【扮嘢之王】新冒起組織Crimson Kingsnake 專扮律師事務所發動BEC攻擊
商務電郵詐騙(Business Email Compromise, BEC)的攻擊對於企業而言難以防範,因為騙徒會冒充大品牌或企業客戶,發出具針對性的攻擊,騙取受害人的信任。最近又有一個名為 Crimson Kingsnake 的 BEC 組織出現,假扮國際知名律師事務所,藉以誘騙收件人就逾期發票付款。
Crimson Kingsnake 透過冒充是律師,向目標發送逾期付款的發票,並聲稱在一年前曾為他們提供服務。這種冒充知名機構發出具針對性攻擊的方法,是典型 BEC 攻擊,並要求目標對象立即付款,倘受害者不虞有詐付款就正中下懷。
Abnormal Security的分析師於 2022 年 3 月首次發現 Crimson Kingsnake,並稱已經確定 92 個與威脅參與者相關的網域,所有網域與真正的律師事務所網站相似。這種仿冒方法令威脅參與者能以乍看似乎真實的網址,向受害者發送電子郵件。這些電子郵件假冒實體的徽標和信箋抬頭,經過專業製作,像真度極高。
目前遭 Crimson Kingsnake 冒充的律師事務所包括:Allen & Overy、Clifford Chance、Deloitte、Dentons、Eversheds Sutherland、Herbert Smith Freehills、Hogan Lovells、Kirkland & Ellis、Lindsay Hart、Manix Law Firm、Monlex International、Morrison Foerster、Simmons & Simmons、Sullivan & Cromwell。這些律師事務所均屬大型跨國公司,因此威脅行為者假設目標能識別它們,並增加電子郵件的可信性。
網絡釣魚電子郵件不針對特定行業或國家/地區,而是在某種程度上隨機分布。Abnormal Security 稱之為「blind BEC attacks」。如果任何收件人中了誘餌,並要求提供有關發票的更多資料,Crimson Kingsnake 會利用所提供的服務的虛假描述來回應。有時 BEC 騙徒會遇到阻力,例如目標對象將電郵傳給公司高層,要求他們回覆以批准付款。
當該組織遇到以上情況,Crimson Kingsnake 或會調整策略,再冒充目標公司的高層回覆。當 Crimson Kingsnake 被問到發票付款的目的時,攻擊者會再發送一封模仿公司高層名稱的新電郵。在這封電郵中,騙徒會「澄清」發票目的,並指出是幾個月前發生的事情,「授權」員工繼續付款的動作。
雖然電子郵件來自公司外部,但假的高層電郵地址仍然可以欺騙收件人,特別是在沒有郵箱過濾器,和警告系統提醒目標員工的情況。
BEC 攻擊雖然只佔網絡釣魚電子郵件中的一小部分,但它仍然是一個涉款數十億的騙案。根據 FBI 的數據,從 2016 年到 2019 年,由 BEC 引起的損失達 430 億美元;而僅在 2021 年,IC3 記錄了 19,954 個法人,因 BEC 詐騙而損失的 24 億美元。
Abnormal Security 的 H1 2022 電子郵件威脅報告還報告稱,在 H2 ’21 中,BEC 攻擊增加了 84%,平均每 1,000 個收件箱,就有 0.82 封電子郵件。根據同一份報告,擁有超過 50,000 名員工的組織,每周有 95% 的機會收到 BEC 電子郵件。