网络钓鱼攻击航空高管以诈骗客户

KrebsOnSecurity 最近收到一位读者的爆料，其老板的电子邮件账户遭到网络钓鱼攻击，并被用于欺骗公司客户向诈骗者支付大笔款项。对攻击者基础设施的调查指向一个长期活动的尼日利亚网络犯罪团伙，该团伙积极针对运输和航空行业的成熟公司。

一位在运输行业工作的读者提供了一条关于最近成功网络钓鱼活动的线索，该活动欺骗了公司高管在假冒的 Microsoft 365 登录页面输入凭据。随后，攻击者迅速挖掘高管的收件箱，寻找过去关于发票的通信，复制并修改了一些邮件，添加新的发票要求，发送给公司的客户和合作伙伴。

该读者匿名表示，由此产生的针对客户的网络钓鱼邮件来自一个新注册的域名，该域名与雇主域名非常相似，且至少有一位客户上当并支付了虚假发票。他们表示，攻击者在高管收件箱凭据被钓鱼后仅几小时就创建了相似域名，导致客户遭受六位数的财务损失。

该读者还分享说，假冒域名注册记录中的电子邮件地址——roomservice801@gmail.com——与许多此类钓鱼域名相关联。实际上，在 DomainTools.com 上搜索该电子邮件地址发现，它与至少 240 个在 2024 或 2025 年注册的域名相关联。几乎所有域名都模仿全球航空航天和运输行业公司的合法域名。

互联网搜索该电子邮件地址揭示了 2020 年俄罗斯论坛 hackware[.]ru 上的一篇幽默博客文章，该文章发现 roomservice801@gmail.com 与一起网络钓鱼攻击有关，该攻击使用虚假发票诱骗收件人在假冒的 Microsoft 登录页面登录。我们稍后会回到这项研究。

JUSTY JOHN

DomainTools 显示，2016 年注册给 roomservice801@gmail.com 的一些早期域名包含其他有用信息。例如，alhhomaidhicentre[.]biz 的 WHOIS 记录引用了技术联系人“Justy John”和电子邮件地址 justyjohn50@yahoo.com。

在 DomainTools 搜索发现，justyjohn50@yahoo.com 自至少 2012 年以来一直在注册一次性钓鱼域名。此时，我确信某些安全公司肯定已经发布了关于这个特定威胁团伙的分析，但我还没有足够的信息来得出任何可靠的结论。

DomainTools 表示，Justy John 电子邮件地址与自 2012 年以来注册的超过两打域名相关联，但我们可以通过分析这些 Justy John 域名注册记录中的详细信息，找到数百个更多钓鱼域名和相关电子邮件地址。例如，Justy John 域名 axisupdate[.]net 使用的街道地址——田纳西州诺克斯维尔的 7902 Pelleaux Road——也出现在 accountauthenticate[.]com、acctlogin[.]biz 和 loginaccount[.]biz 的注册记录中，所有这些域名都曾包含电子邮件地址 rsmith60646@gmail.com。

该 Rsmith Gmail 地址与 2012 年的钓鱼域名 alibala[.]biz 相关联（与中国电子商务巨头 alibaba.com 相差一个字符，顶级域为 .biz）。在 DomainTools 中搜索这些域名记录中的电话号码——1.7736491613——揭示了更多钓鱼域名，以及尼日利亚电话号码“2348062918302”和电子邮件地址 michsmith59@gmail.com。

DomainTools 显示，michsmith59@gmail.com 出现在域名 seltrock[.]com 的注册记录中，该域名用于前述 2020 年俄罗斯博客文章中记录的钓鱼攻击。此时，我们距离识别威胁行为者团伙仅两步之遥。

相同的尼日利亚电话号码出现在数十个域名注册中，这些注册引用了电子邮件地址 sebastinekelly69@gmail.com，包括 26i3[.]net、costamere[.]com、danagruop[.]us 和 dividrilling[.]com。在网络上搜索任何这些域名，发现它们被索引在 Palo Alto Networks Unit 42 研究团队在 GitHub 上维护的“妥协指标”列表中。

SILVERTERRIER

根据 Unit 42 的说法，这些域名是一个庞大的尼日利亚网络犯罪团伙的作品，该团伙在 2014 年被命名为“SilverTerrier”。在 2021 年 10 月的一份报告中，Palo Alto 表示 SilverTerrier 擅长所谓的“商业邮件妥协”（BEC）诈骗，通过社会工程或计算机入侵活动针对合法的商业电子邮件账户。BEC 犯罪分子利用这种访问权限来启动或重定向业务资金转移以谋取个人利益。

Palo Alto 表示，SilverTerrier 包含数百名 BEC 诈骗者，其中一些人在国际刑警组织的各种国际执法行动中被捕。2022 年，国际刑警组织和尼日利亚警察部队逮捕了 11 名涉嫌 SilverTerrier 成员，包括一位多年来在社交媒体上炫耀财富的著名 SilverTerrier 领导人。不幸的是，轻松赚钱的诱惑、普遍存在的贫困和腐败，以及尼日利亚网络犯罪低门槛，共同提供了源源不断的新招募人员。

BEC 诈骗是 2024 年 FBI 互联网犯罪投诉中心（IC3）跟踪的第七大报告犯罪，产生了超过 21,000 起投诉。然而，BEC 诈骗是去年向联邦政府报告的第二大成本最高的网络犯罪形式，声称损失近 28 亿美元。在其 2025 年欺诈与控制调查报告中，金融专业人士协会发现 63% 的组织去年经历了 BEC。

挖掘一些从这项研究中衍生出的电子邮件地址，揭示了许多居住在尼日利亚或阿拉伯联合酋长国的人的 Facebook 账户，其中许多人似乎没有试图掩盖他们的真实身份。Palo Alto 的 Unit 42 研究人员得出了类似的结论，指出尽管一小部分这些罪犯竭尽全力隐瞒身份，但通常在社交媒体账户和主要消息服务上了解他们的身份很简单。

Palo Alto 表示，BEC 行为者随着时间的推移变得更加有组织，虽然仍然容易找到团体作案的行为者，但使用一个电话号码、电子邮件地址或别名注册恶意基础设施以支持多个行为者的做法，使得网络安全和执法组织梳理出哪些行为者犯下特定罪行更加耗时（但并非不可能）。

研究人员写道：“我们继续发现，SilverTerrier 行为者，无论地理位置如何，通常通过社交媒体平台上仅几度的分离联系在一起。”

金融欺诈杀链

Palo Alto 发布了一份有用的建议列表，组织可以采纳以最小化 BEC 攻击的发生和影响。许多建议是预防性的，例如进行定期员工安全培训和审查网络安全政策。

但有一条建议——熟悉称为“金融欺诈杀链”（FFKC）的过程——特别值得提及，因为它为寻求追回支付给诈骗者的款项的 BEC 受害者提供了唯一最佳希望，然而太多受害者直到为时已晚才知道它的存在。

如 FBI 入门指南中所述，国际金融欺诈杀链是联邦执法机构和金融实体之间的合作伙伴关系，其目的是冻结受害者电汇的欺诈资金。根据 FBI，在欺诈转账后及时提交给 ic3.gov 的可行受害者投诉（通常少于 72 小时）将由金融犯罪执法网络（FinCEN）自动分诊。

FBI 在其 IC3 年度报告（PDF）中指出，FFKC 在 2024 年的成功率为 66%。可行的 ic3.gov 投诉涉及至少 50,000 美元的损失，并包括来自受害者或受害者银行的所有记录，以及完成的 FFKC 表格（由 FinCEN 提供），包含受害者信息、收款人信息、银行名称、账号、位置、SWIFT 和任何附加信息。