美国新型黑客运用华尔街行话行骗 专攻企业高管

　　中新网12月3日电 据美国《纽约时报》2日报道，美国新型黑客正在运用华尔街行话行骗。一个网络犯罪团伙在一年多的时间里窃取了100多个组织的电子邮件，这些组织中绝大多数是医疗保健或制药上市公司，犯罪团伙明显是在寻求足以对全球金融市场产生重大影响的信息。

　　1日，硅谷安全公司FireEye发布了一份报告，详细描述了这个犯罪团伙的活动，揭示了一种新的犯罪意图，即利用黑客技术来获得医药行业中的市场优势。在这个行业中，临床试验消息、监管决定，以及安全或法律问题，可能会对公司的股价产生影响。

　　从2013年中期开始，FireEye开始应对上市公司以及咨询公司遭受入侵的情况。它说，这些上市公司中三分之二都属于医疗保健和制药业，此外还有咨询机构，比如投资银行办事处，或者提供法律或合规服务的公司。

　　由于这些攻击者侧重于金融业目标，FireEye称他们为“Fin4”，这些人似乎母语是英语，总部设在北美和西欧，精通华尔街行话。他们给每名受害者发送的电邮诱饵，都进行过精准的度身定制，使用了完美的英语、谨慎的措辞，看起来像是出自一位精通投资银行业务，谙熟业内术语的人之手。

　　不同群体的受害者——包括最高层级的管理人员；法律顾问；监管、风险与合规管理者；研究人员；科学家——收到了不同的邮件。一些受骗的高管点击了长期客户账号发来的链接，因为这些所谓的客户说，他们发现一名员工在投资论坛上发布了有关该高管的的负面评论。

　　还有些时候，攻击者使用他们以前盗取的公司机密文件，来让圈套显得真实可信。有时候攻击者只是把一般性的投资报告嵌入电子邮件。

　　无论是哪种情况，这些链接或附件都会把受害者带到假冒的电子邮件登录页面，以便窃取受害者的账号密码，这样一来，攻击者就可以登录并阅读他们的电邮内容了。

　　Fin4攻击者的活动比较轻量级。与来自俄罗斯的那种证据充分的攻击不同，Fin4并没有使用恶意软件深入一个组织的计算机服务器和基础设施，他们只是查看人们的电邮，并设置收件箱的过滤规则，自动删除包含“黑客”、“钓鱼攻击”或“恶意软件”等词语的邮件，以便拖延受害者发现自己电邮账户被侵入的时间。

　　“从他们攻击的目标人群的类型来看，他们并不需要扩大活动范围；高级主管收件箱中的信息，就已经足够有料了，”FireEye威胁情报经理延·威登(Jen Weedon)说。“他们的目标是律师-委托人之间的机密信息、安全报告，内部调查和审计文件的信息。”

　　由于攻击者并不部署恶意软件，并且是用规范的英语交流的，跟踪他们可能会非常困难。威登表示，FireEye第一次开始应对Fin4的攻击是在2013年的年中，但直到五个月前，当公司的几名分析师得出结论，说攻击似乎不是出自俄罗斯那些熟悉的黑客之手，需要做进一步调查时，FireEye才对这些发现有了一个整体把握。

　　FireEye不会公布受害者的名字，理由是与客户签订了保密协议，但它表示，遭到入侵的公司中，只有三家是在纽约证券交易所或纳斯达克上市的，其他都是其他国家的上市公司。

　　这些公司中有一半属于生物技术领域；13%销售医疗器械；12%出售的医疗仪器和设备；10%制造药品；还有少量医疗诊断和研究机构、医疗保健提供者，以及医疗保健计划服务机构。

　　FireEye说自己已经通知了受害者和联邦调查局，但不知道其他机构，比如美国证券交易委员会(Securities and Exchange Commission，简称SEC)是否会调查此事。

　　联邦调查局的代表拒绝发表评论。SEC的代表没有回复记者的置评请求。

　　威登表示，FireEye没有时间来评估这些攻击的影响，因此不了解袭击者是否获得了经济利益。

　　每次攻击时，Fin4都使用了Tor来登陆受害者的电子邮件帐户。Tor是个匿名软件，用世界各地的IP地址来中转网络数据往来，所以要追踪Fin4的攻击源头很困难，但也并非不可能。上个月，联邦调查局查出了数十个在Tor网络上运作的犯罪网站，是类似行动中规模的最大一次。

　　“我们尚未找到具体源头，但我们认为攻击者有很大的可能是美国人或者西欧人，曾在美国的投资银行业工作过，”威登说。“但找到他们很难，因为我们没有可以辨识出这些人的确凿证据，只知道他们的母语是英语，可以天衣无缝地捏造电邮。”

　　威登补充说，“做这些事的就算不是美国人，也与投资银行界有密切联系，而且非常熟悉这个圈子的行话。”