信任濫用!
B2B電子郵件詐騙攻擊心理學的深入解析

本文剖析了一種複雜的 B2B 企業電子郵件洩露 (B2B Business Email Compromise ,簡稱 BEC)攻擊 。此事件涉及Threat Actor滲透業務合作夥伴之間的電子郵件通信以操縱金融交易。該分析提供了詳細的事件時程表,並確定了所採用的 MITRE ATT&CK 技術。這篇文章進一步探討了 DMARC、電子郵件簽名和增強審計等預防措施,以減輕此類威脅。建議包括與合作夥伴建立驗證協定,以及為知名使用者提供有針對性的教育。

信任濫用!<br>B2B電子郵件詐騙攻擊心理學的深入解析| 資訊安全新聞

解讀 B2B 企業電子郵件洩露 (BEC) 場景

商業電子郵件洩露 (BEC) 攻擊可能會給組織帶來重大的經濟損失。企業對企業 (B2B) BEC 計劃可以利用業務合作夥伴之間的信任。最近的一項調查調查了一項高級 B2B BEC 計劃,該計劃涉及Threat Actor利用業務合作夥伴之間的隱式信任。Threat Actor利用受感染的電子郵件伺服器發送欺詐性電子郵件,縱了多個實體。本文提供了調查見解、建議的事件時間線和建議的安全做法。

事件的關鍵組成部分

  • 三個業務合作夥伴(合作夥伴 A、合作夥伴 B 和合作夥伴 C)透過電子郵件交換業務交易。
  • 用於發送 BEC 電子郵件的受感染電子郵件伺服器,由Threat Actor控制。
  • Threat Actor,可以完全瞭解三個業務合作夥伴之間的所有電子郵件對話。
  • 入侵涉及存取各種電子郵件帳戶,類似於帳戶接管 (ATO)。分析電子郵件洩露需要查看來自各方的相同電子郵件的多個副本。

事件時間線:

    洩露分兩個階段進行。

  • 第 1 階段:Threat Actor將自己插入電子郵件鏈中。Threat Actor可以看到三個業務合作夥伴之間的所有電子郵件交流。Threat Actor等待了大約 4.5 小時才開始將自己定位到電子郵件對話中。合作夥伴 B 中的收件人在當天晚些時候收到了電子郵件,他們認為合作夥伴 A 發現了其初始銀行的問題。這些電子郵件包含來自合作夥伴 A 的一組更新的電匯說明,要求合作夥伴 B 中的收件者將錢匯到欺詐帳戶。
  • 第 2 階段:Threat Actor完全插入自己以分離兩家公司之間的對話。Threat Actor逐漸將收件者換成他們可以控制的電子郵件帳戶。電子郵件的「寄件者」字段包含合作夥伴 A 或合作夥伴 B 之間的預期收件者,但「回復」 仍然是Threat Actor的電子郵件位址。Threat Actor模仿合作夥伴 A 或合作夥伴 B,使用相同的寫作風格。

    • 多封 BEC 電子郵件通過不安全設定的第三方電子郵件伺服器發送,允許電子郵件通過Sender Policy Framework (SPF) 身份驗證。Threat Actor 向合作夥伴 B 確認了合作夥伴 A 共用的詳細資訊,並修改了資訊以獲得第一階段的更新(和欺詐性)銀行資訊。然後,合作夥伴 B 將資金存入 Threat Actor 的銀行帳戶。

事件時程表

  • T+0:00:合作夥伴 A 向合作夥伴 B 發送電子郵件提醒,複製 (CC) 合作夥伴 C。
  • T+4:30:Threat Actor “回復”了發送給合作夥伴 B 的同一封電子郵件,其中包含通過受感染的電子郵件伺服器發送的更新銀行資訊。六個電子郵件位址中的一個被替換為 Threat Actor 控制的位址。“Reply-To” 也被定義為受 Threat Actor 的控制。
  • T+11:00:Threat Actor 再次 “回復”,但這次是通過合作夥伴 C 被盜用的電子郵件帳戶,其內容與上一次回復相同。
  • T+15:00:合作夥伴 B 確認發票,並通知 “合作夥伴 A”(偽裝的Threat Actor)他們將審核寄出的信息,詢問業務詳細資訊。實際回復會發送給Threat Actor,合作夥伴 A(真正的)收到的電子郵件已經替換了 6 個原始收件者中的 5 個。
  • T+5.02 天:合作夥伴 A 向 “合作夥伴 B”(偽裝的Threat Actor)回復正確的業務詳細資訊。
  • T+5.17 天:「合作夥伴 A」(偽裝的Threat Actor)向合作夥伴 B 發送一封跟進電子郵件,確認所需的業務詳細資訊和之前請求的更新銀行資訊。
  • T+5.64 天:合作夥伴 B 將錢存入 Threat Actor 的銀行帳戶。
  • T+5.66 天:合作夥伴 B 通知 “合作夥伴 A”(偽裝的Threat Actor)存款已完成。

    • 合作夥伴 A 在首次提醒發票後大約 12 天提示合作夥伴 B 確認轉移。到那時,資金已全部轉移給Threat Actor。Threat Actor 有針對性地將自動填入的電子郵件地址替換為實際的預期收件人,以使對話能夠自然地進行。

使用的 MITRE ATT&CK 技術

  • 電子郵件收集 (T1114)。
  • 接管了有效的網域用戶帳戶 (T1078),然後使用某種形式的電子郵件轉發規則 (T1114.003)。
  • 入侵了幾乎沒有限制的第三方電子郵件伺服器 (T1584.004)。
  • 電子郵件帳戶被設定為模擬 (mimic)電子郵件的登錄方式 [T1585.002]。
  • 各方之間的信任關係 (T1199)。
  • 財務盜竊 (T1657)。
  • 資源劫持 (T1496)。

使Threat Actor難以啟動成功的 B2B BEC 的建議

  • 實施其他電子郵件安全控制。在這種情況下,嚴格的 DMARC 政策會有所幫助,因為這些電子郵件不會通過驗證。
  • 考慮對電子郵件進行數位簽章,尤其是在通過電子郵件進行財務交易的個人之間。這將驗證電子郵件寄件人的真實性,同時確保電子郵件未更改其原始形式。
  • 針對特定個人的擴展審計(Extended auditing),尤其是那些通過電子郵件進行財務交易的人。
  • 針對這些高端用戶進行特定的教育和流程。執行 B2B BEC 類型的模擬。
  • 在您的合作夥伴之間建立驗證協定。實施安全的獨立(Out-Of-Band)通信通道。
  • 在知名人士中搜尋電子郵件中的違規行為。
  • 實施適當的 DMARC 設定可能是最大限度地降低 BEC 成功率的重要保障措施。

結論

企業電子郵件洩露 (BEC) 對組織來說可能是代價高昂的。鼓勵組織與其電子郵件服務提供者和安全供應商一起評估其網路安全措施,並瞭解正常的業務實踐,即使是在受信任的業務合作夥伴之間也是如此。實施適當的 DMARC 設定可以最大限度地減少 BEC 的成功率,組織應與其電子郵件、消息傳遞和協作供應商合作,以確保正確的設定和整合。BIMI 等規範還可以通過在通過 DMARC 驗證的電子郵件上顯示組織的品牌徽標來提供説明,説明收件者區分合法電子郵件和未經身份驗證的來源。本文還建議了以下事項:

  • 實施電子郵件安全控制,如DMARC(Domain-based Message Authentication, Reporting & Conformance)、DKIM(DomainKeys Identified Mail)和SPF(Sender Policy Framework)。
  • 對電子郵件進行數位簽章,尤其是在通過電子郵件進行財務交易的個人之間,以驗證發件人的真實性並確保電子郵件未被更改。
  • 將審計範圍擴大到特定個人,特別是那些通過電子郵件處理金融交易的人,以監控可疑活動。
  • 通過有針對性的培訓和流程(例如 B2B BEC 類型的模擬)來教育知名使用者,以提高警惕性。
  • 與合作夥伴建立驗證協定,使用安全的獨立通信通道來驗證寄件者的身份。
  • 通過電子郵件搜尋知名人士的流程違規行為,執行和監控標準流程。