李鬼|揭秘！大额跨境贸易诈骗中间人攻击_李逵

1 事件背景
跨境贸易是经济生产的重要组成部分，根据相关数据表示，国内进出口总额屡创新高。在体量巨大的跨境贸易经济实体之下，潜伏着一波犯罪团伙，以获取经济利益为目的实施诈骗活动。犯罪团伙会根据目标进行不同角色的伪装，逐步诱导受害者进行资金转账、核心资料递送等高危害操作。
那么问题来了，犯罪团伙是如何锁定目标，并能够精准掌握目标信息，从而在实施犯罪过程中和目标建立高度可信的交互关系的呢？其实这中间离不开现代化的网络攻击技术，在利益链背后有黑客在进行技术支撑。真的是就怕骗子有文化~
下面安恒威胁情报中心猎影实验室将揭底金融诈骗团伙是如何进行跨境贸易诈骗，一步步剖析犯罪团伙从筛选目标到成功获利的犯罪手法。
2 简论
网络型金融诈骗团伙实施诈骗的过程其实和网络攻击有许多相似环节，过程大致可以分为收集信息、设定群体目标、挑选精准目标、对精准目标进行信息扩展、伪装入场、获得利益。

文章插图
下面直接进入主题。
3 过程揭秘
兵马未动，粮草先行
出兵无粮怎能行，诈骗团伙总得选取诈骗目标，这个选目标的过程也并不容易，并且需要充足的准备工作。
诈骗团伙会收集大量的跨境贸易公司的信息(跨境贸易公司的范围包括有贸易往来的制造业、能源材料业、相关运输业等广泛企业、公司)，其中包括公司成员的邮箱信息、联系方式等，收集渠道五花八门，相信一个比较有实力的团伙手上会有一大批这样的信息列表。
广撒网，多敛“鱼”
有了邮箱信息列表之后，诈骗团伙会选择主动攻击。进入下一轮数据收集，这个过程主要为向群体目标发送经过伪装、附件带有间谍程序的钓鱼邮件。受害者一旦点击附件中的程序或文档，就会被间谍软件持续监控，源源不断的为攻击者提供数据。
01 邮件伪装主题
这类主题往往以“purchase order”、“Swift”、“RFQ”、“PO”、“DHL”、“payment”、“shipping”等账单、购货单、订单、发票、报价、付款、船运等与贸易往来相关的主题，通用型较高，在针对大批量投递情况下较为适用，偶尔也会针对某些目标编制专门的内容。如有特殊针对性目标，则会更加精心设计。
02 配置间谍程序
这主要看犯罪团伙预算是否充足，来决定是否使用开源的、商业购买的、还是自己定制开发的。这类间谍软件的目的以信息窃取为主。
常见的信息窃取类间谍软件如AgentTesla, HawkEye, MassLogger, M00nD3v, Phoenix, AspireLogger, Orion Logger,FormBook,LokiBot, RedLine,Raccoon, Remcos等，具备记录用户的键盘记录、获取保存在浏览器中的用户名密码、从电子邮件客户端抓取用户名密码、以及窃取其它用户敏感信息等，然后可以通过SMTP、FTP、HTTP（S）等数据通道将窃取的数据传输至邮箱、FTP服务器或是Web服务器。

文章插图
03 发件邮箱伪装
钓鱼使用的发件邮箱是多样化的，其中一部分是已经窃取的跨境贸易相关企业的邮箱账户，相当一部分是船运物流公司；
还有一部分会是使用匿名邮箱，邮箱用户模仿为跨境贸易相关公司、船运物流公司此类即可；
另外还有自己注册仿冒域名，搭建邮件服务器用于投递。

文章插图
守株待“鱼”
经过大量的钓鱼邮件发送，此时犯罪团伙就等待目标群体失陷，从而失陷人员机器中会被植入间谍程序，间谍程序不断将各类信息回传到犯罪团伙设定的数据渠道。