「捕鯨」攻擊針對船運公司 盜取權限、騙取金錢甚至入侵系統

網上和電話騙案的受害者,損失不一定限於個人財物,有時候連企業也會遭殃,不但導致金錢損失,更可能令權限資料外漏,甚至令企業系統遭入侵。有研究人員發現,有騙徒針對船運公司發動攻擊,隨時導致重要系統遭受入侵的可怕結局。

「捕鯨」攻擊
所謂的「捕鯨」攻擊其實就是騙徒破解商務電郵的行騙攻擊,藉此收集權限資料,更甚是入侵企業重要系統。黑客發動捕鯨攻擊通常針對不同職位的員工,資料來源通常透過認真的網絡社交工程 (有時會通過電話),雖然捕鯨攻擊並非新事物,但卻一直增長,根據 FBI 的報告,因為破解商務電郵而導致的損失在 2018 年就有 125 億美元,較 2017 年的 50 億美元急升超過 1 倍。

在很多個案中,騙徒利用社交工程,偽裝成高級行政人員,資來收集自社交媒體和其他工具,欺騙缺乏戒心的受害者進行各種活動,包括打開惡意程式附件或把付款轉移到可疑的帳戶。騙徒的主要目標都是盜取金錢,但從過去的大型攻擊中可以看到,過程中騙徒很容易就取得權限。有研究人員認為,雖然企業在對抗外來攻擊的工作越來越好,但是培訓員工識別攻擊的工作就越來越差。

社交工程收集資料
要發動針對攻擊,騙徒首先會從公開的資料中著手,從社交媒體網站,例如 Facebook 中可以收集到個人資料,如生日、位置等資料,商業資訊例如職位、企業組織結構,甚至和供應商的互動等等都可以在 LinkedIn 中收集。

假如有人曾經張貼在最近一個會議上的照片,騙徒就可以訛稱與受害人在會議上碰過面。常見的攻擊劇本是「一封電郵發送到負責處理付款的部門,聲稱供應商的銀行資料已經更改」,電郵內的商標正確,提出要求人士的名字員工也認識,銀行資料改更準備下一次向供應商付款,不過到時所有款項將會消失。

另一個常見的劇本是騙徒根據從網上收集到的資料,偽裝成企業 CEO 或其他高級行政人員,騙徒會等待該受害人張貼正在放假或正乘坐長途機的時候動手,以高層身份向企業的財務部員工發送電郵,要求他們處理一單緊急的費用,聲稱如果未能處理有人將會工作不保,由於無法向該高層確定真偽,財務部員工因為恐懼而處理付款要求。

研究人員認為這種攻擊難以識別,因為騙徒經常利用不同的資料製造可信的假象,在一些具價值的攻擊行動中,在發送電郵之前可能會有電話通知,由於低層員工通常都未曾與高層對話或接觸,在收到對於的電話預先通知後,再接收到電郵要求時都會信以為真。

向船運業發送惡意程式附件也是有效的方法,由於電郵是業界常用的通訊方法,騙徒只要透過看起來很相似的電郵地址,例如「1、l、I」字,很容易就令收件者當作真實的電郵地址。

針對船運業
去年有報告發現全球的船運業對於一系列網絡攻擊十分脆弱,包括入侵導航系統令價值數以百萬計的船隻相撞,而且黑客在執行時相當容易,遇到的抵抗也十分容易處理。報告中也提到,在 2017 年有黑客組織透過「捕鯨」攻擊從船運業取得幾百萬美元,黑客瞄準業界寬鬆的保案和過時的電腦而有機可乘。

研究人員認為員工的培訓對於預防這類攻擊十分重要,尤其經常被針對攻擊的財務部門,而且目標通常不是管理層,而是其下屬,確立在支付款項之前必需經過多重批核,不論時間壓力還是由誰提出,都不可以繞過批核程序,都有助降低企業因為「捕鯨」攻擊而導致損失的風險。

資料來源:Threat Post