天道有轮回!网络诈骗之国尼日利亚政府网站被挂钓鱼网站

释放双眼,带上耳机,听听看~!

今天愚人节,然而。

上面这个是我无误了。

那么今天为了应景,就来聊聊和骗人相关的:

尼日利亚骗局

作为了一个商务电邮欺诈攻击(BEC)盛行之国:尼日利亚,号称拥有全球规模最大的鱼叉攻击类黑客组织,甚至时至如今,提到尼日利亚,邮件黑客仿佛已经成为了当地的特产,对于如此著名的行为,当然是有一段历史底蕴在里面的。

在早期,尼日利亚黑客们还没有先进到使用恶意软件进行攻击的时候,他们的技术手段便是开篇一张嘴,纯靠吹。能社工解决的

当年的套路主要以尼日利亚贵族或富豪的身份,声称有一笔巨额财产需要通过第三方转移,希望借用收件人银行账户一用,承诺事成后一笔数额不小的馈赠,然后借机以各种理由收取手续费或者其他费用,得手后自然消失得无影无踪。

这个骗局发轫于尼日利亚,或者以尼日利亚为幌子其实有一定历史原因。尼日利亚拥有丰富的石油和矿产资源,原油产量更位居非洲第二,这意味着不差钱啊,看看沙特阿拉伯那些王室成员就可见一斑。

▲一个冒充尼日利亚王子行骗的男人被逮捕


这让那些短信的富豪王室求助信息了不少真实性,在八九十年代,骗子就开始以满载尼日利亚原油的油轮想廉价出售货物为名,向欧洲的商人索取预付款。

「尼日利亚骗局」之所以 80 年代开始流行,很大一部分原因是上世纪 80 年代中期石油价格大跌让尼日利亚国内经济衰退,通货膨胀严重,一些原本从事石油外贸生意的商人损失惨重,渐渐动起了歪念。

这些受过高等教育,英语流利的商人利用原有的资源对欧美国家的中小企业进行诈骗,屡试不爽,在 1985 到 1999 年期间就从美国骗走了 50 亿美元,相当于今天 1000 亿美元,一度成为尼日利亚的「第三大产业」

美国是「尼日利亚诈骗」最大的受害国,美国税收署还专门为反「尼日利亚诈骗」设立了一个网站,2003 年初,白宫甚至向尼日利亚政府发出最后通牒,称如果尼日利亚政府不采取有效措施,美国将对其实施经济制裁。

而最经典的手法如下:

最初他们会声称身上的美金已用尽,但还有一批经特别处理美金。由于这些美金是非法从尼日利亚转移,所以被涂上特制的黑油

以避过海关的检查。

他们手上通常都会有一张至数张经特别处理过的美金作示范,并在受害者面前用特别药水清洗美金,以证明自己所言不假。

之后,他们会看受害者要求,指若受害者愿意替他作兑换,他愿意以一个较低的汇率来兑换这一批“美金”。

基于贪小便宜的心态下,有不少人都会跌入圈套,而用当地的现钞换来一大叠不能还原的废纸。有不少受害者更需要额外向骗徒付款购买该种特制的“清洁药水”。

说到这,为什么称尼日利亚骗局为419骗局呢

因为他们的刑法第419条就是专门因此而指定的

419.          

任何人以任何虚假伪装,并意图诈骗,从任何其他人获得任何可能被盗的东西,或诱使任何其他人向任何人交付任何可能被盗的东西,均属重罪,并且可判处三年监禁。

如果该物品的价值为一千奈拉或以上,他将被判处七年监禁。

获得物品或通过虚假借口诱导的契约媒介诱导其传递是无关紧要的。

除非发现犯罪,否则不能在没有逮捕证的情况下逮捕罪犯。

但这并没有制止尼日利亚骗子们的行动,反而促进他们开始学习网络安全技术。

这是尼日利亚黑客在使用网络钓鱼的套路:

目标情报收集->社交欺诈+Email钓鱼->木马控制->获取账号

现在所谓的“商贸信” 活动大抵指的是尼日利亚黑客所常用的这类攻击手法。

再参照著名尼日利亚黑客组织SWEED的攻击手法

(来自微步的分析

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=536)

一次攻击中,该组织投放一份名为

“SETTLEMENT OFOUTSTANDING.xlsx”的EXCEL文档,内容显示为上海耘州实业有限公司向新加坡EAST ERA FLUID公司发送的形式发票,如下图所示。

根据上述攻击,拓展分析了黑客的攻击手法,具体如下:

1、  购买了“铂金版”AgentTesla木马(有效期1年),并频繁在官方交流频道讨论使用心得。

2、  利用AgentTesla生成器制作木马,并用KazyCypter工具进行加密。

3、  通过HOSTLAND虚拟主机部署木马样本。

4、  收集目标用户信息。

5、  对收集到的邮箱批量发送钓鱼邮件。

6、  利用AgentTesla木马获取受害者用户账号密码。

7、  通过Skype与其他同伙共享信息。

8、  伪造目标用户域名。

9、  长期监控目标邮件内容,并适时利用伪造邮箱向发送正常邮件以取得信任。

10、 准备用于收款的银行账号

11、  在双方交易过程中发起欺诈攻击,诱导目标将项目款项转至其他账号

大抵回顾历史到此结束,下面扯回标题的后半段,主要被挂钓鱼网站的事件如下:

两个多星期以来,尼日利亚国民议会  (NASS)网站一直在提供一个欺诈性页面,要求提供DHL帐户凭证。很可能是通过垃圾邮件指向这个位置并实行钓鱼。

https://nass.gov.ng/fonts/wp/D2017HL/u.php

网络钓鱼资源是“u.php”,它存在于多个合法网站上,这些网站已被黑客攻击以及它们已经专门为DHL网络钓鱼目的注册的域名。

以下是我们在尼日利亚官方网站上发现托管相同DHL网络钓鱼页面的网站的简短列表。最后两个看起来像是包含恶意工具包的合法网站。

onlinequranglobal [.] com 
pioneer-sys [.] net 
beesnaturals [.] com 
davidveyossef.com 
lafabricacasarural.com

实际上,尼日利亚的这个政府网站已经被挂好久了。

DHL,是全球著名的邮递和物流集团 Deutsche Post DHL旗下公司。

黑客们喜欢用这套DHL的模板钓鱼已经到了极致,以至于根据模板里面的图片就能搜到一大堆钓鱼网站,本次挂在政府网站的也是这一套模板

页面上显示的唯一字段用于输入DHL帐户的登录数据,这些数据将被发送给欺诈者,同时弹出错误消息,通知密码可能不正确。

无论提交多少次凭据,都会产生相同的结果。一旦他们得到它们,网络犯罪分子可以在地下论坛上以低至10美元的价格出售它们。

最后再给大家来一段故事。

那些被骗的受害者,很多跟骗子也不只是骗与被骗的关系,在与骗子交流的过程中,不少人对骗子付出了真情实感,甚至有人得知被骗后才发现自己已经爱上那个骗自己的那个男人。

是骗子太高明还是受骗者太傻,下面的真实故事或许能给你不一样的答案。

「我要去见那个骗我的男人」

虽然从来没有见过面,62 岁瑞典人 Maria Grette 发现自己爱上了一位 58 岁瑞典男人 Johnny。

Johnny 会用显示为英国的号码给 Grette 打电话,尽管 Johnny 的口音不太像瑞典人,但 Grette 依然情不自禁迷恋上这个男人,「他给我的甜蜜我从未在任何一个男人上感受过」。

经过三个月的线上交流,Johnny 表示要来瑞典来探望 Grette ,但他需要先陪儿子到尼日利亚面试一份工作。

过了几天 Johnny 打电话告诉 Grette 他们已经到了尼日利亚,但是遭遇了抢劫,儿子头部中弹,身上的钱和证明都被抢光了,需要 1000 欧元才能进行手术,希望 Grette 先把钱打到他的账户。

Grette 因为担心立马把钱汇了过去,很快 Johnny 又来电还需要更多的医疗费用。陆续汇过去几千欧元后, Grette 察觉到有些不对劲,不再回复 Johnny 的消息。

然而在三周后事情发生了转折, Johnny 主动打电话给 Grette ,承认自己其实是一名 24 岁的「尼日利亚骗徒」,2 年前从大学毕业但一直没有工作,就连 Johnny 这个名字也是假的 。

Grette 非但没有生气,还被 Johnny 的坦诚所感动。

最可怕的不是他欺骗了我,而是他失去了自己的清白。

Johnny 承认自己也爱上了 Grette,两人决定见一次面。因为 Johnny 无法获得瑞典签证,于是 Grette 决定前往尼日利亚,Grette 称与 Johnny 在尼日利亚度过了两周的幸福时光。

▲ Grette 与 Johnny .

后来 Grette 还继续给 Johnny 提供经济援助,Johnny 也不再行骗,还通过进修在美国石油部门找到了一份工作。

往期回顾:


知识星球最近技术调整,也不知道什么时候回归,与其听信谣言,不如相信星球。

感谢您的观看,点赞,和转发,谢谢你们,祝你们4月更精彩!

本文源自微信公众号:黑鸟

人已赞赏
安全工具

中华人民共和国网络安全法

2019-10-16 10:46:08

安全工具

俄罗斯再度企图利用网络攻击干扰乌克兰选举,另附俄国历年干扰选举案例汇总

2019-10-16 10:46:27

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索