ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

依頼することによって金銭を盗む: 改ざんした請求書を使ったビジネスメール侵害

私たちは、「改ざんされた請求書詐欺」とでも呼ぶべき攻撃の標的となった組織から寄せられた多 くの報告書を見ています。このタイプの詐欺は新しいものではありませんが、最近注目されていま す。この詐欺の基本的な概要は次のようになります。

  • 攻撃者は、 'Office 365 Verification'、 'IT Helpdesk Alert'、 'Docusign' などのフィッシングキ ャンペーンや、多くの異なるフレーバーを持つフィッシングメールのいずれかを送信します。
  • 犠牲者はリンクをクリックし、偽のクレデンシャル情報(ユーザー名、パスワード)Web フォー ムに対して、自分のクレデンシャル情報を提供してしまいます。
  • クレデンシャル情報を使用して、攻撃者は被害者のメールボックス(Office365 や Outlook Web Access など)にログオンし、電子メールを監視します。自動転送ルールを設定して、す べてのメールを詐欺目的のために管理する別のアカウントに転送することができます。
  • 攻撃者は電子メールトラフィックを監視して、適度に高額な支払い要求に関する会話を請 求書で探します。
  • クライアントのふりをして、攻撃者はサプライヤに電子メールを偽装し、請求書のコピーを 要求し、それをコピーして、新しい銀行情報に変更します。
  • 攻撃者は、変更した請求書を添付した新しい詐称メールを犠牲者であるクライアントに送 信し、即時の支払いを要求します。
  • 犠牲者はすでに請求書を受け取っていますが、電子メールが偽装されたことや銀行口座 が変更されたことに気付かずに支払います。

この詐欺を説明するために以下に示すのは、キャラクターやその他の細部が架空のものであるこ とを除いて、調査した実際のケースに基づいています。

注意: 他の類似の詐欺から、以下のようなフィッシングメールによってクレデンシャル情報が取得 されたことはわかりましたが、最初のメールボックスがどのように侵害されたかについての詳細は わかりませんでした。

Office365msg

このリンクをクリックすると、偽のマイクロソフトのクレデンシャル取得ページが表示されます。

MSLogin

クレデンシャル情報を取得するもう 1 つの方法は、Java ベースのリモートアクセスツール(RAT)な ど、攻撃者によって同様にスパムアウトされたキーロギングマルウェアによるものです。

詐欺師はいくつかのクレデンシャル情報を取得すると、メールボックスにログインし、メール転送を 設定し、メッセージの監視を開始します。この例では、Acme Corp 購買部マネージャー Susan と、 Widgets-R-Us セールスマネージャー John との最初の本物の電子メールがあり、請求書を要求し ています。

From: Susan Jones <s.jones@acme.com>
To: John Smith <j.smith@widgetsrus.com>
Subject: Re: Request copy of invoice
Date: 28 August 2018 6:47:50

Dear John

We request copy of invoices for us to process payment.

Susan Jones
Manager, Procurement
Acme Corp

電子メールトラフィックを監視している詐欺師は、この要求に気がつき、30 分以内に John に偽装 した電子メールで割り込んで、緊急性のある請求書を要求します。攻撃者がここで取ることができ る 2 つのアプローチがあります。彼らは元の要求を削除し、それを自分で置き換えることも、新し い要求で元の要求にすばやく従うこともできます。この詐称されたメッセージは、詐欺師が使用し ている異なる無料のウェブメールプラットフォームから送られます。異なる Reply-To:アドレスに注 目してください。

From: Susan Jones <s.jones@acme.com>
Reply-To: Susan Jones <s.jones_acme.com@emailadmin.com>
To: John Smith <j.smith@widgetsrus.com>
Subject: Re: Request copy of invoice
Date: 28 August 2018 7:10:30

Dear John

Please attach copy of invoice and send asap.

Susan Jones
Manager, Procurement
Acme Corp

 

John はこの請求書の要求を受け取り、それに応答し、異なる Reply-To:アドレスに気付かずに、 返信を直接攻撃者に送ってしまいます。以下は John から攻撃者への電子メールであり、実際の 請求書が添付されています。

From: John Smith <j.smith@widgetsrus.com>
To: Susan Jones <s.jones_acme.com@emailadmin.com>
Subject: Re: Request copy of invoice
Date: 28 August 2018 7:46:15

Dear Susan

Please see attached invoice as requested.

John Smith
Sales Manager
Widgets-R-Us

 

送られた請求書は、正しい送金先情報の詳細を含む PDF で、このようなものです。

Remit1

詐欺師は PDF を受け取って、同じレイアウト、画像、請求書の詳細でほぼ正確に再作成します。 唯一の違いは送金指示です。送金指示は次のようになります。

Remit2

その後、攻撃者は別のなりすましメールを作成し、偽の請求書を添付して Susan に送信します。攻 撃者が登録したドメインのスペルが間違っている(「r」が見つからない)異なる Reply-To:アドレスに 注目してください。Susan が追加の質問をしたとしても、それらの回答は直接攻撃者に送られま す。

From: John Smith <j.smith@widgetsrus.com>
To: Susan Jones <s.jones@acme.com>
Reply-To: John Smith <j.smith@widgetsus.com>
Subject: Re: Request copy of invoice
Date: 29 August 2018 10:15:25

Dear Susan

Please see attached invoice as requested.

John Smith
Sales Manager
Widgets-R-Us

 

Susan は請求書を受け取り、完全に期待通りに支払いを手配します - エストニアの銀行への送金 という普通ではないことに気付かないで。

ほら、$50K が行ってしまいました。お金を盗む最も簡単な方法は、それを依頼することです。だか らこそ、この詐欺師たちはこの特別なバンドワゴンに飛び乗ったのです。あらゆる段階で現実感が 強く感じられます。より詳細にこだわる人にしか、普通と違うことに気がつきません。

約 2 週間たって、John は Susan になぜインボイスが支払われなかったのかを質問しましたが、そ の時詐欺師は BMW の新しいモデルの購入を考えています。この物語の教訓は、詐欺師に車を買 わせないことです!

Diagram

緩和 - プロセス

  • 財務担当者にこの種の請求書詐欺について知らせてください。
  • 請求書と送金の詳細を精査してください。それらは、そのサプライヤーとの以前の取引と一 致しますか? 銀行の詳細は論理的に見えますか?
  • 間髪を入れずに送られてくる複数の請求書の依頼を疑ってください。相手に電話して確認 してください。
  • 送信ボタンを押す前に慎重にインボイス関連の電子メールを調べてください。その電子メー ルはどこに送られますか?

緩和 - 電子メールセキュリティ

  • Office 365 アカウントに多段階認証を導入することを検討してください。
  • Web ベースの電子メールアカウントにアクセスできる IP 範囲を制限してください。アクセス するには VPN 接続が必要となります。
  • 電子メールの自動転送ルールのアカウントを監視してください。
  • 信頼できるサプライヤとは、電子メール認証を使用してください。また、関連する標準であ る、SPF、DMARC、DKIM を使用してください。電子メールの仕掛はさまざまなので、これら ですべての状況に対応できるわけではありませんが、いくつかのケースで役立ちます。
  • ゲートウェイでこれらの詐欺的なメッセージを識別してフラグを立てることは、少量でかつ正 当な電子メールに似せているため、難しい場合があります。Trustwave SEG などの電子メ ールゲートウェイは、スプーフィング、From:と Reply-To:の不一致、ドメインのスペルミス、 およびこれらの詐欺に共通するその他の特性のさまざまな組み合わせを探すことができま す。