网络钓鱼团伙瞄准航空高管，诈骗客户资金

2025年7月24日

KrebsOnSecurity近日接到一位读者的爆料，其老板的电子邮件账户遭到网络钓鱼攻击，并被用于欺骗公司客户向诈骗者支付大笔资金。对攻击者基础设施的调查指向一个长期活动的尼日利亚网络犯罪团伙，该团伙积极针对运输和航空行业的成熟公司。

一位在运输行业工作的读者提供线索，称最近一次成功的网络钓鱼活动欺骗了公司高管在伪造的微软365登录页面输入凭证。随后，攻击者迅速挖掘该高管的收件箱，寻找过往关于发票的通信，复制并修改部分邮件内容，添加新的发票要求，发送给公司的部分客户和合作伙伴。

该读者要求匿名，表示由此产生的针对客户的网络钓鱼邮件来自一个新注册的域名，与其雇主域名极为相似，且至少有一位客户上当受骗，支付了虚假发票。他们称，攻击者在高管收件箱凭证被窃取后仅几小时就创建了相似域名，这起骗局导致客户遭受六位数的经济损失。

该读者还分享称，冒牌域名的注册记录中的电子邮件地址——roomservice801@gmail.com——与许多此类网络钓鱼域名相关联。实际上，在DomainTools.com上搜索该电子邮件地址，发现其与至少240个在2024年或2025年注册的域名相关。几乎所有域名都模仿全球航空航天和运输行业公司的合法域名。

互联网搜索该电子邮件地址显示，2020年俄罗斯论坛hackware[.]ru上有一篇幽默的博客文章，发现roomservice801@gmail.com与一起网络钓鱼攻击有关，该攻击使用虚假发票作为诱饵，欺骗收件人在伪造的微软登录页面登录。我们稍后会回到这项研究。

JUSTY JOHN

DomainTools显示，2016年注册给roomservice801@gmail.com的一些早期域名包含其他有用信息。例如，alhhomaidhicentre[.]biz的WHOIS记录引用了技术联系人“Justy John”和电子邮件地址justyjohn50@yahoo.com。

在DomainTools搜索发现，justyjohn50@yahoo.com自至少2012年以来一直在注册一次性网络钓鱼域名。此时，我确信某家安全公司肯定已经发布了关于这个特定威胁团伙的分析，但我还没有足够的信息得出任何确凿结论。

DomainTools称，Justy John电子邮件地址与自2012年以来注册的二十多个域名相关，但通过分析这些Justy John域名注册记录中的详细信息，我们可以找到数百个更多的网络钓鱼域名和相关电子邮件地址。例如，Justy John域名axisupdate[.]net使用的街道地址——田纳西州诺克斯维尔的7902 Pelleaux Road——也出现在accountauthenticate[.]com、acctlogin[.]biz和loginaccount[.]biz的注册记录中，所有这些域名都曾包含电子邮件地址rsmith60646@gmail.com。

该Rsmith Gmail地址与2012年的网络钓鱼域名alibala[.]biz相关（与中国电商巨头alibaba.com相差一个字符，顶级域为.biz）。在DomainTools中搜索这些域名记录中的电话号码——1.7736491613——揭示了更多的网络钓鱼域名，以及尼日利亚电话号码“2348062918302”和电子邮件地址michsmith59@gmail.com。

DomainTools显示，michsmith59@gmail.com出现在域名seltrock[.]com的注册记录中，该域名用于前述2020年俄罗斯博客文章中记录的网络钓鱼攻击。此时，我们距离识别威胁行为者团伙仅两步之遥。

同一个尼日利亚电话号码出现在数十个域名注册中，这些注册引用了电子邮件地址sebastinekelly69@gmail.com，包括26i3[.]net、costamere[.]com、danagruop[.]us和dividrilling[.]com。网络搜索任何这些域名，发现它们被索引在Palo Alto Networks的Unit 42研究团队在GitHub上维护的“入侵指标”列表中。

SILVERTERRIER

根据Unit 42的说法，这些域名是一个庞大的基于尼日利亚的网络犯罪团伙的作品，该团伙在2014年被命名为“SilverTerrier”。在2021年10月的一份报告中，Palo Alto表示，SilverTerrier擅长所谓的“商业电子邮件妥协”（BEC）骗局，通过社会工程或计算机入侵活动针对合法的商业电子邮件账户。BEC犯罪分子利用这种访问权限启动或重定向商业资金转移以谋取个人利益。

Palo Alto称，SilverTerrier包含数百名BEC诈骗者，其中一些已在国际刑警组织的各种国际执法行动中被捕。2022年，国际刑警组织和尼日利亚警方逮捕了11名 alleged SilverTerrier成员，包括一位 prominent SilverTerrier领袖，该领袖多年来一直在社交媒体上炫耀其财富。不幸的是，轻松赚钱的诱惑、普遍存在的贫困和腐败，以及尼日利亚网络犯罪低门槛，共同导致新成员源源不断。

BEC骗局是2024年FBI互联网犯罪投诉中心（IC3）跟踪的第七大报告犯罪，产生超过21,000起投诉。然而，BEC骗局是去年向联邦政府报告的成本第二高的网络犯罪形式，声称损失近28亿美元。在其2025年欺诈与控制调查报告中，金融专业人士协会发现63%的组织去年经历了BEC攻击。

深入研究从这项研究中衍生出的一些电子邮件地址，揭示了许多居住在尼日利亚或阿拉伯联合酋长国的人的Facebook账户，其中许多人似乎没有试图掩盖其真实身份。Palo Alto的Unit 42研究人员得出了类似结论，指出尽管一小部分这些罪犯竭尽全力隐藏身份，但通常在社交媒体账户和主要消息服务上了解他们的身份很简单。

Palo Alto表示，BEC行为者随着时间的推移变得更有组织，虽然仍然容易找到团体作案的行为者，但使用一个电话号码、电子邮件地址或别名注册恶意基础设施以支持多个行为者的做法，使得网络安全和执法组织梳理出哪些行为者犯下特定罪行变得更加耗时（但并非不可能）。

研究人员写道：“我们继续发现，SilverTerrier行为者，无论地理位置如何，通常通过社交媒体平台上仅几度的分离连接。”

金融欺诈杀伤链

Palo Alto发布了一份有用的建议列表，组织可以采用以最小化BEC攻击的发生和影响。许多建议是预防性的，例如进行定期员工安全培训和审查网络安全政策。

但一项建议——熟悉称为“金融欺诈杀伤链”（FFKC）的过程——值得特别提及，因为它为寻求追回支付给诈骗者的款项的BEC受害者提供了唯一最佳希望，然而太多受害者直到为时已晚才知道它的存在。

如FBI入门指南中所述，国际金融欺诈杀伤链是联邦执法机构和金融实体之间的合作伙伴关系，其目的是冻结受害者电汇的欺诈性资金。根据FBI的说法，在欺诈性转移后及时提交给ic3.gov的可行受害者投诉（通常少于72小时）将由金融犯罪执法网络（FinCEN）自动分诊。

FBI在其IC3年度报告（PDF）中指出，FFKC在2024年的成功率为66%。可行的ic3.gov投诉涉及至少50,000美元的损失，并包括来自受害者或受害者银行的所有记录，以及完成的FFKC表格（由FinCEN提供），包含受害者信息、接收者信息、银行名称、账号、位置、SWIFT和任何附加信息。