网络钓鱼攻击航空高管以诈骗客户

KrebsOnSecurity近日接到一位读者的爆料，其老板的电子邮件账户遭到网络钓鱼攻击，并被用于欺骗公司客户向诈骗者支付大额款项。对攻击者基础设施的调查指向一个长期活动的尼日利亚网络犯罪团伙，该团伙积极针对运输和航空行业的成熟公司。

一位在运输行业工作的读者提供线索，称最近一次成功的网络钓鱼活动欺骗了公司高管在伪造的Microsoft 365登录页面输入凭证。随后，攻击者迅速挖掘该高管的收件箱，寻找过往关于发票的通信，复制并修改部分邮件内容，添加新的发票要求，发送给公司的部分客户和合作伙伴。

该读者匿名表示，发送给客户的钓鱼邮件来自新注册的域名，与雇主域名极为相似，且至少有一位客户上当受骗，支付了虚假发票。攻击者在获取高管收件箱凭证后几小时内就建立了仿冒域名，导致客户遭受六位数的财务损失。

读者还分享，仿冒域名的注册记录中的电子邮件地址——roomservice801@gmail.com——与许多类似钓鱼域名相关联。在DomainTools.com搜索该电子邮件地址，发现其与至少240个2024或2025年注册的域名相关。几乎所有域名都模仿全球航空航天和运输行业公司的合法域名。

互联网搜索该电子邮件地址显示，2020年俄罗斯论坛hackware[.]ru上有一篇幽默的博客文章，发现roomservice801@gmail.com与一起使用虚假发票诱饵的钓鱼攻击有关，诱骗收件人在伪造的Microsoft登录页面登录。

JUSTY JOHN

DomainTools显示，2016年注册给roomservice801@gmail.com的一些早期域名包含其他有用信息。例如，alhhomaidhicentre[.]biz的WHOIS记录引用技术联系人“Justy John”和电子邮件地址justyjohn50@yahoo.com。

在DomainTools搜索发现，justyjohn50@yahoo.com自至少2012年起一直在注册一次性钓鱼域名。此时，我确信某些安全公司已经发布了对该特定威胁团伙的分析，但尚未有足够信息得出任何可靠结论。

DomainTools表示，Justy John电子邮件地址与自2012年以来注册的二十多个域名相关，但通过分析这些Justy John域名注册记录中的详细信息，我们可以找到数百个更多钓鱼域名和相关电子邮件地址。例如，Justy John域名axisupdate[.]net使用的街道地址——田纳西州诺克斯维尔Pelleaux Road 7902号——也出现在accountauthenticate[.]com、acctlogin[.]biz和loginaccount[.]biz的注册记录中，所有这些域名曾包含电子邮件地址rsmith60646@gmail.com。

该Rsmith Gmail地址与2012年钓鱼域名alibala[.]biz相关（与中国电商巨头alibaba.com相差一个字符，顶级域为.biz）。在DomainTools搜索这些域名记录中的电话号码——1.7736491613——揭示更多钓鱼域名，以及尼日利亚电话号码“2348062918302”和电子邮件地址michsmith59@gmail.com。

DomainTools显示，michsmith59@gmail.com出现在域名seltrock[.]com的注册记录中，该域名用于前述2020年俄罗斯博客文章记录的钓鱼攻击。此时，我们仅需两步即可识别威胁行为者团伙。

同一尼日利亚电话号码出现在数十个域名注册中，引用电子邮件地址sebastinekelly69@gmail.com，包括26i3[.]net、costamere[.]com、danagruop[.]us和dividrilling[.]com。网络搜索任何这些域名，发现它们被索引在Palo Alto Networks Unit 42研究团队维护的GitHub“入侵指标”列表中。

SILVERTERRIER

据Unit 42称，这些域名是总部位于尼日利亚的大型网络犯罪团伙的杰作，该团伙在2014年被命名为“SilverTerrier”。在2021年10月的报告中，Palo Alto表示SilverTerrier擅长所谓的“商业邮件泄露”（BEC）诈骗，通过社会工程或计算机入侵活动针对合法商业电子邮件账户。BEC犯罪分子利用该访问权限启动或重定向商业资金转移以谋取个人利益。

Palo Alto表示，SilverTerrier包含数百名BEC诈骗犯，其中一些已在国际刑警组织的各种国际执法行动中被捕。2022年，国际刑警组织和尼日利亚警方逮捕了11名 alleged SilverTerrier成员，包括一位多年来在社交媒体上炫耀财富的 prominent SilverTerrier领袖。不幸的是，轻松赚钱的诱惑、 endemic贫困和腐败，以及尼日利亚网络犯罪低门槛，共同导致新成员源源不断。

BEC诈骗是2024年FBI互联网犯罪投诉中心（IC3）跟踪的第七大报告犯罪，产生超过21,000起投诉。然而，BEC诈骗是去年向联邦政府报告的第二大成本最高的网络犯罪形式，声称损失近28亿美元。在其2025年欺诈与控制调查报告中，金融专业人士协会发现63%的组织去年经历了BEC。

探究本研究衍生的一些电子邮件地址，揭示了许多居住在尼日利亚或阿拉伯联合酋长国的人的Facebook账户，其中许多人似乎并未试图掩盖其真实身份。Palo Alto的Unit 42研究人员得出类似结论，指出尽管一小部分这些罪犯竭力隐瞒身份，但通常很容易在社交媒体账户和主要消息服务上了解他们的身份。

Palo Alto表示，BEC行为者随着时间的推移变得更有组织，虽然很容易找到团体作案的行为者，但使用一个电话号码、电子邮件地址或别名注册恶意基础设施以支持多个行为者的做法，使得网络安全和执法组织分辨哪些行为者犯下特定罪行更加耗时（但并非不可能）。

“我们继续发现，SilverTerrier行为者，无论地理位置如何，通常通过社交媒体平台上仅几度的分离连接，”研究人员写道。

金融欺诈终止链

Palo Alto发布了一份有用的建议列表，组织可以采纳以最小化BEC攻击的发生和影响。许多建议是预防性的，例如进行定期员工安全培训和审查网络安全政策。

但一项建议——熟悉称为“金融欺诈终止链”（FFKC）的过程——值得特别提及，因为它为寻求追回支付给诈骗者的款项的BEC受害者提供了唯一最佳希望，然而太多受害者直到为时已晚才知道其存在。

如FBI入门指南所述，国际金融欺诈终止链是联邦执法机构和金融实体之间的合作伙伴关系，其目的是冻结受害者电汇的欺诈资金。据FBI称，在欺诈转移后及时（通常少于72小时）向ic3.gov提交的可行受害者投诉将由金融犯罪执法网络（FinCEN）自动分诊。

FBI在其IC3年度报告（PDF）中指出，FFKC在2024年成功率为66%。可行的ic3.gov投诉涉及至少50,000美元的损失，并包括来自受害者或受害者银行的所有记录，以及完成的FFKC表格（由FinCEN提供），包含受害者信息、接收者信息、银行名称、账号、位置、SWIFT和任何附加信息。