全球商業電子郵件詐騙團體「腳本麻雀」
安全研究人員最近揭露了一個名為「腳本麻雀」的全球商業電子郵件詐騙(BEC)團體,該團體每月向目標發送數百萬封量身訂製的訊息。根據 Fortra 的報告,這個集團跨越三大洲,至少涉及五個國家,欺詐者冒充管理顧問公司,每月向受害者發送約 4-6 百萬封「高精準」的郵件。
假冒管理顧問,廣泛詐騙
Fortra 的報告指出,這個集團註冊了至少 119 個網域和 245 個網路郵件地址以推進其計劃,並使用了 256 個銀行帳戶。「該團體運作方式是冒充各種管理顧問和領導力培訓公司,」報告解釋道。「他們會向受害組織的應付帳款團隊成員發送訊息,通常附有兩個 PDF 附件:一份發票,內含 ACH 或電匯指示,和一張填妥的 W-9 表格。初始訊息正文包含虛構顧問公司與受害組織高管之間的偽造回覆鏈。」
改變策略以避免偵測
在一些最近的攻擊中,該團體故意省略了聲稱包含在電子郵件中的兩個附件,以避免暴露其洗錢帳戶,直到找到足夠輕信的受害者要求重新發送發票為止。該團體至少自 2024 年 6 月以來一直活躍,Fortra 記錄了 496 次獨特的互動。
龐大的訊息量
為了更好地了解該集團的行動範圍,我們查看了域名 kornferry.ws,這是在我們的 496 次互動中使用的一個域名,看看我們的雲端電子郵件保護(CEP)客戶是否來自該域名的活動。根據 CEP 數據,我們發現有 23 個組織收到來自該域名的郵件,目標為 70 名用戶。
基礎設施與作業方式
深入挖掘後,Fortra 注意到大部分與 BEC 行為者的互動是透過 Windows 電腦執行遠端桌面協定(RDP)。除了 RDP,腳本麻雀似乎還使用位置偽裝和瀏覽器插件來混淆調查人員的視線。「我們在對原始數據運行算法後,僅映射了高置信度的位置,」報告指出。
基於分析,我們相信腳本麻雀集團有成員位於奈及利亞、南非、土耳其、加拿大和美國。該團體主要使用其控制的網域(43%)的電子郵件地址和網路郵件(55%),偏好的註冊商為 NameSilo 和 Dynadot。它主要使用 Skia 創建 PDF,一些成員使用 Telegram 進行通訊。
企業如何防範
大多數觀察到的 BEC 攻擊都是用英文進行的,但 Fortra 也觀察到一些瑞典語的攻擊。報告指出,目前尚不清楚該集團是否已經使用生成式 AI,但隨著其戰術的進化和改進,這種情況不會持續太久。
「企業應確保遵循標準的付款批准流程,無論涉及的發票金額如何。絕不信任來自外部來源電子郵件中的回覆鏈,因為這很容易被偽造,」Fortra 建議道。「始終與據稱購買某產品或服務的員工核實費用,並確保使用官方通訊渠道。」
在這種背景下,北斗數位的 DDoS 防禦和其他網路安全服務可以為企業提供額外的保障,確保其數位資產免受攻擊。
更多關於腳本麻雀的資訊,請參考 北斗數位的技術文章。