数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、商业巨头的“滑铁卢”:谷歌和脸书的亿元骗局
在2013年至2015年期间,一场震惊全球的网络诈骗案悄然上演,谷歌和脸书这两大科技巨头竟也深陷其中,成为了受害者。来自立陶宛的Evaldas Rimasauskas及其团队精心策划了一场骗局,他们成立了一家与谷歌和脸书的供应商——广达电脑(Quanta Computer)名称极为相似的假公司,并以该假公司的名义设立了银行账户。随后,他们针对谷歌和脸书的特定员工,尤其是财务人员,发动了一场极具针对性的鱼叉式网络钓鱼攻击。他们向这些员工发送了看似来自正规业务往来的电子邮件,邮件内容巧妙地诱导员工将应支付给供应商的款项汇入他们预先设立的欺诈账户。数字化转型网www.szhzxw.cn
这些钓鱼邮件的制作极为精良,无论是邮件的格式、措辞,还是所使用的公司标识等细节,都与真实的业务邮件高度相似,几乎难以辨别真伪。谷歌和脸书的员工在毫无防备的情况下,按照邮件的指示进行了操作,使得诈骗分子在两年的时间里成功骗取了超过1亿美元的巨额款项。
这一案例深刻地揭示了社会工程学攻击的复杂性和危险性。诈骗分子不仅仅是简单地发送欺诈邮件,而是通过深入研究目标公司的业务流程、供应商信息以及员工的工作习惯等,精心打造了一个看似真实可信的骗局。他们巧妙地利用了员工对日常工作流程的熟悉和信任,以及大公司业务往来频繁、资金流动量大的特点,使得诈骗行为得以顺利实施,给这两家科技巨头造成了难以估量的经济损失和声誉损害。
二、“李鬼”出没:伪造美国劳工部钓鱼攻击
2022年1月,网络安全领域再次拉响警报,一场针对Office365凭据的钓鱼攻击悄然展开。攻击者将目光瞄准了毫无防备的用户,他们通过模仿美国劳工部(DoL)的身份,精心策划了一场复杂而隐蔽的骗局。
为了增加邮件的可信度和欺骗性,攻击者采用了两种狡猾的方法来冒充美国劳工部的电子邮件地址。一方面,他们通过欺骗手段,伪造实际的美国劳工部电子邮件域(reply@dol[.]gov),使得收件人在收到邮件时,很难从发件人地址上察觉出异样。另一方面,他们还购买了一系列与美国劳工部官方域名相似的域名,如dol-gov[.]com、dol-gov[.]us、bids-dolgov[.]us等。这些相似域名巧妙地利用了人们在快速浏览邮件时可能出现的疏忽,因为它们与官方域名极为相似,很容易被误认为是来自美国劳工部的邮件。
在邮件内容的制作上,攻击者更是下足了功夫。他们使用了美国劳工部的官方logo,让邮件看起来更加正式和权威。邮件的正文经过专业撰写,以“邀请收件人竞标政府项目”为诱饵,极具吸引力。同时,在邮件附带的所谓招标说明的PDF内容中,他们巧妙地嵌入了“立即投标”的按钮,引诱目标用户点击。当用户单击该按钮后,会被重定向到一个精心设计的网络钓鱼网站,这个网站在外观上与实际的美国劳工部网站几乎一模一样,甚至托管在bid-dolgov[.]us等看似合法的URL上。一旦用户进入这个虚假竞标网站,就会被指示输入其Office365凭据。为了确保能够获取到准确的凭据信息,该网站在用户第一次输入后会显示“错误”消息,迫使目标至少输入两次凭据,从而大大减少了因用户输入错误而导致获取信息失败的可能性。
这起案例充分展示了网络钓鱼攻击的隐蔽性和危害性。攻击者通过巧妙地利用相似域名和官方标识,以及精心设计的邮件内容和钓鱼网站,成功地欺骗了众多用户,使得他们在不知不觉中泄露了自己的Office365凭据。这些凭据一旦落入攻击者手中,就相当于为他们打开了一扇进入用户工作账户和公司内部系统的大门,可能导致公司的敏感信息被窃取、数据被篡改或泄露,给个人和企业带来严重的损失。
三、声音也能“造假”:英国能源公司的深度伪造攻击
2019年3月,英国的一家能源公司遭遇了一场前所未有的诈骗危机,凸显了社会工程学攻击手段的不断创新和升级。该公司的首席执行官接到了一个看似来自老板的电话,对方在电话中焦急地要求他将资金迅速发送给匈牙利供应商,声称事情非常紧急,必须在一小时内完成付款。令人震惊的是,电话里的声音听起来与他的老板毫无二致,无论是音色、语调还是说话的习惯,都达到了以假乱真的程度。在这种高度逼真的欺骗下,首席执行官没有产生丝毫怀疑,最终将243,000美元转入了所谓的“匈牙利供应商”的银行账户,而实际上,这个账户早已被黑客掌控。数字化转型网www.szhzxw.cn
然而,诈骗分子的贪婪并未就此止步。在成功骗取第一笔资金后,他们再次冒充首席执行官打来了第二次电话,告知公司母公司已经转账以偿还这笔费用,试图进一步迷惑公司的财务流程和人员判断。当天晚些时候,他们又进行了第三次电话诈骗,再次要求公司付款。但这一次,由于偿还资金的转账迟迟未到,而且第三个电话是来自奥地利的陌生电话号码,这引起了高管的警觉和怀疑,他果断拒绝了支付第二笔费用,从而避免了公司遭受更大的损失。数字化转型网www.szhzxw.cn
事后调查发现,这起诈骗案是黑客利用了先进的人工智能深度伪造技术,通过对公司老板声音的样本采集和分析,成功地克隆出了极其逼真的语音,从而实施了这场精准而隐蔽的诈骗行动。这一案例不仅展示了社会工程学攻击与前沿技术相结合所产生的巨大破坏力,也为企业和个人敲响了警钟,提醒我们在面对涉及资金等重要事务的电话沟通时,要保持高度的警惕,即使对方的声音听起来熟悉,也不能轻易相信,必须通过多渠道核实对方的身份,以防止类似的诈骗事件发生。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于 信息安全动态;编辑/翻译:数字化转型网Jerry。
