在跟诈骗邮件斗争了数十年后,或许你以为针对互联网的顽疾——”尼日利亚王子“这类诈骗邮件已经有了良方。公众日渐意识到,诸如”某西非贵族为送你百万美金,现急需1000美金"的则皆为诈骗邮件,这种诈骗方式也被称为419诈骗,就是抓住人们想“捡便宜”的心态,所以还是屡试不爽。事实上,尼日利亚的诈骗犯仍在变着花样制作各种类似的诈骗邮件。在技巧并没有多大提升的情况下,目标却扩大了,他们还因此而小有名气。

5月初,安全公司Crowdstrike公布了涉及多宗犯罪活动的尼日利亚团体和帮派,诈骗邮件俨然已经成为他们的摇钱树。比如,臭名昭著的“黑斧”财团(Black Axe)就制造了很多看似真实的诈骗邮件。Crowdstrike公司称,这些组织在管理上并不严格,技术手段也不复杂,但是其灵活性和煽动性仍然使其诈骗邮件得到大力传播。

“这些家伙就跟昔日黑手党组织一样,” Crowdstrike情报副总裁耶斯(Adam Meyers)说,“一旦你加入其组织,就会被赋予一个新名字。他们甚至有自己的音乐,自己的语言。他们在社交媒体上还会发图炫耀自己在做的事情。其总的理念就是,如果能轻易说服傻子上当,为什么还要花几百上千去开发恶意软件呢?”

雅虎小子们

年轻的尼日利亚诈骗邮件制造者通常被称为“雅虎小子”,因为他们制作的诈骗邮件曾主要针对雅虎用户。而且他们已经接受了这种称呼。在YouTube点击量超300万的说唱乐“Yahooze”中,尼日利亚歌手恩泰(Olu Maintain)还美化了这些诈骗邮件制造者的生活方式。

最近,尼日利亚的高级组织的攻击不仅针对个人,还针对小企业。据FBI估计,2013年10月到2016年12月间,全球发生的企业邮件破坏事件超过四万起,导致的经济损失达53亿美金。涉及的第三方机构,客户,语言,时区和网络域名太多,单独一家公司很难在资源受限的情况下隔离可疑的网络活动。

尼日利亚诈骗邮件制造者会把特制的钓鱼邮件寄到目标公司,有人点击邮件链接后就会感染其恶意软件。然后,攻击者不急不慢地利用键盘记录器和其他监控工具侦查几天或几周,窃取各种账户登录凭据,搞清公司运作方式,找出采购和其他交易的负责人。

最终,这些诈骗犯会锁定一套战术;他们或许冒充该公司的人员,发起支付操作,或者假冒某个合同方,向该公司发送看似正常的发票,要求付款。如果攻击者能控制公司的系统,那他们还会设置邮件重定向,接收合法的发票,再把收款银行改成自己的银行,继而发送邮件发送到目标收件人那里。骗子依靠这种中间人邮件攻击技术进行各种操作。

即便攻击者通常使用廉价的消费级恶意软件,能在被受害者网络很好地隐藏,而且一招不行就果断换招。一种名叫 “域名尝试”的技术会注册看似合法的域名,然后从该域名发送钓鱼邮件。如果钓鱼邮件不成功,就会转向新域名。

Secureworks公司反威胁小组研究员James Bettke贝特科这是一种恶意软件、钓鱼与社工技巧和账户劫持的巧妙结合。技术上并不复杂,他们不懂代码,也不会太多自动化操作,但是他们的强项在于社会工程和创建敏捷的诈骗邮件。他们可以花费数月进行信息筛选,整个过程安静且有方法。贝特科已经追踪尼日利亚的诈骗邮件数年时间。

Bettke称,在其跟踪的某案例中,诈骗犯冒充某公司一名员工,向诈骗目标索要官方信件模板。在其他情况下,诈骗犯会利用Skype视频通话让交易请求看起来合法,他们使用所冒充员工的视频中的图像,看起来真的像是该员工在发起视频通话,只是图像比音频滞后而异。在受害人把钱转过去之后,诈骗犯通常会先把钱转到亚洲国家。

这种方法很简单,但很奏效,”Crowstrike公司的梅耶斯说。他们会瞄上公司的工资、应付账户,伪装成某个厂商。然后他们会通过打电话等方式联系受害人,以增加诈骗的可信度。

社会工程

这些组织通常不关心掩盖自己的踪迹,他们会在社交媒体上吹嘘自己的犯罪行为,在脸书上获取渗透技巧,或者购买恶意软件,这些都会导致他们的行踪暴露。通常,即使他们努力删除网络入侵的痕迹,分析师也仍能在追踪其恶意行为直至他们在尼日利亚的IP地址,而诈骗犯通常也不会使用代理保护。

全球的执法部门,包括FBI,国际刑警组织,加拿大及意大利的机构,都成功逮捕和起诉过一些诈骗犯。但是广泛存在的管辖权问题导致了执法难的问题。许多受害者钱不见了,却求助无门。

FBI洛杉矶网络部门的探员迈克尔·佐恩(Michael Sohn)说:如果小公司被骗二十万或五十万美元,那他们就没法做生意了。” “所以,我们正和银行合作,尽可能恢复其资金链,并与私营公司和安全公司共享情报。这种打击让人心碎,且具有毁灭性。

虽然尼日利亚邮件诈骗犯与东欧和俄罗斯黑客组织的策略不同,但研究者认为,他们都是实实在在的威胁。趋势科技负责云计算研究的副总裁Mark Nunnikhoven说:“这类犯罪组织突出的地方在于,他们彼此学习的意愿以及目光短浅的社交工程诈骗。”“这两种特质使其犯罪机制的复杂性迅速上升。”马克与国际刑警组织和其他执法部门在合作追踪尼日利亚诈骗邮件。

研究人员表示,企业应该采取一些基本措施保护自己,比如更新软件、添加双因素认证等。这样的话,即使诈骗犯窃取了账户凭据,也无法马上造成破坏。还可以添加管理控制来限制员工接收邮件和附件的类型,以过滤一些钓鱼邮件,而在接收来自公司域名外的邮件时,可添加一些指示信息,同样有助于标出伪装成本公司员工的恶意邮件。

Crowdstrike公司的梅耶斯还建议小公司设置一些客观要求,比如大宗交易必须多人签署方能生效。他解释称:“这就好比发射核弹时,需掌管钥匙的两人一同触发方可生效。”“一个人容易受骗,但同时骗两个,难度就加大了。”而黑客如果你是谁,你如何运作,那你能设置的防御就不多了。

本文由安全内参翻译自Wired

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。