خداع 3 شركات بريطانية خاصة لارسلها $1.3 مليون دولار

خداع 3 شركات بريطانية خاصة لارسلها $1.3 مليون دولار

 

خداع 3 شركات بريطانية خاصة لارسلها $1.3 مليون دولار


في هجوم BEC الأخير المستهدف للغاية ، تمكن المتسللون من خداع ثلاث شركات أسهم خاصة بريطانية لتحويل ما مجموعه 1.3 مليون دولار إلى الحسابات المصرفية التي يمكن للمحتالين الوصول إليها - في حين اعتقد المسؤولون التنفيذيون الضحايا أنهم أغلقوا صفقة استثمار مع بعض الشركات الناشئة.



ووفقًا لشركة الأمن السيبراني Check Point ، التي شاركت أحدث تحقيقاتها مع The Hacker News ، فقد ما يقرب من 700000 دولار من إجمالي المبلغ المحول سلكيًا بشكل دائم للمهاجمين ، مع استعادة المبلغ المتبقي بعد تنبيه الباحثين للشركات المستهدفة في الوقت المناسب.

يبدو أن عصابة الجرائم الإلكترونية المتطورة التي تقف وراء هذا الهجوم ، والتي يطلق عليها اسم "فلورنتين بانكر" ، قد شحذت تقنياتها على عدة هجمات ، على الأقل من سنوات عديدة من النشاط وأثبتت أنها خصم واسع النطاق ، وتتكيف بسرعة مع مواقف جديدة ". قال.

"تمثل التقنيات التي يستخدمونها ، وخاصة تقنية المجالات المشابهة ، تهديدًا شديدًا - ليس فقط للمنظمة التي تعرضت للهجوم في الأصل ولكن أيضًا للأطراف الثالثة التي تواصلوا معها باستخدام النطاق المشابه."

وقالت الشركة الأمنية إن حملات التصيد الإلكترونية التي أطلقها نفس مجموعة المتسللين استهدفت بشكل أساسي قطاعات التصنيع والبناء والقانون والمالية الموجودة في الولايات المتحدة وكندا وسويسرا وإيطاليا وألمانيا والهند وغيرها. 

كيف فعلها الهاكرز؟


ويأتي التحقيق بعد تقرير تشيك بوينت السابق الذي نشر في ديسمبر الماضي ، والذي وصف حادث BEC مماثل (اختراق البريد الإلكتروني للأعمال التجارية) أدى إلى سرقة مليون دولار من شركة رأس المال الاستثماري الصيني. 


وبدلاً من ذلك ، تم توجيه المبلغ ، الذي كان تمويلًا أوليًا لشركة ناشئة إسرائيلية ، إلى حساب مصرفي تحت سيطرة المهاجم عبر هجوم مخطط له بعناية (MITM).
يعمل برنامج الاحتيال ، الذي استولى منذ ذلك الحين على ثلاث شركات تمويل مقرها المملكة المتحدة وإسرائيل في الشبكة ، عن طريق إرسال رسائل بريد إلكتروني تصيد إلى أشخاص بارزين في المنظمة المستهدفة للسيطرة على الحساب وإجراء استطلاع مكثف لفهم طبيعة الأعمال و الأدوار الرئيسية داخل الشركة.
 

خداع 3 شركات بريطانية خاصة لارسلها $1.3 مليون دولار



 في المرحلة التالية ، يتلاعب المهاجمون بصندوق بريد Outlook الخاص بالضحية من خلال إنشاء قواعد جديدة من شأنها تحويل البريد الإلكتروني ذي الصلة إلى مجلد مختلف ، مثل مجلد خلاصات RSS ، لا يستخدمه الشخص المعني بشكل شائع.

 بصرف النظر عن التسلل إلى حساب البريد الإلكتروني للشركات عالي المستوى ومراقبة الرسائل ، يقوم المتسللون بتسجيل نطاقات تشبه منفصلة تحاكي المجالات الشرعية للكيانات المشاركة في مراسلات البريد الإلكتروني التي يريدون اعتراضها ، مما يسمح لهم بارتكاب هجوم MITM عن طريق إرسال رسائل البريد الإلكتروني من المجالات الاحتيالية نيابة عن الطرفين.

"على سبيل المثال ، إذا كان هناك مراسلات بين" finance-firm.com "و" banking-service.com "، فيمكن للمهاجمين تسجيل نطاقات مماثلة مثل" finance-firm.com "و" banking-services.com "، قال الفريق.

بعبارة أخرى ، أرسلت مجموعة Florentine Banker بريدًا واحدًا من كل من المجالات المخادعة إلى الطرف المقابل ، وبذلك تدخل نفسها في المحادثة وتخدع المستلم في التفكير في أن مصدر البريد الإلكتروني شرعي.

وقال باحثو تشيك بوينت: "تم إرسال كل بريد إلكتروني أرسله كل جانب في الواقع إلى المهاجم ، الذي قام بعد ذلك بمراجعة البريد الإلكتروني ، وقرر ما إذا كان يلزم تعديل أي محتوى ، ثم أعاد توجيه البريد الإلكتروني من النطاق المشابه ذي الصلة إلى وجهته الأصلية". في مشاركة مدونة منفصلة على BEC SCAM.

مسلحين بهذا الإعداد ، يبدأ المهاجمون بعد ذلك في حقن معلومات الحساب المصرفي الاحتيالية (المرتبطة بالحسابات الموجودة في هونغ كونغ والمملكة المتحدة) في رسائل البريد الإلكتروني لاعتراض عمليات تحويل الأموال وبدء طلبات تحويل جديدة.






شارك الموضوع
تعليقات