钓鱼攻击者针对航空高管诈骗客户

KrebsOnSecurity近日接到读者爆料，其老板的邮箱账户遭钓鱼攻击，被用于欺骗公司客户向诈骗者支付大额款项。对攻击者基础设施的调查指向一个长期活动的尼日利亚网络犯罪团伙，该团伙积极针对运输和航空行业的成熟公司。

一位运输行业读者透露，近期一次成功的钓鱼活动欺骗了公司高管在伪造的Microsoft 365登录页面输入凭证。攻击者随后迅速挖掘该高管的收件箱，寻找过往关于发票的通信，复制并修改部分邮件内容，添加新的发票要求后发送给公司的客户和合作伙伴。

该匿名读者表示，发送给客户的钓鱼邮件来自新注册的域名，与雇主域名高度相似，且至少有一位客户上当并支付了虚假发票。攻击者在获取高管邮箱凭证后几小时内就搭建了仿冒域名，导致客户遭受六位数的经济损失。

读者还分享道，仿冒域名的注册记录中的邮箱地址——roomservice801@gmail.com——与许多类似钓鱼域名相关联。在DomainTools.com搜索该邮箱地址，发现其与至少240个2024或2025年注册的域名关联，几乎全部模仿全球航空航天和运输行业公司的合法域名。

互联网搜索该邮箱地址显示，2020年俄罗斯论坛hackware[.]ru上有一篇幽默博客文章，发现roomservice801@gmail.com与使用虚假发票诱饵的钓鱼攻击有关，诱骗收件人在伪造的Microsoft登录页面登录。

JUSTY JOHN

DomainTools显示，2016年注册给roomservice801@gmail.com的一些早期域名包含其他有用信息。例如，alhhomaidhicentre[.]biz的WHOIS记录引用技术联系人“Justy John”和邮箱地址justyjohn50@yahoo.com。

在DomainTools搜索发现，justyjohn50@yahoo.com自2012年起至少注册了一次性钓鱼域名。此时，作者确信某安全公司已发布对该特定威胁团伙的分析，但尚无足够信息得出确切结论。

DomainTools称Justy John邮箱地址与自2012年以来注册的二十多个域名相关联，但通过分析这些Justy John域名的注册记录细节，可以发现数百个更多钓鱼域名和相关邮箱地址。例如，Justy John域名axisupdate[.]net使用的街道地址——田纳西州诺克斯维尔Pelleaux Road 7902号——也出现在accountauthenticate[.]com、acctlogin[.]biz和loginaccount[.]biz的注册记录中，这些域名都曾包含邮箱地址rsmith60646@gmail.com。

该Rsmith Gmail地址与2012年钓鱼域名alibala[.]biz相关联（与中国电商巨头alibaba.com相差一个字符，顶级域为.biz）。在DomainTools搜索这些域名记录中的电话号码——1.7736491613——揭示了更多钓鱼域名，以及尼日利亚电话号码“2348062918302”和邮箱地址michsmith59@gmail.com。

DomainTools显示michsmith59@gmail.com出现在域名seltrock[.]com的注册记录中，该域名用于前述2020年俄罗斯博客文章记录的钓鱼攻击。此时，仅需两步即可识别威胁行为者团伙。

同一尼日利亚电话号码出现在数十个域名注册中，引用邮箱地址sebastinekelly69@gmail.com，包括26i3[.]net、costamere[.]com、danagruop[.]us和dividrilling[.]com。网络搜索任一域名发现，它们被索引在Palo Alto Networks Unit 42研究团队维护的GitHub“入侵指标”列表中。

SILVERTERRIER

据Unit 42称，这些域名是位于尼日利亚的大型网络犯罪团伙的杰作，该团伙自2014年起被命名为“SilverTerrier”。Palo Alto在2021年10月报告中表示，SilverTerrier擅长所谓的“商业电子邮件妥协”（BEC）诈骗，通过社会工程或计算机入侵活动针对合法商业邮箱账户。BEC犯罪分子利用该访问权限发起或重定向商业资金转移以谋取个人利益。

Palo Alto称SilverTerrier包含数百名BEC诈骗者，其中一些已在国际刑警组织的各种国际执法行动中被捕。2022年，国际刑警组织和尼日利亚警方逮捕了11名 alleged SilverTerrier成员，包括一位多年来在社交媒体上炫耀财富的著名SilverTerrier领袖。不幸的是，轻松赚钱的诱惑、 endemic贫困和腐败，以及尼日利亚网络犯罪低门槛共同导致新成员源源不断。

BEC诈骗是2024年FBI互联网犯罪投诉中心（IC3）跟踪的第七大报告犯罪，产生超过21,000起投诉。然而，BEC诈骗是去年向联邦政府报告的成本第二高的网络犯罪形式，声称损失近28亿美元。在其2025年欺诈与控制调查报告中，金融专业人士协会发现63%的组织去年经历了BEC。

深入研究一些邮箱地址揭示了许多居住在尼日利亚或阿拉伯联合酋长国的人的Facebook账户，其中许多人似乎并未试图掩盖真实身份。Palo Alto的Unit 42研究人员得出了类似结论，指出尽管一小部分犯罪分子竭力隐瞒身份，但通常很容易在社交媒体账户和主要消息服务上了解他们的身份。

Palo Alto表示，BEC行为者随着时间的推移变得更有组织，虽然仍然容易找到团体作案的行为者，但使用一个电话号码、邮箱地址或别名注册恶意基础设施以支持多个行为者的做法，使得网络安全和执法组织分辨哪些行为者实施了特定犯罪更加耗时（但并非不可能）。

研究人员写道：“我们继续发现，无论地理位置如何，SilverTerrier行为者通常仅通过社交媒体平台上的几度分离相连。”

金融欺诈杀伤链

Palo Alto发布了一份有用的建议列表，组织可采用以最小化BEC攻击的发生和影响。许多建议是预防性的，例如进行定期员工安全培训和审查网络安全政策。

但一项建议——熟悉称为“金融欺诈杀伤链”（FFKC）的过程——值得特别提及，因为它为寻求追回支付给诈骗者的款项的BEC受害者提供了唯一最佳希望，然而太多受害者直到为时已晚才知道它的存在。

如FBI入门指南所述，国际金融欺诈杀伤链是联邦执法机构和金融实体之间的合作伙伴关系，其目的是冻结受害者电汇的欺诈资金。据FBI称，在欺诈转账后（通常少于72小时）及时向ic3.gov提交的可行受害者投诉将由金融犯罪执法网络（FinCEN）自动分诊。

FBI在其IC3年度报告（PDF）中指出，FFKC在2024年的成功率为66%。可行的ic3.gov投诉涉及至少50,000美元的损失，并包括来自受害者或受害者银行的所有记录，以及包含受害者信息、收款人信息、银行名称、账号、位置、SWIFT和任何附加信息的已完成FFKC表格（由FinCEN提供）。