近两年，航运业成为了黑客眼中的一块大肥肉!自去年以来，全球已发生多起因黑客攻击造成的大规模商业电子邮件泄密(BEC)事件，导致海上航运业损失了数百万美元。

4月18日，RSA会议上发布的报告显示，黑客正在利用了海上航运行业网络安全漏洞、以及较为落后的计算机设备入侵航运系统。

来自Dell SecureWorks反网络威胁部门的研究人员发现，该商业电子邮件泄密黑客组织名叫Gold Galleon。研究人员推测，Gold Galleon专门针对航运业，并且在2017年6月至2018年1月之间窃取了至少390万美元。

Gold Galleon的攻击目标包括各种类型的海运组织，比如提供船舶管理服务的公司，港口服务公司和船长借支服务公司。SecureWorks发现，Gold Galleon黑客组织应该至少有20名网络犯罪分子构成，他们可能位于尼日利亚。这些罪犯共同合作，实施BEC黑客攻击的各个部分——从最初的协议攻击到监控账户等。

Dell SecureWorks安全研究员James Bettke是该研究小组的负责人，他评价说：“因为航运业务涉及全球范围、且跨布多个时区，涉业人员的沟通基本都是靠邮件——因此对于BEC诈骗小组来说，这就像一个“唾手可得”的诱人果实。”

根据SecureWorks的调查结果，Gold Galleon通过收集公开可用的联系信息(例如公司的网站)以及利用营销工具 BoxxerMail 或电子邮件提取器来从公司网站上获取电子邮件地址，进而识别目标攻击对象。

进入目标邮箱后，网络犯罪分子会通过一款名为 EmailPicky 的黑客工具，进一步获得收件人的联系人列表。

Gold Galleon使用带有恶意附件的鱼叉式网路钓鱼技术，达到犯罪目的。这些附件通常会包含一个带键盘记录功能和密码窃取功能的远程访问工具。

SecureWorks在他们的安全报告中提到：“GOLD GALLEON 部署的工具包括 Predator Pain，PonyStealer，Agent Tesla，以及Hawkeye 键盘记录器，所有这些 GOLD GALLEON 使用的恶意软件都可以从线上黑客市场获得。”

一旦该黑客团体入侵了目标电子邮箱，该犯罪团伙的成员就能监控这个邮箱中正在进行的商务活动。当付款细节通过发票的形式转发给买方时，黑客就会拦截卖方的电子邮件并将发票上的目标银行账户更改为他们自己的收款账户。

根据SecureWorks透露:“为了在特定交易中模仿买家或卖家使骗术不易被识破，GOLD GALLEON和其他BEC小组会专门购买与买方或卖方公司名称非常相似的域名，他们将此称为“克隆”。

Bettke补充说道：“该黑客组织使用一系列具有键盘记录功能和密码窃取功能的商品远程访问工具来窃取电子邮件帐户凭证。Gold Galleon的高级成员还会定期在他们自己的系统上测试恶意软件，并通过在线病毒扫描程序判断检测率。”

经过筛选该黑客组织的用户名和密码，SecureWorks怀疑Gold Galleon是尼日利亚的一个名为Buccaneer Confraternity或是National Association of Seadog的兄弟会组织。