BEC-Kampagne unter Verwendung von KI-generierten gefälschten E-Mail-Konversationen

11. August 2025

Von Hiwot Mendahun und dem Mimecast Threat Research Team

Kampagnenübersicht

Das Mimecast Threat Research-Team hat eine „Business Email Compromise“ (BEC)-Kampagne identifiziert, bei der automatisierte gefälschte E-Mail-Konversationen genutzt werden, um in großem Umfang Rechnungsbetrug zu begehen (intern als MCTO5003 erfasst). Diese Kampagne stellt eine bedeutende Weiterentwicklung der BEC-Taktiken dar, bei der traditionelles Social Engineering mit fortschrittlicher Automatisierung unter Einsatz künstlicher Intelligenz kombiniert wird, um überzeugende, fingierte Gespräche zwischen Führungskräften und externen Dienstleistern zu erzeugen. Die Angreifer erstellen gefälschte E-Mail-Ketten, die den Anschein legitimer Geschäftskorrespondenz erwecken, wobei jeder E-Mail-Faden sorgfältig so gestaltet ist, dass er die Genehmigung des Vorstandsvorsitzenden oder eines leitenden Angestellten für dringende Rechnungszahlungen enthält. Die Kampagnen weisen deutliche Anzeichen von Automatisierung auf, von durch KI generierten E-Mail-Inhalten bis hin zu programmgesteuert erstellten PDF-Anhängen, die unmittelbar vor dem E-Mail-Versand mithilfe von Headless-Browser-Technologie erstellt werden.

Die technische Analyse der Kampagne liefert mehrere Hinweise auf eine automatisierte Durchführung.

Die sprachliche und strukturelle Analyse des E-Mail-Textes ergab Merkmale – wie beispielsweise eine äußerst flüssige Sprache, einen schlüssigen Kontext und das Fehlen typischer grammatikalischer Fehler –, die stark darauf hindeuten, dass der Inhalt von einem großen Sprachmodell (LLM) generiert und nicht manuell verfasst wurde.

Der HTML-Code der E-Mail enthält mehrere eingebettete Kommentare, die veranschaulichen, welche Inhalte in die einzelnen Abschnitte der E-Mail gehören.

<!-- HINWEIS ZUR ORIGINALRECHNUNG --> (FÄLSCHUNG)

<!-- BESTÄTIGUNG DES CEO --> (FALSCH)

<!-- WEITERFÜHRUNG ZUR KOLLEKTION --> (FALSCH)

<!-- FOLGEMAIL DES CEO --> 

<!-- LETZTE MITTEILUNG AN DIE BUCHHALTUNG --> (ERSTE MITTEILUNG AN DAS ZUSTÄNDIGE FINANZTEAM)

Zudem werden in einigen Kampagnen nicht standardmäßige Formatierungselemente wie <wbr /> die Tags „<“, „wbr“ und „> “ sowie manuell eingefügte visuelle Trennzeichen verwendet, was eher auf eine systematische Generierung als auf eine authentische E-Mail-Weiterleitung hindeutet.

Die gefälschten E-Mail-Verläufe folgen in der Regel einem vorhersehbaren Muster: Zunächst wird eine Rechnung von einem angeblichen Lieferanten versandt, gefolgt von einer Bestätigung durch eine Führungskraft und abschließend dringenden Zahlungsanweisungen. Zu den gängigen Betreffzeilen gehören „ "“, „Invoice for Ad Spend“, „" “, „ "“, „INV #[Zahlen]“, „" “ sowie „ "Final Reminder Your Payment“ und „" “ – diese sollen ein Gefühl der Dringlichkeit vermitteln und den Eindruck von Seriosität erwecken. Bei diesen Kampagnen werden bekannte Marken und Dienste nachgeahmt, darunter beispielsweise LinkedIn, verschiedene Beratungsunternehmen und Werbeplattformen. Jeder erfundene Thread wird individuell auf das jeweilige Unternehmen zugeschnitten, wobei die tatsächlichen Namen der Mitarbeiter und geschäftliche Zusammenhänge einfließen, um die Glaubwürdigkeit zu erhöhen.

Dateianalyse

Die PDF-Anhänge weisen einheitliche Metadaten auf und wurden alle unter Verwendung identischer technischer Spezifikationen erstellt: Mozilla/5.0 HeadlessChrome/138.0.0.0 mit Skia/PDF m138 als Erzeuger. Die Zeitstempel der Dateierstellung zeigen, dass die Rechnungen erst kurz vor dem Versand der E-Mail erstellt werden, wobei die identischen Dateigrößen bei verschiedenen Kampagnen auf eine automatisierte Verarbeitung von Vorlagen hindeuten.

Auf der Grundlage ähnlicher Kampagnen konnten wir zwei Stufen von Zahlungsforderungen feststellen: Bei der einen werden allgemeine, fachliche Dienstleistungen erbracht, wobei die geforderte Zahlung in der Regel niedriger ausfällt und zwischen 4.850 und 10.000 US-Dollar liegt . Bei den Kampagnen, bei denen sich die Betreiber als bekannte Marken ausgaben, verzeichneten wir jedoch eine deutlich höhere Anzahl an Anfragen;

LinkedIn: ca. 12.000 – 80.000

ZoomInfo: ca. 50.000 – 90.000

Pro-forma: ~50.000

Mimecast-Schutz

Mimecast hat umfassende Erkennungsfunktionen implementiert, um E-Mails im Zusammenhang mit dieser automatisierten BEC-Kampagne zu identifizieren und zu blockieren. Wir beobachten weiterhin die sich weiterentwickelnden Taktiken und Techniken dieser Angreifer, um sicherzustellen, dass unsere Kunden vor dieser raffinierten Bedrohung geschützt bleiben. Auf der Seite „Erweiterter BEC-Schutz“ erfahren Sie mehr darüber, wie unsere fortschrittlichen KI- und NLP-Funktionen zur Erkennung sich ständig weiterentwickelnder Bedrohungen beitragen.

Ziele:

Weltweit tätige Unternehmen aus allen Branchen

Indikatoren für eine Kompromittierung (IOCs)

Häufige Betreffzeilen:

• Übersicht über die effektive monatliche Abrechnung
• Zusammenfassung der monatlichen Beratungsleistungen bei Scalable
• Überfällige Zahlung #INV103068 für [Unternehmen]
• Letzte Mahnung bezüglich Ihrer Zahlung zu Rechnungs-Nr. [Nummer]
• Rechnung über Werbeausgaben im Zeitraum vom [Datum] bis [Datum]

Absender-Domains:

• zuki.com.vc
• adspendplatf.onice.io
• consumercomplaintonline.com
• outboundemailprotecction-onmsn.com
• june1.tw
• active-r.co.jp
• Consultant.com

Dateimuster:

• BS-INV-2025-0631.pdf
• DD-INV-2025-0631.pdf
• TG-INV-2025-0631.pdf

Technische Indikatoren:

• PDF Creator: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) HeadlessChrome/138.0.0.0 Safari/537.36
• PDF-Ersteller: Skia/PDF m138
• Dateigrößen: Durchgehend 57 kB über alle Kampagnen hinweg
• HTML-Kommentare:  <!-- Folge-E-Mail des CEO --> , <!-- Buchhaltung an den CEO --> 

Empfehlungen

Maßnahmen zur E-Mail-Sicherheit

• Setzen Sie den erweiterten BEC-Schutz ein, um gefälschte E-Mail-Konversationen und nicht standardmäßige HTML-Formatierungsmuster zu erkennen
• Führen Sie eine Anhangsanalyse durch, um programmgesteuert erstellte PDF-Dateien mit verdächtigen Metadaten-Signaturen zu erkennen
• Konfigurieren Sie Richtlinien zur Inhaltsprüfung, um E-Mails zu kennzeichnen, die dringende Zahlungsaufforderungen unter Vortäuschung der Identität von Führungskräften enthalten

Prozesssteuerung

• Führen Sie für alle Rechnungszahlungen mehrstufige Verifizierungsverfahren ein, bei denen für dringende Anfragen eine telefonische oder persönliche Bestätigung erforderlich ist.
• Führen Sie eine Aufgabentrennung bei der Zahlungsabwicklung ein und stellen Sie sicher, dass keine single Person Zahlungen allein auf der Grundlage von E-Mail-Anweisungen genehmigen kann.
• Erstellen Sie standardisierte Onboarding-Prozesse für Lieferanten, die verifizierte Kontaktdaten und Zahlungsangaben umfassen

Schulung zur Sensibilisierung der Nutzer

• Schulen Sie die Mitarbeiter in den Finanz- und Buchhaltungsabteilungen hinsichtlich der neuesten BEC-Taktiken, insbesondere hinsichtlich der Verwendung gefälschter E-Mail-Verläufe, bei denen sich die Absender als Führungskräfte ausgeben
• Führen Sie regelmäßig Phishing-Simulationen durch, bei denen gezielt die Erkennung erfundener Gesprächsverläufe und dringender Zahlungsszenarien getestet wird
• Schulen Sie Ihre Mitarbeiter darin, verdächtige technische Anzeichen wie ungewöhnliche „Reply-to“-Adressen und Unstimmigkeiten bei der Absenderdomain zu erkennen.

Proaktive Bedrohungssuche:

• Durchsuchen Sie die E-Mail-Empfangsprotokolle nach den in dieser Benachrichtigung angegebenen IOCs
• Achten Sie auf plötzliche Zunahmen von E-Mails im Zusammenhang mit Rechnungen, die von neuen oder nicht verifizierten Domänen stammen