Mimecast Logo
Angebot einholen

    Sextortion-Betrugsmaschen, bei denen Rechnungsstellungs- und Buchhaltungsdienste zur Verbreitung genutzt werden

    14. Juli 2025

    Von dem Mimecast Threat Research Team

    Wichtige Punkte
    • Betrugsmaschen im Zusammenhang mit Sextortion, die über Online-Rechnungs- und Buchhaltungsdienste verbreitet werden
    • Es wurden ähnliche Kampagnen identifiziert, bei denen dieselbe Bitcoin-Adresse für die Zahlung verwendet wurde.
    • Umgehungstechniken zur Umgehung von Sicherheitslösungen
    • Vorwiegend auf Unternehmen in den USA und Australien ausgerichtet

    Das Mimecast Threat Research-Team hat eine neue Sextortion-Betrugskampagne aufgedeckt, bei der legitime Rechnungsstellungsdienste zur Verbreitung bösartiger E-Mails missbraucht werden. Diese Kampagnen, die im Juni 2025 begannen, nutzen Umgehungstechniken, um Sicherheitslösungen zu umgehen, und zielen auf ahnungslose Empfänger ab. Die Kampagnen zeichnen sich dadurch aus, dass sie seriöse Dienste nutzen, um ihren böswilligen Absichten Glaubwürdigkeit zu verleihen.

    Details zur Kampagne

    Es wurden kürzlich Phishing-Kampagnen identifiziert, bei denen Eslip, Snap Invoicing und Loyverse zur Verbreitung genutzt wurden. Diese Plattformen, die Dienstleistungen im Bereich der Rechnungsstellung und Zahlungsabwicklung anbieten, werden missbraucht, um automatisierte Betrugsmaschen zu ermöglichen. Die Kampagnen nutzen die Funktionen etablierter Rechnungsstellungsdienste aus, wodurch Angreifer betrügerische E-Mail-Benachrichtigungen versenden können, die echt wirken. Diese Vorgehensweise stärkt nicht nur die Glaubwürdigkeit der Betrugsversuche, sondern erhöht auch die Wahrscheinlichkeit, dass Nutzer darauf eingehen.

    Es wurden drei ähnliche Kampagnen identifiziert, bei denen jeweils dieselbe Bitcoin-Wallet-Adresse sowohl für die Zahlung als auch als E-Mail-Antwortadresse verwendet wurde, was auf eine koordinierte Aktion hindeutet. In den E-Mails wird behauptet, man verfüge über kompromittierendes Material über den Empfänger, und es wird eine Zahlung in Bitcoin gefordert, um die Veröffentlichung dieses Materials zu verhindern. Es werden weitere personenbezogene Daten wie das Geburtsdatum oder das Passwort des Empfängers verwendet, um die Glaubwürdigkeit zu untermauern und Panik zu schüren. Dies deutet darauf hin, dass die Daten des Empfängers von einer Datenpanne betroffen sind und wie diese Art von Daten für weitere Angriffe genutzt werden kann.

    Ausweichtechniken

    Um Sicherheitslösungen zu umgehen, wenden die Angreifer folgende Methoden an:

    - Die Bitcoin-Adresse in der E-Mail in zwei Teile aufzuteilen, um einer Erkennung durch automatisierte Scanner zu entgehen.

    - Veröffentlichung weiterer Details zur Erpressung, einschließlich der Bitcoin-Adresse, auf einer externen Hosting-Website (catbox.moe). Dadurch wird sichergestellt, dass sensible Angaben nicht direkt im E-Mail-Text enthalten sind, wodurch eine Erkennung weiter verhindert wird.

    sextortion-scam-image-1.png sextortion-scam-image-2.png

    Jüngste Kampagnen zeigen eine strategische Neuausrichtung der Angreifer hin zum Missbrauch legitimer Online-Benachrichtigungsdienste als Übertragungswege. Diese Taktik nutzt das Vertrauen aus, das Nutzer in bekannte Plattformen setzen, um Perimeter-Abwehrmaßnahmen zu umgehen und sich den üblichen Sicherheitskontrollen zu entziehen. Die Ausnutzung dieser vertrauenswürdigen Dienste erhöht nicht nur die Wahrscheinlichkeit einer Interaktion seitens der Nutzer, sondern verringert auch die Wahrscheinlichkeit, entdeckt zu werden, was ein erhöhtes Risiko für Unternehmensumgebungen darstellt. Diese Entwicklungen unterstreichen die Notwendigkeit adaptiver Erkennungsstrategien, die dem Missbrauch legitimer Infrastruktur Rechnung tragen.

    Mimecast-Schutz

    Mimecast hat Erkennungsfunktionen implementiert, um E-Mails im Zusammenhang mit dieser Kampagne zu identifizieren und zu blockieren. Wir beobachten weiterhin Veränderungen bei den Taktiken und Techniken der Angreifer, um sicherzustellen, dass unsere Kunden weiterhin geschützt sind.

    Ziele:

    Vorwiegend US-amerikanische und australische Unternehmen aus verschiedenen Branchen

    des IOC

    Versenden von E-Mail-Adressen

    mailer@snapinvoicing[.]com

    help@loyverse[.]com

    Antwortadresse

    contact@enrolledagent[.]com

    Themen

    [Name] – Wir kümmern uns darum! [Name] – Sofortiges Handeln erforderlich Angebotsnummer [sechsstellige Zahl] von BlackEye für [Name]

    Bitcoin-Wallet

    1AiSyds8XSXEVCs4QWhdpsbikCEiLfpWLY

    Empfehlungen

    • Benutzerschulung zum Sicherheitsbewusstsein
      • Informieren Sie die Nutzer über die neuesten Lockvogel-Taktiken, die in diesen Kampagnen zum Einsatz kommen
      • Führen Sie regelmäßig Phishing-Simulationen durch, die die neuesten Bedrohungen berücksichtigen
    • Proaktive Bedrohungssuche
      • Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle nach übereinstimmenden Absenderadressen oder nach Adressen, die als „Reply-To“-Adresse angegeben sind.
      • Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle, um festzustellen, ob ähnliche Betreffzeilen an Ihre Nutzer gesendet wurden.
    Zurück zum Anfang