又一例钓鱼邮件社会工程骗术剖析
身份识别管理公司Centrify首席执行官肯普在他的博客中详细叙述了针对他的公司发起的电子邮件骗局。
“财务管理人员会接到首席财务官(CFO)或首席执行官发来的电子邮件,以看起来切实的商业理由让他们将钱款电汇到某个账户中。”肯普写道。
“作为一个重视CFO或CEO的好员工,他们当然依命行事——始终相信是CEO让他们做这件事的而没意识到他们其实是将钱转给了骗子。”
骗子的第一次尝试是在2014年2月12日。Centrify的财务副总裁收到了一封来自公司CFO‘蒂姆’的电子邮件,要求她电汇$357,493.41。这封邮件看起来像是肯普转发的。附件是一份PDF的电汇说明,要求汇到一家名为Indeva Corporation的公司的美国花旗银行账户上。
该财务副总裁回复“蒂姆”说,她得和Centrify的会计主管一起完成这笔汇款。幸好这名财务副总裁跟真正的CFO讲了这事儿,他们意识到这封邮件是场骗局。
肯普写道:“我们马上追根溯源出那封邮件是发自一个与公司的‘centrify.com’长得很像的‘centrilfy.com’域名。骗子还猜错了我们电子邮件中名字在前姓氏在后的惯例。”
他说,网络罪犯们在构造与公司相似的域名和CFO、CEO的电子邮件账号之前,是花时间通过公司网站、领英等渠道仔细研究过公司的CEO、CFO和处理电汇事宜的员工的。虽然Centrify关停了那个域名,2015年又有想用电汇请求诈骗公司的骗局从其他不同的域名发起了。
肯普为可能遇到这类社会工程骗术的公司提供如下建议:
马上联系你的CFO,确保所有电汇都要有适当的文件和授权。
确保每一笔电汇都对应着会计系统里的一笔切实的支出。
给包括财务系统在内的所有关键应用加上多因子身份验证措施,让用户能核实各自宣称的身份。其他身份控制措施,比如敏感系统的特权会话监视,也要装上——这是为了防止骗子攻陷了关键财务人员的凭证。
让你的市场营销部门或IT团队开始买下那些与你的公司名很像的域名。
打疫苗——最佳社会工程防疫措施
前美国黑帽子黑客凯文·米特尼克在上世纪90年代便用社会工程渗透进各家公司。如今,他用他的这些技巧帮助公司企业理解他们该怎样保护自己。
今年5月在悉尼召开的澳大利亚(悉尼)国际通讯与信息技术展(CeBIT)上,这位米特尼克安全咨询公司的CEO发言说:很多攻击都利用了不安全的Web应用,以及对人的利用——通过社会工程。
“很多攻击,其入口点都是社会工程,然后你才开始使用技术性漏洞获取目标系统的访问权限。这也是白宫2014年被黑的真相。攻击者就是利用钓鱼邮件进入的国务院。”米特尼克说。
他说,“打疫苗”是最好的防疫措施。
告诉你的员工你会不定时地测试他们,并让内部或外部安全人员尝试诱骗行为。
官方 