美国联邦调查局说,网络罪犯越来越多地依靠电子邮件转发规则来掩饰其在被黑电子邮件帐户中的存在。
联邦调查局(FBI)在上周发送并于今天公开的PIN(私人行业通知)警报中说,该技术已在夏季报告的最近的BEC(企业电子邮件妥协)攻击中被发现和滥用。
骇客该技术依赖于某些电子邮件服务中称为"的功能。自动转发电子邮件规则。"
顾名思义,该功能允许电子邮件地址的所有者设置“规则”。如果满足特定条件,则将传入的电子邮件转发(重定向)到另一个地址。
威胁执行者绝对喜欢电子邮件自动转发规则,因为它们使他们无需每天登录帐户即可接收所有传入电子邮件的副本,并且有触发可疑登录的安全警告的风险。
自电子邮件客户端问世以来,电子邮件自动转发规则已被滥用。既有民族国家的黑客组织,也有常规的网络犯罪操作者。
但是联邦调查局(FBI)上周在PIN中表示,整个夏天它收到了多个报告,称该技术现在经常被从事BEC骗局的团伙滥用-这种网络犯罪形式,黑客破坏了电子邮件帐户,然后从被黑客入侵的帐户中发送电子邮件。试图说服其他员工或业务合作伙伴授权向入侵者控制的错误帐户付款。
FBI提供了两个案例,例如BEC骗子在攻击过程中滥用了电子邮件转发规则:
2020年8月,网络犯罪分子在一家美国医疗设备公司的最新升级的Web客户端上创建了自动转发电子邮件规则。该Webmail并未同步到桌面应用程序,也没有受到受害公司的注意,受害公司仅在桌面客户端上遵守自动转发规则。桌面应用程序上也未启用RSS。 BEC参与者获得网络访问权后,他们冒充了一个知名的国际供应商。演员创建了一个与受害者的拼写相似的域名,并使用基于英国的IP地址与供应商进行了沟通,以进一步增加付款的可能性。演员从受害人那里获得了17.5万美元。
在2020年8月的另一起事件中,同一位参与者在制造业公司使用的基于Web的电子邮件中创建了三个转发规则。第一条规则自动转发所有搜索条件为" bank,"的电子邮件。 "付款," "发票," "电线,"或" check"到网络罪犯的电子邮件地址。其他两个规则基于发件人的域,并再次转发到相同的电子邮件地址。
联邦调查局官员说,该技术仍使公司环境成为受害者,因为一些公司不会将基于Web的帐户的电子邮件设置强制与桌面客户端同步。
反过来,这会限制规则。对[公司]网络安全管理员的可见性;以及公司的安全软件,该软件可以配置并能够检测转发规则,但可能对新规则不知情,直到发生同步。
FBI PIN(可在此处获得其副本)包含一系列基本缓解措施和解决方案,供系统管理员解决此特定攻击媒介并防止将来滥用。
FBI PIN是在FBI今年早些时候报道说BEC诈骗到目前为止是2019年最受欢迎的网络犯罪形式之后,占去年报告的网络犯罪损失的一半。