近日SecureWorks公司发现一种不同类型的尼日利亚欺诈活动，可能使企业每年损失数百万美元。

根据SecureWorks公司最新报告显示，一个尼日利亚黑客组织一直在针对海运行业进行商业电子邮件欺诈活动，其中涉及欺诈性发票和财务文件。SecureWorks公司将该组织称为Gold Galleon，该组织结合使用恶意软件和社会工程技术来访问企业电子邮件账户，并试图通过虚假支付请求窃取近400万美元。

SecureWorks公司反威胁部门（CTU）安全研究人员James Bettke表示，最初研究团队弄不明白为什么该黑客组织针对海运行业，但在他们深入研究后，开始解开这个谜题。

Bettke称：“任何开展国际业务的企业都可能受到电子邮件欺诈攻击，因为他们的业务其涉及不同时区、语言障碍和网站域名，所有这些都有利于网络钓鱼攻击活动，而这些问题在航运业非常常见。”

另外，SecureWorks公司在追踪Gold Galleon黑客组织时观察到多家航运企业都没有受到很好保护。这使得攻击者可通过便宜的现成的恶意软件（例如远程访问木马和键盘记录器）便可成功感染员工。在攻击者获取凭证并可访问电子邮件账户后，他们就可以设置重定向规则，拦截发票和付款请求，并更改银行和目标账户。

SecureWorks称该黑客组织在2017年试图窃取至少390万美元。该供应商表示可避免约80万美元潜在欺诈支付和汇款，但很难确定剩余的310万美元是否被该组织成功窃取，因为SecureWorks无法访问受害者的财务记录。

SecureWorks公司反威胁部门研究人员在追踪另一个专门从事商业电子邮件欺诈的尼日利亚黑客组织时，意外发现了Gold Galleon黑客组织。Bettke称其研究团队发现该组织是因为他们观察到Gold Galleon黑客通过廉价恶意软件感染了其系统以进行测试。

Bettke称，Gold Galleon使用的技术并不复杂，但该组织建立的商业邮件欺诈活动却非常有效。他表示：“他们与其他电子邮件欺诈阻止没有任何不同，他们对其工具投入很少资金，他们对这些技术并没有深入了解，只是他们知道收益巨大。”

Gold Galleon和其他企业电子邮件欺诈组织之间的主要区别是，Gold Galleon专门针对特定垂直行业进行特定攻击。

Bettke称：“他们非常擅长社会工程。除了电子邮件欺诈，他们不会做任何其他事情，并且，在他们成功放置恶意软件后也不会尝试访问企业网络，他们只是研究受害者的收件箱以及研究业务，然后利用该电子邮件账户。”

在某些情况下，Gold Galleon黑客并没有获得邮件账户访问权限，但他们仍然可通过使用克隆邮件域名获得成功，这些域名看起来像合法企业邮件域名。SecureWorks报告详细介绍了韩国航运公司如何沦为他们的受害者。

抵御商业电子邮件欺诈活动

Bettke称，Gold Galleon能够在一段时间内不被发现是因为，这些攻击者没有发送数百封包含假发票和付款单的垃圾邮件。他们保持着数量较低的欺诈邮件，使垃圾邮件过滤器和邮件安全产品难以发现他们。

SecureWorks建议采取几个步骤来抵御这种有针对性电子邮件欺诈活动，首先需要为企业和个人电子邮件账户部署双因素身份验证。该报告还鼓励安全团队和网络管理员检查企业邮件系统中任何可疑转发或重定向规则。

企业还应该在邮件安全产品中创建规则，以标记可疑扩展名–看起来像企业电子邮件地址。SecureWorks还建议使用Pdfxpose免费工具，该工具由该公司反威胁部门研究人员开发，它可搜索FDF文档中表明可疑编辑活动的小型不透明矩形。

此外，证书供应商GlobalSign公司数字签名服务产品经理Nadim Farah称，欺诈和数据操纵威胁（例如邮件欺诈活动）可能会增加企业对SSL证书签名的兴趣。该供应商最近加入了Adobe公司的云端签名合作伙伴计划，该计划每年处理Adobe的60亿分文档签名。

他表示：“当企业推出电子文档工作流程时，他们必须有办法验证文件，以防止这种类型的攻击。”

文档签名可能会有所帮助，但很多中小型企业几乎不可能部署双重身份验证。尽管SecureWorks公司阻止了Gold Galleon的部分欺诈活动，但该组织目前仍然活跃。

Bettke称：“我担心更厉害的黑客组织开展这种欺诈活动，Galleon这样的组织不懂编程，他们也不是很熟练。试想一下，如果欧洲的高级持续威胁组织参与这种欺诈活动会发生什么？”