Новости

Эта плодовитая фишинговая банда вернулась с новой тактикой для руководителей

Группа Business Email Compromise добавила в свою обширную базу данных финансовых директоров и других лиц, нацеленных на нее, и приняла некоторые новые приемы.

Дэнни Палмер | 4 апреля 2019. 16:01 GMT (09:01 PDT) | Тема: Безопасность

Плодотворная киберпреступная фишинговая операция, в ходе которой был составлен список из 50 000 руководителей, финансовых директоров и другого высшего финансового персонала, расширила свои операции, добавив новую базу данных о дополнительных целях.

Безопасность

Первоначально раскрытая исследователями из компании Agari, специализирующейся в области кибербезопасности, группа по компромиссу деловой почты (BEC), получившая название London Blue, распространяет фишинговые электронные письма, пытаясь заставить организации перевести большие суммы денег на свои счета, часто выдавая себя за руководителей и других старших сотрудников.

Группа, которая работает между Нигерией, Великобританией и несколькими другими странами, остается активной и изменила свою тактику, чтобы оставаться эффективной.

Ранее злоумышленники использовали временные учетные записи от бесплатных поставщиков услуг электронной почты, которые использовали имя, известное предполагаемой жертве, для проведения своих атак. Теперь они усилили свою игру, отправляя электронные письма BEC, которые не только содержат убедительное имя, но и используют поддельный адрес, который имитирует адрес компании, чтобы повысить аутентичность атак.

Это обычная тактика, используемая в фишинговых атаках, но предполагает, что London Blue, возможно, придется приложить немного больше усилий, чтобы добиться успеха. или просто они хотят убедиться, что у них больше шансов обмануть жертву и перевести деньги.

Приманки во время ранее объявленной кампании, как правило, основывались на телефонных платежах вендоров. после некоторой первоначальной перемотки назад и вперед, чтобы заручиться доверием предполагаемой жертвы. теперь и здесь произошел сдвиг: мошенники пытаются использовать сделки по слияниям и поглощениям для получения платежей.

Собственный финансовый директор Агари был нацелен на эту новую схему. после того, как ранее был нацелен на первоначальную кампанию.

УВИДЕТЬ: Выигрышная стратегия кибербезопасности (Специальный отчет ZDNet) | Скачать отчет в формате PDF (TechRepublic)

Мошенники просили предоплату 30%, что эквивалентно 80 000 долларов. Однако, учитывая, что злоумышленники были нацелены на компанию, занимающуюся кибербезопасностью. опять же. она ​​не увенчалась успехом, тем более, что исследователи Agari знали, что попытка атаки наступила еще до ее наступления.

Поскольку мы теперь очень внимательно следим за ними, и у нас действительно хорошее представление об их операциях, мы знали, что это произойдет, мы знали, что они собираются нацелиться на нашего финансового директора и других финансовых руководителей в Калифорнии, Хассольд объяснил.

Таким образом, мы смогли наблюдать и отслеживать весь жизненный цикл их атаки от подготовки к выполнению. Затем мы увидели, как они тестируют электронное письмо, которое они собирались отправить руководителям в Калифорнии, и через два с половиной часа после того, как они впервые проверили его, мы увидели, что оно приходит на почту нашего финансового директора, добавил он.

Первый раунд лондонских «синих» атак в основном был направлен на США и Западную Европу, но теперь злоумышленники добавили Юго-Восточную Азию и Австралию к своим радарам, ранее не нацеливаясь на них.

Однако, хотя сотрудники, на которых нацелены эти атаки, базируются в Азии, почти все компании, в которых они работают, базируются в Западной Европе, США и Австралии. все фишинговые письма написаны на английском языке.

London Blue был идентифицирован как нигерийская операция, но исследователи определили одного члена, который базируется в Великобритании. Есть также несколько членов группы, которые работают в других странах, включая Турцию, Египет и Канаду, причем каждый из них родом из Нигерии.

Для мошенников, сказал Крейн, вся операция рассматривается как работа и средство зарабатывания денег, даже с перспективой продвижения по службе.

Это очень интересное занятие для некоторых из этих парней, и вы смотрите на различие в том, как они распределяют обязанности, многие из этих мошенников очень молоды и проходят обучение, он объяснил.

Они начинают с низкоуровневых задач, прежде чем делать это сами, а затем наблюдают за вещами. структура, стоящая за этим, является захватывающей.

Считается, что London Blue остается активным, и организациям настоятельно рекомендуется следить за их кампаниями. Чтобы помочь, Agari предоставил полный список адресов электронной почты, связанных с кампаниями BEC от London Blue.

ЧИТАЙТЕ БОЛЬШЕ О КИБЕР-БЕЗОПАСНОСТИ