窃取法国银行抢劫案

抢劫银行已不再是过去。 在墙壁上切孔，解除安全摄像机的武装，打开保险箱……那是1990年代。 现代强盗需要网络技能。 远程访问木马（RAT）比银行办公室的黑痣更有效。 当您可以无线转账时，为什么要破解保险箱呢？ 一群法国的银行和跨国公司受到这种高科技抢劫的打击，而赛门铁克已经记录了整个事件。

一切始于一条简单的电子邮件，指示副总裁的行政助理处理特定发票。 鉴于发票是在公司外部的文件共享站点上托管的，因此管理员可能会犹豫。 然而，几分钟后，该助手据称从另一个副总裁接到电话，敦促她加快发票的处理。 她被欺诈性电话弄糊涂了，打开了电话，从而在公司网络内释放了RAT。 鱼叉式网络钓鱼电子邮件和欺诈性电话的激进组合引起了赛门铁克研究人员的兴趣； 他们进行了更深入的挖掘，发现对其他法国公司的攻击越来越严重。

防御失败

在今天发布的博客文章中，赛门铁克揭示了攻击者如何挫败一家公司针对未经授权的汇款而采取的所有保护措施。 它的确读得像抢劫电影的脚本。

对于初学者来说，他们使用上述双重管控的社会工程学攻击将RAT加载到管理员助手的PC上。 RAT收集了公司信息，包括公司的灾难计划及其电信提供商的详细信息。 骗子利用窃取的信息调用了灾难计划，声称发生了自然灾害。 这使他们可以将组织中的所有电话重定向到他们控制下的一组新电话。

接下来，他们将请求传真至公司的银行，要求将大量大笔资金转入离岸账户。 自然，银行代表打电话确认。 骗子拦截了电话并批准了交易。 这些钱一出现在这些离岸账户中，他们就把钱抽了出去。 恶作剧管理！

赛门铁克还发现了许多其他案例，其中许多案例的复杂性要低得多。 例如，一个攻击者简单地打电话给受害者，并说定期维护要求暂时禁用两因素身份验证以进行资金转移。 另一位通知受害人，计算机升级需要“测试”资金转移； “测试”实际上将实际资金连接到离岸帐户。 显然，易变的人是许多安全系统的弱点。

谁知道的？

赛门铁克团队知道这种骗局正在发生，因此设法在过程中发挥了领导作用，他们将这种绰号称为“ Francophoned”。 他们设法跟踪了通过乌克兰到源自以色列的IP地址的命令和控制流量。

在分析使用的IP地址时，他们发现了两个奇怪的地方。 首先，地址来自专门分配给MiFi卡的块-GSM蜂窝无线电，可用于通过蜂窝网络提供Internet访问。 其次，它们在不断变化，这意味着坏人正在四处行驶，经过不同的手机发射塔。 电信无法对移动的目标进行三角测量，而且MiFi连接显然是匿名的并且是预付费的，因此没有办法抓住骗子。

我等不及要看电影了！