經驗豐富的詐騙犯在仔細地處理了一份電子郵件妥協案后，從一家美國公司手中奪走了1500萬美元，這項妥協花了大約兩個月才完成。

這名網絡犯罪分子在獲得有關一項商業交易的電子郵件對話后，以外科手術般的精準執行了他們的計劃。他們把自己插進了交易所，轉移了付款，并能將盜竊行為隱藏得足夠長時間，以便拿到錢。

盡管研究人員調查了一個受害者的事件，但他們發現了一些線索，表明建筑、零售、金融和法律部門的數十家企業都在他們的目標名單上。

[[344917]]

電子郵件第一階段

在演員確定了目標后，他們花了大約兩個星期的時間嘗試訪問電子郵件帳戶。一到，他們又花了一周時間從受害者的郵箱里收集信息，并確定了一個機會。

負責調查這起事件的migrate公司的首席工程官arielparnes告訴BleepingComputer，他們的研究人員沒有在受害者系統上發現惡意軟件，這表明電子郵件登錄存在漏洞。

不過，帕恩斯告訴我們，電子郵件訪問是不夠的。由于參與者隨時可能丟失這些信息，他們創建了電子郵件轉發規則，以從受監視的電子郵件收件箱中獲取消息。

通過使用microsoftoffice365電子郵件服務冒充交易雙方，網絡犯罪分子將能夠繼續攻擊。

Miligate說，威脅參與者使用Office 365帳戶發送電子郵件，以減少懷疑和逃避檢測。他們還通過GoDaddy注冊商(Wild West域名)注冊域名，這些域名與合法企業使用的域名相似(其中很多是在美國)。

這些細節讓Midget建立了一個模式，并發現了150多個這些流氓域名，揭示了網絡犯罪集團的更大活動。

在四周的時間里，攻擊者利用從高級管理人員的收件箱中收集到的信息，小心地推進了他們的計劃。他們在適當的時候利用假域名接管了對話，為資金轉移提供了修改過的細節。

第二階段-保護戰利品

不過，這并不是結束。當資金流向錯誤的賬戶時，銀行可以鎖定交易，并及時標記錯誤。威脅參與者很清楚這一細節，并為這一階段做好了準備。

為了隱藏盜竊行為，直到他們把錢轉移到外國銀行并使其永遠丟失，攻擊者使用收件箱過濾規則將郵件從特定的電子郵件地址移動到一個隱藏的文件夾中。

這一舉動讓合法收件箱擁有者不知道有關匯款的溝通。米蒂亞說，這場戲持續了大約兩周，足以讓這名演員的1500萬美元消失。

Midge在這起事件中的作用是調查受害者公司意識到他們的錢輸給了網絡罪犯之后發生了什么。研究人員正在幫助聯邦調查局和美國特勤局追蹤襲擊者。

通過遵循一組簡單的建議，組織可以加強對此類攻擊的防御，其中包括在Office 365中啟用雙因素身份驗證和防止電子郵件轉發到外部地址。

此外，Midge建議：

• 強制Office 365密碼更新
• 考慮阻止電子郵件自動轉發，讓網絡罪犯更難竊取你的信息
• 搜索收件箱中的隱藏文件夾
• 阻止可用于規避多因素身份驗證的舊電子郵件協議，如POP、IMAP和SMTP1
• 確保對郵箱登錄和設置的更改被記錄并保留90天
• 啟用對可疑活動(如外部登錄)的警報，并分析服務器日志中是否存在異常電子郵件訪問
• 考慮訂閱域管理服務
• 提高對電匯交易的認識和審查控制(除了電子郵件，還包括電話驗證，以及驗證簽名和帳戶)