Trong một cuộc tấn công BEC được nhắm mục tiêu cao gần đây, tin tặc đã lừa được ba công ty cổ phần tư nhân của Anh chuyển khoản tổng cộng 1,3 triệu đô la cho các tài khoản ngân hàng mà những kẻ lừa đảo truy cập – trong khi các giám đốc điều hành bị hại nghĩ rằng họ đã đóng một hợp đồng đầu tư với một số công ty khởi nghiệp.
Theo công ty an ninh mạng Check Point, người đã chia sẻ cuộc điều tra mới nhất của mình với The Hacker News, gần 700.000 đô la trong tổng số tiền chuyển khoản đã bị mất vĩnh viễn cho những kẻ tấn công, phần còn lại được phục hồi sau khi các nhà nghiên cứu cảnh báo kịp thời cho các công ty mục tiêu.
Được mệnh danh là ‘Nhân viên ngân hàng Florentine, Gang băng đảng tội phạm tinh vi đứng sau vụ tấn công này, “dường như đã mài giũa kỹ thuật của họ qua nhiều cuộc tấn công, từ ít nhất vài năm hoạt động và đã được chứng minh là một kẻ thù tháo vát, nhanh chóng thích nghi với các tình huống mới”, các nhà nghiên cứu cho biết.
‘Các kỹ thuật họ sử dụng, đặc biệt là kỹ thuật miền trông giống nhau, gây ra mối đe dọa nghiêm trọng – không chỉ đối với tổ chức bị tấn công ban đầu mà còn đối với các bên thứ ba mà họ liên lạc bằng cách sử dụng tên miền giống nhau’.
Công ty bảo mật cho biết các chiến dịch lừa đảo trước đây được thực hiện bởi cùng một nhóm tin tặc chủ yếu nhắm vào các lĩnh vực sản xuất, xây dựng, pháp lý và tài chính ở Hoa Kỳ, Canada, Thụy Sĩ, Ý, Đức và Ấn Độ, cùng với các nhóm khác.
Làm thế nào tin tặc làm điều đó?
Cuộc điều tra theo báo cáo trước đây của Check Point được công bố vào tháng 12 năm ngoái, trong đó mô tả một sự cố BEC (thỏa hiệp email kinh doanh) tương tự dẫn đến trộm cắp 1 triệu đô la từ một công ty đầu tư mạo hiểm Trung Quốc.
Số tiền, vốn là nguồn tài trợ hạt giống dành cho một công ty khởi nghiệp ở Israel, thay vào đó, được chuyển đến một tài khoản ngân hàng dưới sự kiểm soát của kẻ tấn công thông qua một cuộc tấn công được lên kế hoạch cẩn thận (MITM).
Kế hoạch lừa đảo, từ đó đã bắt được ba công ty tài chính có trụ sở ở Anh và Israel, hoạt động bằng cách gửi email lừa đảo cho các cá nhân cao cấp trong tổ chức mục tiêu để giành quyền kiểm soát tài khoản và thực hiện trinh sát sâu rộng để hiểu bản chất của hoạt động kinh doanh và các vai trò chính trong công ty.
Trong giai đoạn tiếp theo, những kẻ tấn công giả mạo hộp thư Outlook của nạn nhân bằng cách tạo các quy tắc mới sẽ chuyển hướng email có liên quan đến một thư mục khác, chẳng hạn như thư mục Nguồn cấp RSS, không được sử dụng bởi cá nhân trong câu hỏi.
Ngoài việc xâm nhập vào tài khoản email của công ty cấp cao và tin nhắn giám sát, tin tặc đăng ký các tên miền trông giống nhau bắt chước các miền hợp pháp của các thực thể liên quan đến thư điện tử mà chúng muốn chặn, do đó cho phép chúng thực hiện một cuộc tấn công MITM bằng cách gửi email từ các lĩnh vực gian lận thay mặt cho hai bên.
‘Ví dụ: nếu có sự tương ứng giữa’ finance-firm.com ‘và’ bank-service.com, ‘những kẻ tấn công có thể đăng ký các tên miền tương tự như’ finance-firms.com ‘và’ bank-service.com, ‘ đội nói.
Nói cách khác, nhóm Florentine Banker đã gửi từng thư từ các tên miền giả mạo cho đối tác, do đó tự chèn vào cuộc trò chuyện và lừa dối người nhận nghĩ rằng nguồn email là hợp pháp.
‘Mỗi email được gửi bởi mỗi bên trong thực tế được gửi cho kẻ tấn công, người sau đó đã xem lại email, quyết định xem có nội dung nào cần chỉnh sửa hay không, và sau đó chuyển tiếp email từ tên miền giống nhau đến đích ban đầu’, các nhà nghiên cứu của Check Point cho biết trong một bài đăng blog riêng trên BEC lừa đảo.
Được trang bị thiết lập này, những kẻ tấn công sau đó bắt đầu tiêm thông tin tài khoản ngân hàng lừa đảo (liên kết với các tài khoản ở Hồng Kông và Vương quốc Anh) trong các email để chặn chuyển tiền và thực hiện các yêu cầu chuyển khoản mới.
Cảnh báo âm thanh của FBI chống lại các cuộc tấn công của BEC
Các cuộc tấn công thỏa hiệp email doanh nghiệp (BEC) đã gia tăng trong những năm gần đây khi các nhóm tội phạm mạng có tổ chức cố gắng kiếm lợi từ các vụ lừa đảo qua email nhằm vào các doanh nghiệp lớn.
Tháng trước, nhóm tình báo mối đe dọa Đơn vị 42 của Palo Alto Networks đã kiểm tra các hoạt động của BEC hoạt động ở Nigeria, phát hiện ra rằng nhóm – được đặt tên là ‘SilverTerrier‘- thực hiện trung bình 92.739 cuộc tấn công một tháng vào năm 2019.
Theo Cục Điều tra Liên bang 2019 Báo cáo tội phạm InternetChỉ riêng các vụ lừa đảo liên quan đến BEC đã chiếm tới 23.775 đơn khiếu nại với số tiền thua lỗ hơn 1,7 tỷ USD.
Trong một tham mưu Được FBI công bố đầu tháng này, cơ quan này đã cảnh báo tội phạm mạng tiến hành các cuộc tấn công BEC thông qua các dịch vụ email dựa trên đám mây, thêm các vụ lừa đảo gây thiệt hại cho các doanh nghiệp Mỹ hơn 2,1 tỷ đô la trong giai đoạn 2014-2019.
‘Tội phạm mạng phân tích nội dung của các tài khoản email bị xâm nhập để tìm bằng chứng về các giao dịch tài chính’, FBI cảnh báo. ‘Thông thường, các tác nhân định cấu hình quy tắc hộp thư của tài khoản bị xâm nhập để xóa các thông điệp chính. Họ cũng có thể cho phép tự động chuyển tiếp đến một tài khoản email bên ngoài. ‘
Cục cũng đưa ra một cảnh báo riêng nhấn mạnh cách kẻ gian đang cập nhật kỹ thuật lừa đảo có lợi nhuận để tận dụng đại dịch coronavirus đang diễn ra và thực hiện chuyển khoản gian lận.
Trước các mối đe dọa đang diễn ra, người dùng nên bật xác thực hai yếu tố để bảo mật tài khoản của họ và đảm bảo yêu cầu chuyển tiền và thanh toán được xác minh thông qua các cuộc gọi điện thoại xác nhận giao dịch.
Để được hướng dẫn thêm về cách giảm thiểu rủi ro, hãy đến Cảnh báo của FBI tại đây.
