ハッカーの一団が侵入した電子メールアカウントを利用して新興企業のベンチャーキャピタルからの100万ドルを盗んだ。
セキュリティ企業チェック・ポイントの事件対応チームは、中国のベンチャーキャピタル企業がイスラエルのスタートアップ企業に送金されたとされる資金が紛失したと報告した事件を調査するために呼び出されたと述べた。
この攻撃は、侵入された電子メール アカウントが攻撃者の管理するアカウントに支払いを再ルーティングするために使用されたためだと考えられており、これは非常に単純なビジネス メール詐欺 (BEC) 操作です。
しかし、結局のところ、攻撃はもう少し複雑なものでした。
「どうやら、金銭のやり取りが行われる数か月前に、攻撃者は数百万ドル規模の資金提供を告知する電子メールのスレッドに気づき、何か行動を起こそうと決めたようだ」とチェック・ポイントのアナリスト、マタン・ベン・デイビッド氏は説明した。
「通常の BEC のケースで見られるように、自動転送ルールを作成して電子メールを監視するだけでなく、この攻撃者は 2 つの新しい類似ドメインを登録することにしました。」
攻撃者は、これらの類似ドメイン(VC企業とスタートアップ企業それぞれに1つずつ)を利用し、それぞれに相手を装ったメールを送信しました。そして、それぞれの偽装メールアカウントを保有し、必要に応じてメッセージをスタートアップ企業とVC企業の実際のメールアカウントに転送しました。
「このインフラにより、攻撃者は究極の中間者(MITM)攻撃を実行する能力を得ました。双方が送信したすべてのメールは実際には攻撃者に送信され、攻撃者はメールを確認し、内容の編集が必要かどうかを判断し、関連する類似ドメインから元の宛先にメールを転送しました」とベン・デイビッド氏は述べた。
この攻撃の全過程を通じて、攻撃者は中国側に18通、イスラエル側に14通のメールを送信しました。攻撃者の忍耐力、細部への注意、そして綿密な偵察により、この攻撃は成功しました。
ある時点では、攻撃者は両者の予定されていた対面会談をキャンセルすることさえできたことが判明した。
メール詐欺師がアメリカの役員らから毎月3億ドル以上を搾取
続きを読む
最終的に、両社が100万ドルの投資で合意した後、攻撃者はVC側に自身の口座番号を提供し、その後メッセージを改ざんしてイスラエル企業に送り返しました。これにより、VCは攻撃者に資金を送金し、スタートアップ企業にも資金が送金されると信じ込ませました。
「このような強盗の後、すべての通信回線を遮断する代わりに、脅威の犯人は努力をやめず、VC投資の次のラウンドを狙おうとするという大胆な行動に出ました」とベン・デイビッド氏は思った。
「それだけでは不十分だったかのように、攻撃が修復された後も、イスラエルのCFOは、なりすましのCEOアカウントから、電信送金を実行するように要求するメールを毎月1通受け取り続けています。」
これは、VC が偽の事業に 7 桁の金額を渡すときに得るサポートよりも良いサポートだと言わざるを得ません。®
