接管受害者的电子邮件帐户。接下来,攻击者会设置邮件转发规则,以便监视来自合作伙伴或供应商的新电子邮件,尤其是涉及金融交易的邮件。一旦攻击者找到感兴趣的电子邮件对话,他们会劫持该对话,修改银行账号信息,诱导目标受害者完成转账或者提供机密信息。

今年6月,微软通报了一起复杂的BEC攻击,针对银行和金融服务组织。这次攻击活动利用了网络上的钓鱼工具包,使用了高级的中间人代理技术,绕过了双因素认证(2FA)。根据我们对攻击趋势的年度跟踪,早在2021年,网络上已经涌现了多个网络钓鱼即服务和网络钓鱼工具包,这显然降低了犯罪成本,使网络钓鱼活动趋向高度自动化。

在这起攻击活动中,攻击者首先接管了一个受信任的供应商的邮箱登录会话,然后使用新的会话令牌登录。攻击者打算利用供应商与其他合作伙伴组织之间的信任关系进行金融欺诈。一旦攻击者获得了邮箱权限,他们创建了一个收件箱规则,将所有传入电子邮件移动到存档文件夹,并将其标记为已读。然后,攻击者发起了大规模的网络钓鱼活动,涉及了16,000多封电子邮件。攻击者随后监视了受害者用户邮箱中未送达和已发送的电子邮件,并将其从存档文件夹中删除,使受害者对邮箱账户遭受入侵毫不知情。

图:从AiTM网络钓鱼攻击到BEC的攻击链

0x03 BEC 3.0 寄生云服务

根据我们对2022年攻击趋势的年度跟踪,我们发现可信云服务已经成为网络钓鱼攻击的新温床。云服务因其高度安全、高效和易用等优势而迅速增长,这使得攻击者更容易滥用这些高度可信的服务来进行隐蔽的钓鱼攻击。我们的研究表明,目前流行的云服务被多种方式滥用,包括以下几种形式:

  1. 利用流行的在线协作文档的邮件通知功能,发送高信誉的钓鱼邮件。
  2. 利用受信任的云服务托管钓鱼页面和钓鱼文件等。

如果对此感兴趣,可以查阅我们实验室发布的《2022年攻击技术发展趋势年度报告》以获取更多详细信息。

BEC 3.0借助高信誉度的云服务发动攻击,下图的例子中,攻击者滥用了谷歌在线文档的评论通知功能,通过谷歌官方的邮箱发送了一封恶意的欺诈邮件。这种类型的邮件通常具有高信誉,因此常常会直接送达用户的收件箱。邮件中包含一个看似来自谷歌的链接,但实际上是攻击者用来收集信息的谷歌在线表单。该链接的域名来自谷歌官方,因此受害者很容易被诱导点击。

图:利用Google Docs发送的诱导邮件

0x04 BEC 4.0 新型AI钓鱼

随着人工智能(AI)技术的不断进步,尽管为我们的生活带来了便利,但也为BEC攻击增添了新的潜在可能性。例如,像OpenAI的ChatGPT这样的技术可以被网络犯罪分子用来自动创建极具说服力的虚假电子邮件,这些邮件还可以根据接收者的个性化需求进行定制,从而提高攻击的成功几率。然而,由于OpenAI官方的安全策略限制,ChatGPT显然无法充分发挥其潜力。

由此也诞生针对ChatGPT的“越狱”讨论,近期更是出现了网络犯罪分子创建的邪恶版ChatGPT WormGPT。WormGPT 在地下论坛上被宣传为执行复杂的网络钓鱼活动和BEC攻击的完美工具。如下图,我们看到恶意行为者正在创建自己的自定义模块,并且还在向其他人宣传。根据作者介绍,WormGPT 是基于 GPTJ 语言模型的 AI 模块,接受了各种数据源的培训,它现在拥有一系列功能,包括无限字符支持、聊天记忆保留和代码格式化功能。

WormGPT的出现无疑标志着BEC攻击进入了4.0阶段,它赋予了网络犯罪分子在几秒钟内通过输入提示生成大规模诈骗电子邮件的能力,这给企业网络安全带来了前所未有的挑战。由于诈骗电子邮件的规模和多样性将达到前所未有的水平,因此企业必须应对这一新的威胁。

图:网络犯罪论坛上的WormGPT介绍

图:使用WormGPT生成的BEC邮件

0x05 检测防御

BEC攻击之所以难以根除,是因为这种攻击侧重于社交工程,不常涉及明显的恶意软件或链接,因此传统的安全防护设备难以有效应对。随着BEC攻击的欺诈手法不断演进,企业需要进行针对性的安全意识宣贯、培训,提升员工的安全意识,以应对威胁。

本文作者:, 转载请注明来自FreeBuf.COM

# 社会工程学 # BEC # BEC诈骗 # BEC攻击
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
0x00 背景
    0x01 BEC 1.0 什么是BEC攻击?
      0x02 BEC 2.0 操控傀儡邮箱
        0x03 BEC 3.0 寄生云服务