网络攻击、网络欺诈日益猖獗,这不再是黑客独自在黑漆漆的屋里里拼命敲着键盘,在暗网和现代科技的加持下,网络诈骗已经不是你想的样子了,就连无名小卒也能像知名黑客一样骗取巨额金钱,而且被骗的还是谷歌和脸书这样的巨头公司。
美国媒体日前报道,美国科技巨头谷歌和脸书(Facebook)双双成为一个钓鱼式诈骗计划的受害者,两年内被骗金额达1亿美元。另外,据专家介绍,目前诈骗手法日新月异,比钓鱼式诈骗手法更新的是“网络捕鲸”式的放长线钓大鱼。
钓鱼式诈骗让国际巨头企业也中招
邮件冒名供应商取得信任
这名假冒电脑公司行骗的男子来自立陶宛,美国司法部公布的一份起诉书说,立陶宛男子埃瓦尔达斯·里马索斯卡斯策划了一个虚假商务电子邮件骗局,假冒亚洲一家电脑硬件制造商,在2013至2015年间诱骗两家美国互联网公司向他控制的银行账户汇款共计1亿美元。
美国《财富》杂志报道说,谷歌和脸书承认它们就是受害公司,并表示在发现骗局后追回了被骗款项。另外,中国台湾广达电脑公司也承认它就是被假冒的亚洲电脑硬件制造商。
谷歌和Facebook成了难兄难弟
据报道,里马索斯卡斯在立陶宛注册了一家与总部位于中国台湾的广达电脑公司同名的公司,并以这个假广达的名义在立陶宛和塞浦路斯开设银行账户。由于广达是谷歌和Facebook的供应商,里马索斯卡斯就假冒广达的名义向这两家美国公司的财务部门发送钓鱼式电子邮件,要求它们把欠广达的货款汇入假广达的银行账户。这些电子邮件发自伪造的广达公司电子邮箱,看上去像是广达员工发送的,因此成功骗取了谷歌和Facebook员工的信任。
两年的时间里,里马索斯卡斯通过伪造电子邮件、公司发票以及相关文件说服了谷歌和Facebook的会计部门,诈骗了数千万美元。当这两家公司搞清楚到底发生了什么时,里马索斯卡斯已经骗取了超过1亿美元的款项,并迅速将骗取的资金汇入他东欧的银行账户中。
Facebook创始人扎克伯格也深知诈骗的厉害
里马索斯卡斯已被逮捕,面临欺诈、身份盗窃和洗钱3项犯罪指控。起诉书对两家受害美国公司没有点名,只是说其中一家是跨国科技公司,另一家是跨国在线社交媒体公司。
无名小卒也能执行深度攻击
据专家介绍,目前网络欺诈日益猖獗,即便是知名互联网大公司也不能幸免。而知名管理解决方案厂商Venafi日前针对500名首席信息官(CIO)做的一份调查显示,90%的受访者表示他们的企业很可能遭到或已经遇到使用加密流量的网络攻击。
专家表示,今日的黑客手法日新月异,和以往的病毒已不可同日而语。现在网络攻击者背景教复杂,一些无名小卒借助“暗网”和现代科技手法的支持,亦有能力执行深度的网络攻击,加上“暗网”不断开发出新的恶意程序,让网络欺诈和攻击更是变得容易。
此次诈骗谷歌和脸书的手法是“钓鱼式诈骗”(Phishing)。据介绍,2016年第一季所发现的网络钓鱼攻击数量,是13年来最高的。经过多年的发展,目前网络钓鱼技巧已越来越精密,越来越多的使用者不小心点选了恶意连接或档案后中招。
无名小卒也能承担深度攻击
据网络钓鱼防范工作小组(Anti-Phishing Working Group)介绍,光是在2016年3月份就发现了超过12万个非重复的网络钓鱼网站。黑客会利用电子邮件发送这些恶意连接,使用常见的标题和看似正常的网址。企业若无适当的资安防护,很可能就会让这些有害的连接通过,黑客因而得以潜入企业系统。
网络捕鲸比网络钓鱼胃口更大
据专家介绍,除了网络钓鱼以外,目前新的诈骗手法也层出不穷,有一种叫网络捕鲸(Whaling)的诈骗手法比网络钓鱼更懂得:放长线钓大鱼。
钓鱼网站更是层出不穷
顾名思义,网络捕鲸的胃口显然更大,与随机窃取企业电脑和个人电脑机密资料的网络钓鱼不同,这类针对性网络钓鱼手法专门锁定企业高阶主管,试图利用电子邮件来骗取信息。
网络媒体《Lifewire》指出,网络捕鲸电子邮件皆假冒某权威来源的电子邮件地址,并且要求收件人尽速解决某项紧急问题。黑客利用这样的手法来骗取员工资讯、重要文件,甚至是关键系统的帐号密码。
对企业来说,很重要的一件事就是教导员工如何防范网络钓鱼和网络捕鲸,并且学会分辨恶意邮件。
但这些迹象通常不太明显,因此还是不断有人受骗上当。虽然数据外泄防护系统可以侦测你网络上的病毒和其他恶意流量,但企业受骗的消息更是屡见不鲜,这次,美国科技巨头谷歌和脸书两年被骗1亿美元,更是震惊全球。