Un mio amico gestisce una piccola azienda che recentemente è stata presa di mira da un " impersonificazione esecutiva "attacco di spearphishing per trasferimento di filo . L'hacker registrò un dominio che era leggermente diverso da quello della società target che era visivamente simile e falsificò una e-mail convincente al reparto finanziario della società richiedendo un bonifico bancario su un conto bancario fornito. Il nome di dominio è registrato tramite Google, le informazioni whois sono rese anonime tramite un proxy e l'e-mail è stata inviata utilizzando l'interfaccia web di Gmail di Google Apps.
Fortunatamente, le politiche di sicurezza della compagnia erano abbastanza solide da catturare la frode prima che i fondi fossero trasferiti. Uno dei dettagli di questo incidente che sembra strano in base a quello che ho letto su attacchi simili è che il conto bancario era basato negli Stati Uniti ed è associato a un indirizzo interno vicino alla banca.
Le autorità competenti sono state informate, tra cui la banca, Google, il servizio proxy whois, la polizia locale per la società target, la polizia locale per la banca, l'FBI e il DHS. La polizia locale della banca sembrava leggermente interessata e in effetti visitava l'indirizzo associato all'account, ma non c'era nessuno. Tra le altre autorità, devono ancora rispondere o non sono interessati ad aiutare, dal momento che nessun denaro reale è stato trasferito / perso. L'importo in dollari era anche relativamente piccolo per frodi come questo (basso cinque cifre).
Al momento di questa pubblicazione, gli attaccanti sono ancora legati e credono che il bonifico avverrà.
Ho due domande:
- È tipico che questi attacchi vengano associati ai conti bancari statunitensi nazionali? Ciò implica che l'attaccante sia anche domestico?
- Dato che gli aggressori sono ancora attivamente coinvolti e presumendo che le autorità non siano disposte a indagare, c'è qualcosa che può essere fatto per rivelare ulteriori informazioni sugli aggressori? Mi rendo conto che la truffa in stile 419 probabilmente non funzionerà per una situazione come questa, e il vigilantismo è sconsigliabile, specialmente se gli aggressori sono domestici. Ma forse c'è qualcosa di relativamente passivo che potrebbe essere fatto per aiutare a catturare gli attaccanti?
Aggiornamento: Una delle agenzie federali ha infine espresso un certo interesse e ha iniziato a guidare la comunicazione in corso con gli aggressori.