网络罪犯如何利用IT技术实施货物盗窃
过去,犯罪分子会跟踪运输卡车并实施劫持。如今,他们使用网络钓鱼、语音钓鱼和身份盗窃等手段,通过物流系统查找并转移高价值货物。
这对IT和信息安全领导者来说是一个持续的挑战。
这些策略的最新例证是网络犯罪分子发起的新攻击活动,他们使用鱼叉式网络钓鱼传播恶意软件,入侵货运公司的IT系统以窃取货物。
新型钓鱼攻击活动
Proofpoint公司发现了这一攻击活动,并于本周向运输行业的IT和信息安全领导者发出警告。这一主要针对北美货运公司的新钓鱼活动至少从6月开始活跃,可能早在1月就已启动。
报告指出:“攻击者投放了一系列RMM(远程监控和管理)工具,或在某些情况下投放远程访问软件,包括ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able和LogMeIn Resolve。这些RMM/RAS通常协同使用;例如,已观察到PDQ Connect下载并安装ScreenConnect和SimpleHelp。一旦建立初始访问,威胁行为者就会进行系统和网络侦察,并部署凭据收集工具,如WebBrowserPassView。这一活动表明攻击者正在做出更广泛的努力来入侵账户并加深在目标环境中的访问权限。”
攻击手法详解
首先,犯罪分子试图入侵经纪人负载板(一个卡车公司可以竞标负载的在线市场)。他们可能发布虚假负载的报价,或者插入到承运人和寻找卡车司机交付负载的公司之间的电子邮件对话中。当承运人通过电子邮件回复时,犯罪分子会回复一条包含受感染附件的消息,该附件会导致安装远程访问恶意软件。然后,犯罪分子就可以对真实的货物负载进行出价,进而试图窃取这些货物。
另一种策略是冒充合法的运输公司,要求客户将付款发送到由犯罪分子控制的银行账户。
一家公司在Reddit上描述了其今年早些时候是如何被入侵的:一个所谓的经纪人向承运人的调度员发送了一个“设置”链接。点击后,导致他们的电子邮件被入侵,之后现有的预订被删除,调度员通知被阻止。犯罪分子将自己的设备添加到调度员的电话分机中,以被入侵承运人的名义预订负载并协调运输。在受害公司意识到情况并提醒司机后,该团伙在加利福尼亚州试图窃取八卡车货物但未能成功。然而,几周后,另一家运输公司以同样的方式遭到攻击,表明该团伙已转向其他公司。
攻击成功的原因
Proofpoint报告合著者Selena Larson在接受采访时表示,该计划之所以成功,还因为卡车运输行业需要销售人员和调度员对提议的报价迅速采取行动。推动目标快速行动是许多网络钓鱼活动的基本策略。
本周Proofpoint报告中描述的攻击策略并不新鲜:该公司的研究人员去年9月就曾发出类似警告,针对运输和物流公司的电子邮件活动通常使用带有Google Drive URL的消息,这些URL指向互联网快捷方式(.URL)文件,或者直接附加到消息中的.URL文件。如果执行,它会使用服务器消息块(SMB)文件共享协议访问远程共享上的可执行文件,从而安装恶意软件。
在新的攻击活动中,威胁行为者增加了远程访问工具的使用。Proofpoint不确定这两次活动背后是否是同一个威胁行为者。
Larson同意这两种活动都与针对广泛行业的定向网络钓鱼攻击相似,这些攻击已持续多年,并且涉及试图诱骗员工点击恶意链接或文档。
Proofpoint表示,自8月以来,已观察到近二十多次针对物流公司以投放RMM的活动。该威胁行为者似乎不攻击特定规模的公司:目标范围从小型家族企业到大型运输公司。
被盗货物价值翻倍
很难确定这种与IT相关的货物盗窃问题的规模。美国国家保险犯罪局估计,与2023年相比,去年所有来源的货物盗窃损失增长了27%,达到350亿美元。
为美国和加拿大的执法机构、保险公司和分销商跟踪实体供应链犯罪的Verisk CargoNet公司在其第三季度报告中估计,最近一个季度因盗窃造成的损失超过1.11亿美元,涉及772起货物盗窃事件。由于没有强制性的盗窃报告,真实数字会更大。Verisk CargoNet运营副总裁Keith Lewis表示,这1.11亿美元总额中约有40%可能是IT助长的欺诈。这包括网络钓鱼、短信钓鱼、窃取互联网域名、欺骗、购买合法公司以滥用其名称等等。
他补充说,目前尚未发生通过入侵ERP系统来重新定向货物的情况。
经典网络钓鱼手法
加拿大事件响应公司DigitalDefence负责人Robert Beggs将Proofpoint报告描述为“一个经典的网络钓鱼骗局,但由于物流运营的性质而特别成功”。
尽管这是先前攻击活动的一个新变种,但那些攻击之所以成功,也是因为卡车运输是全天候运营且很大程度上是远程的,因此终端可能并不总是具备确保信任所需的连接性和设施。他指出,风险增加是因为这是一个对时间敏感的行业。载有货物的卡车司机必须获得移动批准,确保文件齐全,并手头有足够的现金以满足即时需求。
“总的来说,这些因素非常适合支持社会工程攻击,”他说。
行业安全挑战与建议
Beggs指出,卡车运输可能看起来是一个低技术行业,因为它通常避免严格网络安全控制。然而,其运营要求此类控制必须存在,尤其是在预支资金或控制高价值负载信息时。至少,该行业的公司必须对登录使用多因素认证,并确保监控对关键系统的访问是否得到正确使用以及是否存在任何异常。他补充说,一些公司在消息中使用代码词或表达来识别关键负载,以增加一层隐私保护。
“卡车司机一直被视为薄弱环节,尤其是由于他们有限的网络安全实践,”Beggs说。“然而,他们是任何国家基础设施的关键部分,并且很可能继续成为社会工程和其他攻击类型的目标。”
易受攻击的TMS系统
前运输经纪人、现为销售经纪人、运输管理和电子商务解决方案的Descartes Systems集团客户主管Danielle Spinelli经常就网络安全和货物盗窃向该行业发表讲话。
她表示,一个问题在于大量“昙花一现”的TMS(运输管理系统)很容易被黑客入侵。TMS提供商拥有犯罪分子想要的客户和卡车负载信息。她补充说,另一个脆弱点是安全性差的ELD(电子日志设备)提供商,它们可能被黑客入侵或成为进入TMS系统的入口点。ELD是卡车中自动记录驾驶员驾驶时间、值班状态和其他信息的设备。
Spinelli补充说,风险最大的是通过免费电子邮件账户开展业务的一两人货物运输公司。
未来展望与防御措施
她说,美国联邦汽车运输安全管理局(FMCSA)正在实施IT部门可以利用的反欺诈举措。其中包括要求新的商业驾驶员申请人将其政府文件与面部扫描进行匹配。她还建议物流公司在派遣卡车之前使用技术平台,该平台结合了FMCSA授权数据与历史跟踪性能、车辆识别号验证、地理定位和保险验证。
Verisk CargoNet的Lewis表示,货物盗窃问题越来越受到高管层的关注。他们现在正在推动其安全部门雇佣具备与金融机构追踪欺诈和盗窃人员相同技能的IT人员。
至于未来,他担心犯罪分子会越来越多地利用人工智能来实施网络攻击。
基础网络安全需求
该行业正在采用技术解决方案来打击货物盗窃;例如,CargoNet刚刚推出了RouteScore API,它使用算法为美国和加拿大创建货物盗窃路线风险评分。
但同样需要的是网络安全基础培训。Descartes的Spinelli表示,IT和信息安全领导者应该做的第一件事是加强员工安全意识培训,内容包括如何识别网络钓鱼攻击以及抵制点击每个附件的冲动。他们应要求物流相关应用程序的管理员和用户每三到六个月重置其管理员和用户密码。公司应确保存在良好的离职程序,以便在员工离开公司时取消其IT访问权限。
Proofpoint敦促货物运输行业的公司:
- 限制下载和安装未经组织信息技术管理员批准和确认的任何RMM工具;
- 建立网络检测措施——包括使用Emerging Threats规则集——并使用端点保护。这可以提醒任何与RMM服务器的网络活动;
- 不允许员工从外部发件人的电子邮件或短信中下载和安装可执行文件(.exe或.msi);
- 培训员工识别可疑活动并向其安全团队报告。这种培训可以轻松集成到现有的用户培训计划中。