网络犯罪新手段:黑客如何利用IT技术实施货物盗窃
攻击手法演变
过去,犯罪分子通过跟踪运输卡车并实施劫持来盗窃货物。如今,他们使用网络钓鱼、语音钓鱼和身份盗窃等手段,通过物流系统查找并转移高价值货物。
Proofpoint最近发现了一个新的攻击活动:网络犯罪分子使用鱼叉式网络钓鱼传播恶意软件,入侵货运公司的IT系统以窃取货物。该活动主要针对北美货运公司,自6月开始活跃,可能早在1月就已启动。
技术实施细节
远程访问工具滥用
攻击者使用了多种远程监控和管理工具,包括:
- ScreenConnect
- SimpleHelp
- PDQ Connect
- Fleetdeck
- N-able
- LogMeIn Resolve
这些工具经常协同使用。例如,PDQ Connect被观察到下载并安装ScreenConnect和SimpleHelp。一旦建立初始访问,威胁参与者就会进行系统和网络侦察,并部署凭据收集工具如WebBrowserPassView。
攻击流程
- 入侵经纪负载板:犯罪分子试图入侵在线货运市场
- 设置陷阱:发布虚假负载报价或插入承运人与货运公司之间的电子邮件对话
- 恶意附件:当承运人通过电子邮件回复时,犯罪分子回复包含感染附件的消息
- 恶意软件安装:导致远程访问恶意软件的安装
- 货物窃取:犯罪分子可以竞标真实货物负载并试图窃取
行业漏洞分析
运输管理系统风险
- 大量"临时性"运输管理系统容易受到黑客攻击
- 电子日志设备提供商安全性差,可能成为TMS系统的入口点
- 使用免费电子邮件账户的一两人货运公司风险最高
社会工程学利用
卡车运输是全天候运营,很大程度上是远程操作,端点可能并不总是具有确保信任的连接性和设施。行业的时效性增加了风险,这些因素为社交工程攻击提供了理想条件。
防护措施建议
Proofpoint建议货运行业公司:
- 限制下载和安装未经IT管理员批准确认的RMM工具
- 建立网络检测机制,使用Emerging Threats规则集和端点保护
- 不允许员工从外部发件人的电子邮件或短信下载可执行文件
- 培训员工识别可疑活动并向安全团队报告
基础安全实践
- 对登录实施多因素认证
- 确保对关键系统的访问受到监控
- 每3-6个月重置管理员和用户密码
- 建立完善的离职程序以取消IT访问权限
数据与影响
美国国家保险犯罪局估计,与2023年相比,去年所有来源的货物盗窃损失增加了27%,达到350亿美元。
Verisk CargoNet估计,最近季度因盗窃造成的损失超过1.11亿美元,涉及772起货物盗窃事件。其中约40%可能是IT驱动的欺诈。
平均被盗货物价值从2024年第三季度的168,448美元翻倍至336,787美元,表明货物窃贼在选择目标时变得更加战略化。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
