各位好
案發當事人不是我,是我老婆(以下代稱Angel)
她是從事原料出口貿易的國外業務,公司不大,工廠在大陸,絕大部分業務都由她負責
案發過程,簡單說大概是這樣...
兩邊用的都是Outlook
確切的日期,我沒有記得很清楚,先概略描述時間點
-------------------------------------
2015/7/20-7/24
客戶收到了一封,實際上根本不是Angel發出的匯款通知信 (當然,寄件人顯示的就是Angel的mail address)
信中表示由於公司帳戶因某些原因,暫時無法使用,請他將貨款匯到另一個印尼的臨時帳戶
Angel也收到一封,實際上根本不是客戶回覆的信 (當然,寄件人也是正確的客戶mail address)
信中表示款項已匯出,附件是水單
客戶付錢了,三萬多美金,因為是老客戶,Angel也沒有多疑,也以為他付錢了
-------------------------------------
2015/7/26-7/30
Angel到馬來西亞出差,由於遲未收到款,她發信詢問,整件事才因此被發現,Angel跟她老闆,回頭查閱那封"假客戶回信",水單上確實動過手腳,字體不太一樣,兩邊都各自開始請IT人員初步調查
客戶的說法,他們防火牆在過去這段時間,並未有任何被入侵的跡象,他直指是Angel這邊內部的"問題"
Angel公司說法,兩封假信件的IP都顯示在美國,也一樣看不出防火牆有任何異樣
--------------------------------------
目前進度,以上
1.我自己第一時間有懷疑,有無可能客戶自己玩雙面,但假設兩封信IP真的都在美國,是否就排除這可能?
2.照理說,駭客收到錢就能閃人,不需要再偽裝客戶發信給Angel,但我猜測,可能就是為了讓她安心,不要第一時間有機會通知客戶,這樣才能拖過48小時的銀行作業,這樣推敲合理嗎?
3.我有打去微軟技術部門,對方只說要照SOP,請我們先報案,會轉到165處理,警方通知後,outlook才會關閉帳戶
就Angel公司而言,由於沒有出貨,並無任何立即性的損失,但基於商業道德,還是得給客戶一個說法跟解釋,再者,如果真是駭客,是否表示他們已被遠端監控許久,網路安全已有明顯漏洞
請問...........
各位建議,下一步我們還能做些甚麼呢?
個人積分:2分
文章編號:56845132
個人積分:0分
文章編號:56845686
個人積分:2838分
文章編號:56846483
跟這個新聞蠻像的可以參考一下
趨勢科技:駭客以「鷹眼」後門程式滲透中小企業電子郵件,詐騙交易貨款
http://www.ithome.com.tw/news/97055
我比較好奇的是
去問微軟有什麼用?
你是用微軟的信箱嗎 信箱的SERVER是微軟的嗎
還是說你只是用OUTLOOK
OUTLOOK只是一種郵件收發的客戶端程式
所以EMAIL有什麼問題.....看OUTLOOK是沒有用的
要找的是公司的EMAILL SERVER是否被入侵
個人積分:3分
文章編號:56848846
個人積分:2分
文章編號:56860587
個人積分:3分
文章編號:56863353
個人積分:226分
文章編號:56867865
前陣子去 PCHOME 購買物品,因為馬上要出門去北部逗留幾天,因此就將收貨地點改在我北部的暫時居住和聯絡地方,改後沒多久,就收到 PCHOME 客服人員直接打電話到我的手機,詢問我是否確實要將該貨品寄到新的地址。
雖然該交易的金額和貨品的價值並不高,就只有幾百元而已,但是細心的廠商,就是會注意到這些細節,進行必要的事先防範工作。
電子郵件的發信人其實是可以很容易的進行偽造,根本不需要入侵您的信箱,也不需要您的密碼,只要平常透過木馬來攔截您的收發信件,知道您有那些交易正在進行(或是有內鬼),就可透過偽造的信件來將交易轉向。尤其使用的不是自己架設的 mail server,而是外面的信箱,要偽造更容易,除非您看信時都會詳加注意信件的原始路徑。
因此當交易有變動時,建議學學 PCHOME 使用其他的聯絡工具進行確認動作,而不要太相信 Email 之類的電子文件。
而據知,一些重要的電子交易聯絡,都需要進行『身分認證』的程序,例如使用 自然人憑證 之類的晶片卡,且此種方式若我沒記錯的話,一二十年前就已經有在發展,也不是未來科技,且就算是 Gmail 的話,若有他人使用其他媒介要登陸信箱,也需要手機認證,這許多種方式都可確保資訊安全的方法。
請樓主將些信件的 原始內容 抓出來,裡面會記錄該信件的整個傳遞過程,以及發信者的 IP。如此或許可以找出端倪。
除非 更改付款方式 是常態,否則突然被要求更改付款方式,又沒再行使用其他方式確認,感覺起來相當反常......
個人積分:330分
文章編號:56887179
1.
公司的MAIL應該沒反解...
只有正解出去,反解不回來
所以用名稱可以造假
反解的IP指向駭客自己的資訊收集器內
這種防火牆上沒任何紀錄,因為是從外部下手
2.
公司MAIL SERVER 被當跳板出去的
這種防火牆上應該會有紀錄,因為是從內部至外部的
3.
最常見的,公司內USER手賤亂點
重木馬後門程式
WINDOWS內被植入PAYLOAD
或是
被ARP欺騙,中間人攻擊
封包全轉出去了,SSL帳號密碼全被取走
這種防火牆上看不到,要到ROUTER上看進出紀錄
一般只能看到紀錄(只能看到LAN IP),抓不到人
因為駭客拿到要的東西後,會將所有程式抽走..
這三點,雖很白話
但專業IT看了應該知道下次怎防了....
外行就看熱鬧吧....因為網路環境不同的問題,不是每個人都能照圖施工保證成功....
當然還是有其他可能..
但機率低...
像外面用公共WIFI,是沒密碼的釣魚WIFI
公司有WEB MAIL,CONSOLE被直接攻下,SQLDATE被植入東西..
當花錢上課吧.....
攻防戰,都只是在找漏洞而已
一個攻漏洞,一個補漏洞
沒被攻,不代表真沒事....可能駭客是在潛伏,收集真正有價值的資訊...
個人積分:15分
文章編號:56976924
個人積分:0分
文章編號:61071453
