近两年,航运业成为了黑客眼中的一块大肥肉!
雷锋网发现,自去年以来,全球已发生多起因黑客攻击造成的大规模商业电子邮件泄密(BEC)事件,导致海上航运业损失了数百万美元。但现在,研究人员已经追踪到其背后的的黑客组织。
根据本周三(4月18日)RSA会议上发布的报告显示,黑客正在利用了海上航运行业网络安全漏洞、以及较为落后的计算机设备入侵航运系统。
来自Dell SecureWorks反网络威胁部门的研究人员发现,该商业电子邮件泄密黑客组织名叫Gold Galleon。研究人员推测,Gold Galleon专门针对航运业,并且在2017年6月至2018年1月之间窃取了至少390万美元。
Gold Galleon的攻击目标包括各种类型的海运组织,比如提供船舶管理服务的公司,港口服务公司和船长借支服务公司。Dell SecureWorks安全研究员James Bettke是该研究小组的负责人,他评价说:
“因为航运业务涉及全球范围、且跨布多个时区,涉业人员的沟通基本都是靠邮件——因此对于BEC诈骗小组来说,这就像一个“唾手可得”的诱人果实。”
Bettke在接受采访时表示:
“Gold Galleon 会以航运行业为攻击目标是有多方面原因的……因为从安全性缺失与有趣的文化层面角度来看,航运业地区是一个完美的攻击目标。一方面,许多非常小的航运公司并不担心安全问题——他们没有双重身份验证,并且运行的是Windows XP系统;另一方面,许多小航运公司正在开展国际贸易并主要依靠电子邮件进行通信,所以很难确定是否被人假冒。”
SecureWorks发现,Gold Galleon黑客组织应该至少有20名网络犯罪分子构成,他们可能位于尼日利亚。这些罪犯共同合作,实施BEC黑客攻击的各个部分——从最初的协议攻击到监控账户等。
根据SecureWorks的调查结果,Gold Galleon通过收集公开可用的联系信息(例如公司的网站)以及利用营销工具 BoxxerMail 或电子邮件提取器来从公司网站上获取电子邮件地址,进而识别目标攻击对象。
得以进入目标邮箱后,网络犯罪分子会通过一款名为 EmailPicky 的黑客工具,进一步获得收件人的联系人列表。
Gold Galleon使用带有恶意附件的鱼叉式网路钓鱼技术,达到犯罪目的。这些附件通常会包含一个带键盘记录功能和密码窃取功能的远程访问工具。
SecureWorks在他们的安全报告中提到:
“GOLD GALLEON 部署的工具包括 Predator Pain,PonyStealer,Agent Tesla,以及Hawkeye 键盘记录器,所有这些 GOLD GALLEON 使用的恶意软件都可以从线上黑客市场获得。”
一旦该黑客团体入侵了目标电子邮箱,该犯罪团伙的成员就能监控这个邮箱中正在进行的商务活动。
当付款细节通过发票的形式转发给买方时,黑客就会拦截卖方的电子邮件并将发票上的目标银行账户更改为他们自己的收款账户。
根据SecureWorks透露:“
为了在特定交易中模仿买家或卖家使骗术不易被识破,GOLD GALLEON和其他BEC小组会专门购买与买方或卖方公司名称非常相似的域名,他们将此称为“克隆”。
Bettke补充说道:
“该黑客组织使用一系列具有键盘记录功能和密码窃取功能的商品远程访问工具来窃取电子邮件帐户凭证。Gold Galleon的高级成员还会定期在他们自己的系统上测试恶意软件,并通过在线病毒扫描程序判断检测率。”
经过筛选该黑客组织的用户名和密码,SecureWorks怀疑Gold Galleon是尼日利亚的一个名为Buccaneer Confraternity或是National Association of Seadog的兄弟会组织。
Bucaneers Confraternity最初成立于尼日利亚,在该国支持人权运动。有报告表明,该群体中的一小部分可能正在从事犯罪活动。SecureWorks公司发现,为了躲避黑客攻击,一些有被攻击风险的公司开始实施双重身份验证,并检查企业电子邮件控制面板是否存在可疑的重定向规则。
Bettke说道:
“他们使用的恶意软件非常简单,我建议海事行业的公司采用双重身份验证和更强的账户管控措施,此外如果有人出于一些隐晦的要求需要更改账户,公司员工应该先通话确认而不是仅仅简单地以电子邮件进行沟通。”
几封电邮,骗了该航运公司1100多万!!
正文:
诈骗分子通过钓鱼邮件进入邮箱账户骗取银行汇款超过180万美金。
信德海事网1月11日消息,近日,新加坡高等法院驳回了一家名为Major Shipping & Trading Inc 针对渣打银行就4笔总计184万美金的错误汇款进行索赔。
Major Shipping & Trading是一家注册与英属维京群岛的有限责任公司,主要经营水泥熟料以及其他种类大宗商品的贸易和运输业务。据Seatrade介绍,该公司老板为Molla Mohammad Majnu 以及Mohammed Jahangir Alam。
根据一份法庭文件显示,上述交易发生于MAJOR于2012年渣打银行开设的一个账户,在这个账户设置了2个孟加拉固定电话、2个新加坡电话号码作为放款授权人的联系方式,另外还有Majnu的一个雅虎邮箱。
2013年6月17-26日之间,银行收到了来自于Majnu邮箱的以汇款申请表形式的6个往外电汇付款的指令。
在确认这6份汇款指令上的签名与Majnu当初留在银行的签名一致后,银行随即致电上述身份确认电话号码,但仅一个最终接通,而这唯一一个电话被接通后,银行工作人员又被告知不想被打扰。
银行在6月17-24日之间成功完成了前4笔总计184万美元的付款。而第5笔和第6笔(合计266万美金)由于账户余额不足而未能成功。
Majnu 表示,他并未有发出这6月17-24日期间的这4项汇款指令。后经调查有证据显示有第三方进入了Majnu的电子邮箱,而正在6月18日Majnu本人也收到过两条来自于雅虎邮箱的包含验证信息的短信,但都被Majnu所疏忽,Majnu辩称他当时并不明白在这两条短信是怎么回事。
法官 Kannan Ramesh驳回了关于MAJOR对银行提出的索赔,不认为银行有玩忽职守的行为。
Kennedys律所合伙人Karnan Thirupathy评论到,“对于相关客户和银行来说,通过这个判决,需要认识到,通过电子邮件进行交易是有风险的。”
该判决 凸显了中小企业在支付授权和使用webmail账户方面的问题。尤其是诸如CEO级别的高层人士尤其需要引起注意。
各种电信诈骗无所不在。针对航运公司的类似事件并不少见,信德海事网曾多次发布类似消息,
小编在此提醒广大航运圈朋友:
工作邮箱,请尽量将工作伙伴的名字备注,要知道1和I,0和O,10086和1OO86我们经常是用肉眼比较容易忽视的,而备注名字就可以避免类似情况的发生。
如遇客户要求变更将货款油款等账户时,尽量通过电话或是抄送客户其他邮箱要求确认等方式再确认一遍,不要怕打国际电话的麻烦也不要怕时差问题打扰客户休息,资金安全最重要。
注意网络安全,请配备专业的杀毒软件,莫名的邮箱附件、链接请不要随意点开。你懂的。
如果你有什么好的建议或意见,不妨写在下面供大家交流与学习。也欢迎有类似遭遇的航运圈朋友爆料,以供大家学习交流探讨,避免此类案件的发生!
希望能引起各航运公司的注意。
免责声明:本文仅代表作者个人观点,与信德海事无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
投稿或联系信德海事:
admin@xindemarine.com