EN

8 分钟 2020年3月4日

2019冠状病毒病:网络犯罪分子利用全球恐慌从中获益

作者 郑宝玉 Kareena Teh

合伙人

直线︰+852 2629 3207 | 手机︰+852 9661 5325 | kareena.teh@eylaw.com.hk

8 分钟 2020年3月4日
Related topics 最新视野

随着2019冠状病毒病的持续扩散,网络犯罪分子通过使用各种策略,利用大众对于病毒感染广泛的恐慌以及对新闻和/或防护性商品的需求,从中获益。

络诈骗盛行,而且只会随着因越来越多的业务通过网络开展而增加。每年因此而造成的损失达数十亿美元。作为国际金融和银行中心,以及世界上最开放和自由的经济体之一,大量的资金,包括诈骗资金,每天都流经香港。仅2018年,网上商业诈骗案有2717宗,其损失达5600万港元(约720万美元);以及894宗电邮诈骗案,其中887宗为公司诈骗案,损失达11.7亿港元(约1.503亿美元)。大部分公司诈骗案通过香港银行账户向诈骗者汇款,但所涉及的受害组织与香港没有任何联系1。每一诈骗案可能损失高达百万美元。据报道,在过去的两年里,一个南美组织与一个美国组织分别受骗,将1800万美元2和300万美元3分别汇款到位于香港的银行账户中。

电子邮件诈骗者通常使用网络犯罪(例如黑客攻击、「网络钓鱼」和/或使用恶意软件)或通过数据泄漏(例如来自线上资源和/或不安全的网际网络无线连接系统连接)获得的信息来攻击目标组织。他们通常在紧急情况下,冒充目标组织的高管、客户或商业伙伴,要求汇款。两种常见的诈骗类型是高管诈骗和委托诈骗。在这两种情况下,目标组织会计部门的工作人员会收到来自冒充的电子邮件地址的邮件(即那些被更改为看似是由实际发件人以外的人发送的电子邮件),要求付款。前者包括假冒各组织的高级管理人员,以正在进行的商业交易或保密的新交易为由要求汇款,后者包括假冒客户或商业合作伙伴,以向新的银行帐户支付产品或服务的费用为由要求汇款。

2019冠状病毒病网络诈骗的策略

随着对2019冠状病毒病 (“冠状病毒病”)持续扩散的担忧,网络犯罪分子已采取各种策略,利用大众对冠状病毒爆发新闻广泛的恐慌,将其作为「网络钓鱼」诈骗的手段,以直接或使用植入的恶意软件的方式来获取信息。我们下面列出了网络犯罪分子所采用的一些策略。

虚假域名

一些「网络钓鱼」活动加入虚假域名,使其看起来像世界卫生组织的域名。例如,网络犯罪分子会发送含有与美国疾病控制中心(“美国疾病控制中心”)所用域名类似的「钓鱼」邮件。虽然实际的疾病控制中心域名是“cdc.gov”,但攻击者把“cdc-gov.org”域名加入到他们的「钓鱼」电子邮件中。这些以美国疾病控制中心为主题的「网络钓鱼」邮件鼓励收件人点击包含其所在社区新冠状病毒病例详情的链接。该链接看似引导收件人到访美国疾病控制中心网站,实际上是将受害者重新引导到一个虚假网站。该网站看起来像一个电子邮件账户登录页面,要求目标用户输入他们的用户名和密码。4

一所軟體技術公司也发布了一份报告,称与冠状病毒相关的注册域名数量急剧增加。此类网站的一个例子是“vaccinecovid-19.com”。该网站首次创建于2020年2月11日,于俄罗斯注册。该网站并无保障,并声称提供出售“最好和最快的检测冠状病毒的方法,价格是19,000俄罗斯卢布(约300美元)。”5

「网络钓鱼」电子邮件

其他一些网络犯罪分子经常发送「网络钓鱼」邮件,利用受害人对冠状病毒所造成影响的担忧,诱使受害者打开随附的文件,安装AZORult恶意软件生成器。该文件有助确保文件拥有者的匿名性,并使指挥控制服务器的拦截变得困难。「钓鱼」邮件中包含的Emotet也被用于在被感染的终结点上安装恶意代码,并使其能从受害者的电脑上获取联系信息。此外,一些攻击者越来越多租用Emotet木馬程式来安装其他恶意软件,包括Trickbot和恶意软件生成器软件。一旦恶意软件被下载,Emotet就会利用受感染的系统发送额外的「钓鱼」邮件和垃圾邮件,以壮大僵尸网络。

在2020年1月下旬,IBM X-Force的研究人员发现了第一系列针对日本部分地区的「钓鱼」邮件欺诈,通过使用包含冠状病毒病的恶意信息来传播Emotet木马和其他恶意软件6。每封「钓鱼」邮件都包含一个附件,其被描述为提供最新的健康信息。在许多案例中,分析人员发现网络犯罪分子试图将大量木马安装到受害者的设备上。如果文件附件被打开并启用了Office 365,一个模糊的编辑脚本将在后台开始运行,然后安装一个Powershell脚本并下载Emotet木马。7 在一封电子邮件中,攻击者声称在大阪检测到冠状病毒,而另一封电子邮件则提到了日本岐阜地区。攻击者似乎使用专门定制的警告和语言来恐吓这些地区的居民,使他们更有可能点击附件。这些电子邮件还以页脚结尾,其中提到合法的邮政地址,传真以及电话号码。8

在另一场犯罪活动中,网络犯罪分子发送像是来自世界卫生组织(“世界卫生组织”)的「钓鱼」电子邮件。这些电子邮件敦促受害者点击一个按钮下载一份“关于冠状病毒传播安全措施的文件”。通过点击电子邮件中的链接,受害者被引导到一个看起来与世界卫生组织网站相似的网页,但包含一个弹出屏幕,要求用户提交与其电子邮件地址相关的用户名和密码。如果有人输入他们的凭据,信息就会发送给攻击者。9

其他网络犯罪分子则采取了不同的策略,将重点放在冠状病毒病可能对全球航运产生的潜在影响上。在Proofpoint发现的「钓鱼」电子邮件中,邮件的主题为“冠状病毒-航运业简报”。电子邮件附带的文档包含恶意代码,其随后会试图安装AZORult恶意软件。10

对企业的影响和建议

虽然这些网络诈骗活动看起来并不是针对企业本身,但它们对企业仍然构成了巨大的风险,因为诈骗活动利用了大众对于冠状病毒病和/或获取防护产品(如口罩和洗手液)最新信息的恐慌。其中许多人可能是组织的雇员,有些人可能由于政府和/或公司推出的冠状病毒病遏制措施而远程工作。

我们建议企业保持警惕,并采取积极措施:

·         确保正确理解业务的网络安全风险和漏洞,包括上文所述冠状病毒病造成的风险和漏洞;

·         确保存在并执行合适的机制和程序,以处理这些风险和漏洞。理想情况下,这些机制和程序应该具有:

o    一个有效的报告机制,可确保及时报告并上报发现的新风险和/或附加风险和/或检测到的违规行为;

o    一个指定的事件响应计划和团队,相关人员充分了解他们的角色和责任。该计划应包括一项通信协议,以确保及时通知支付银行和接收银行,并要求其返还被骗资金,及时向有关当局报告并通知相关利益相关者。同样重要的是要有专家人员,如律师、法医调查人员和具有相关专业知识和经验的网络安全专家,随时准备响应,因为响应的速度往往决定了资金的回收和损失; 及

o    网络安全政策和程序,拥有先进的硬件和软件保护(如防病毒软件、电子垃圾邮件或「网络钓鱼」检测),并经常更新以确保其有效性。一些重要的政策和程序计划包括(一)指导工作人员保持警惕「钓鱼」邮件,定期运行诈骗测试,特别是电子邮件存在似乎可疑的情况;忽略点击可疑链接的请求,因为这些链接可能引导到不安全的网站或恶意软件;不使用公共和/或免费网际网络无线连接系统连接或热点,并报告和删除可疑的电子邮件;(二)分两步审批或核实付款,包括由机构的高级行政人员及已成立的业务伙伴审批,特别是在需要更改付款详情的情况下;和(三)银行账户经营的多层次、双因素认证;

·         确保存在有效的内部控制措施,包括对新业务伙伴(如供应商,供应商和客户)进行适当的“充分了解你的客户”或尽职调查,并核实付款指示。在建立新的业务伙伴账户时,获取付款的银行账户的详细信息是十分重要的,并确保收款人的详细信息是业务伙伴的详细信息。如果有错配,确保正确理解其原因并获得合规性许可。如果后续的付款指令与最初提供的付款细节不符,特别是在跨境交易中,请与业务合作伙伴核实,最好是拨打他们通常的办公室电话,或者联系其与提供更改后付款细节电子邮件无关的新电子邮件。请参阅上述付款的两步批准或验证和上述银行账户操作的多级或双因素验证;

·         确保员工接受适当的培训,理解并响应组织的政策和程序,并持续了解最新的网络安全风险和漏洞,包括那些与冠状病毒病等重大事件相关和/或受其驱动的风险和漏洞。考虑并在适当的情况下,对上述冠状病毒病的风险和漏洞发出警报,以便员工了解并警惕其所使用的策略;以及

在违规事件中,触发指定事件的响应计划,寻求独立的专业意见,包括(一)向律师咨询需要采取的紧急和即时步骤,以向当局报告违规情况,冻结、追查和追回被盗资金;(二)接触法医调查人员备份,成像和收集证据;和 (三)联系网络安全专家,以确定违规的原因和补救受损区域。

结语

随着2019冠状病毒病的持续扩散,网络犯罪分子通过使用各种策略,利用大众对于病毒感染广泛的恐慌以及对新闻和/或防护性商品的需求,从中获益。

关于本文

作者 郑宝玉 Kareena Teh

合伙人

直线︰+852 2629 3207 | 手机︰+852 9661 5325 | kareena.teh@eylaw.com.hk

Related topics 最新视野