诈骗时间covid资源英雄

在任何时候,涉及稀缺和重要医疗设备的欺诈行为都是令人憎恶的,但在大流行期间,当迫切需要这些设备来拯救生命时,此类活动的严重性就会急剧加剧。必须调查和制止这种行为,以确保合法的医疗机构能够提供如此迫切需要的护理。

这就是在COVID-19大流行初期影响许多医疗设备制造商和医疗系统的情况。一名尼日利亚威胁行为者系统地、彻底地试图冒充美国的医疗机构,目的是以医院系统的名义从制造商那里骗取医疗设备。威胁行为者依靠正常的商业付款条件,设法将医疗设备运送到非法目的地,同时争取时间,通常是在设备制造商期望从合法机构付款之前的30或60天。如果没有进一步的发明,设备将被送往欺诈的运输地点,制造商或供应商不仅会遭受经济损失,而且非常需要的设备将从合法的医疗机构转移使用。

如图1所示,图1显示了与此次调查相关的各种类型的数据点,在这篇博客文章中,我们将回顾如何将传统域名Whois记录和其他IOCs与其他情报来源结合起来,以帮助更好地了解此类活动背后的行为者,并将他们绳之以法,因为这些活动每年给医疗保健系统造成数十亿美元的损失。

图1:与此调查相关的数据点的关系图,按类型用颜色编码

威胁行为者使用和滥用许多合法的商业服务来进行欺诈活动,不仅通过注册商注册域名,使用托管提供商基础设施,还使用其他服务作为其欺诈操作的一部分。还可以枚举、跟踪这些服务,在许多情况下,这些服务本身可能是破坏事件的主体。在这种情况下,可以调查参与者用来混淆其活动的许多步骤。

考虑到他们滥用的服务数量和参与者使用的指标(如电子邮件地址和电话号码)的绝对数量,当他们觉得自己不会被观察到时,他们往往会在涉及操作安全的问题上“失败”。两个常见的例子是在不同的帐户之间重用密码等信息,或者使用一个电子邮件服务作为另一个服务的恢复电子邮件。这些操作安全方面的失误通常是有助于理解和关联与特定参与者相关内容的新轴心的有用来源。

从历史Whois开始

在本例中,参与者使用了许多流行的域注册器,包括公共域注册器(PDR)、Tucows、Wild West Domains和谷歌。对欺诈域名的检查包括一个看似无害的域名ryanlherco[。com,但后来被用作其他一些欺诈域名的电子邮件联系人,以及Gmail地址的句柄((电子邮件保护)[.]com),其中包括一系列以“约翰·斯宾塞”和“莫里斯·多德”为注册别名的假冒域名。与这些注册相关的电话号码(+2348067506761)有助于识别与该演员相关的另外两个Gmail和Outlook帐户。如前所述,欺诈行为者在他们的计划中通常需要额外类型的服务,查询与这些电子邮件相关的其他服务,发现了行动者使用的一些Skype帐户,这有助于了解行动者在世界上的哪个地方操作。这些账户将尼日利亚阿布贾列为与他们有关的地区。

开始解开与演员相关的账户

图2:图表显示了几个电子邮件帐户和几个服务之间的关系,最显著的是Skype帐户

考虑到欺诈行为者通常使用的大量电子邮件地址,他们通常不使用最佳实践,而是在许多不同的服务中依赖密码重用。如图2所示,其中不仅有许多与电子邮件地址相关的Skype帐户(包括前面观察到的Maurice Dodd绰号),而且它还用于订阅许多其他服务,所有这些服务都使用相同的相当独特的(和西非)密码“olanrewajua1”选择。

在其他OSINT来源中查询这个密码为调查提供了重要的新机会,因为行动者使用了它和其他七个电子邮件地址的几乎相同的密码。除了重复使用密码之外,这名行骗者还使用了一种试图管理多个帐户的常见策略:使用一个电子邮件作为其他帐户的备份或恢复电子邮件。一封电子邮件的使用频率越高,电子邮件积累的数字足迹就越大。此外,帐户的链接为他们提供了更多的机会,他们甚至不知道。这最终是这个演员失败的一部分,如图3所示的马耳他图表,显示了演员通过电子邮件备份恢复账户绑定的欺诈账户与用于社交媒体和其他开源调查渠道的合法电子邮件之间的联系。

图3:突出显示了电子邮件帐户到社交媒体帐户的使用情况

这种策略除了容易导致行动安全失败外,许多行为者还试图向他们活动的社区隐藏其犯罪活动的真实性质,包括向朋友和家人隐瞒令人不快的信息。在这种情况下,一个在服务之间反复使用的电子邮件地址也被用作恢复电子邮件,该电子邮件地址是与之相关的社交媒体账户:演员的妻子,她发布了他们的结婚照,显然不知道他的犯罪活动的性质。在调查威胁行为者时,这种情况更为普遍,当家庭成员或朋友和同事在不知不觉中提供有关行为者的重要信息时,这种情况往往是另一种情报来源。在这种情况下,通过对家庭社交媒体账户的审查,确定了演员的身份,这是一名来自尼日利亚的男性,他的结婚照被发布在他配偶的社交媒体账户上,如图4所示。

图4:来自社交媒体账户的一张照片

把一切结合在一起

威胁行为者,特别是那些惯犯率高的人,或那些在较长时间内进行此类活动的人,会留下面包屑痕迹,特别是历史whois和基础设施数据,这些数据在试图了解对手的性质时是非常宝贵的。虽然随着时间的推移,他们倾向于演变和改进他们的策略,但这些历史数据并没有消失,正如我们已经说明的那样,有时少量的错误(甚至只有一个)就足以追踪犯罪行为,这将决定他们未来的发展。在这一具体案件中,国际执法部门已就其恶劣的犯罪活动对这一威胁行为者提出指控。