Mimecast Logo
Angebot einholen

    Gezielter BEC-Betrug

    17. Dezember 2024

    Von Mimecast Threat Research Team

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    Bedrohungsakteure setzen Deepfake mit Stimme in ausgeklügelter Anwaltskanzlei-Imitationskampagne ein

    • Ausgeklügelte BEC-Kampagne (Business Email Compromise), die DocuSign und Adobe Sign ausnutzt
    • Angreifer nutzen Deepfakes, um ihre Betrügereien glaubwürdiger zu machen
    • Vorrangig auf Banken, Finanzdienstleistungen und Versicherungen ausgerichtet

    Kampagnenablauf

    Gezielte-BEC-Kampagne-ablauf.jpg

    Mimecast-Bedrohungsforscher haben eine sehr gezielte Business Email Compromise-Kampagne entdeckt. Unsere Analyse zeigt, dass immer raffiniertere Techniken eingesetzt werden, um BEC-E-Mails legitim erscheinen zu lassen.

    Erste E-Mail

    Die Kampagne beginnt mit einer E-Mail, die über vertrauenswürdige Dienste wie DocuSign und Adobe Sign verschickt wird und fälschlicherweise vorgibt, von einer Anwaltskanzlei zu stammen. In der E-Mail wird der Empfänger aufgefordert, ein Dokument zu unterzeichnen und eine angegebene Telefonnummer anzurufen, die nicht mit der Anwaltskanzlei verbunden ist.

    Targeted-BEC-Scam-img1.webp

    Diese Kampagne scheint sehr zielgerichtet zu sein, und die Angaben zur Anwaltskanzlei in diesen ersten E-Mails deuten darauf hin, dass der Bedrohungsakteur möglicherweise bereits über eine Arbeitsbeziehung mit dem Zielunternehmen verfügt. Sobald das Opfer die Nummer anruft, spricht es mit dem Bedroher, der sich als Mitarbeiter dieser Anwaltskanzlei ausgibt.

    Das Opfer wird dann angewiesen, eine E-Mail an eine Adresse mit einer Domäne zu senden, die der Domäne der legitimen Anwaltskanzlei ähnelt, wodurch eine E-Mail-Beziehung zu dieser verdächtigen Adresse entsteht. Diese Adresse wird dann für die weitere Kommunikation als vertrauenswürdiger Absender für diesen Benutzer verwendet.

    Die in der ursprünglichen E-Mail verwendeten Domänen sowie ähnliche Domänen, die mit Anwaltskanzleien verknüpft sind, nutzen überwiegend Eranet International Limited für das Hosting und Hostinger für ihre Namensserver. Beide Anbieter wurden in der Vergangenheit von Bedrohungsakteuren ausgiebig missbraucht und spielen eine entscheidende Rolle in der aktuellen Infrastruktur dieser Bedrohungsakteure.

    Nachfassende Kommunikation

    Sobald die Verbindung hergestellt ist, verwendet der Bedrohungsakteur die verdächtige Adresse, um eine betrügerische Rechnung zu senden, die er bezahlen muss. Um dieser Kampagne noch mehr Legitimität zu verleihen, erhält das Opfer in einigen Fällen über WhatsApp einen gefälschten Anruf, der sich als Geschäftsführer oder als jemand ausgibt, der berechtigt ist, die Überweisung zu genehmigen. Die beantragten Beträge dürften erheblich sein und sollten mit äußerster Vorsicht behandelt werden.

    Targeted-BEC-Scam-img2.webp

    Die Dateien, die mit dem Zielunternehmen ausgetauscht werden, scheinen auch ein gewisses Muster aufzuweisen 

    Mimecast-Schutz

    Wir haben in den Kampagnen mehrere Attribute identifiziert, die zu unseren Erkennungsfähigkeiten hinzugefügt wurden. Auf der Seite Erweiterter BEC-Schutz erfahren Sie mehr darüber, wie unsere fortschrittlichen KI- und Natural Language Processing-Funktionen bei der Erkennung sich entwickelnder Bedrohungen helfen.

    Zielsetzung:

    Hauptsächlich in den USA und im Vereinigten Königreich, in den Bereichen Banken, Finanzdienstleistungen und Versicherungen.
    Es wurden auch Entdeckungen außerhalb dieser Regionen und Vertikalen gemacht.

    IOCs

    Ursprüngliche Reply-To-Domain

    mail-sign[.]com
    n4a-doc[.]com
    doc-sign[.]net
    ds-sign[.]net
    mail-doc[.]net
    n4a-doc[.]net
    de1-docusign[.]net
    6-docusign[.]com
    de10-docusign[.]net
    sign-de1[.]com
    doc-docusign[.]com
    a-docusign[.]com
    7-docusign[.]com
    de2-docusign[.]com
    2-docusign[.]com
    de-docusign[.]com
    sign-doc[.]net
    sign-mail[.]com
    sign-acrobat[.]com
    doc-docusign[.]net
    8-docusign[.]com
    dse-sign[.]com
    dse-doc[.]net
    sign-n4a[.]net
    n4a-dse[.]net
    dse-n4a[.]net
    n4a-ds[.]com
    n2a-dse[.]com
    dse-n2a[.]net
    n2a-dse[.]net
    dse-n2a[.]com
    b-docusign[.]com
    ds-n4a[.]com
    sign-de3[.]com
    sign-de2[.]com
    n4a-sign[.]net
    mail-sign[.]net
    doctosign[.]tech


    Empfehlungen

    • Sensibilisierung der Mitarbeiter für BEC-Taktiken und für die Erkennung von Phishing-Versuchen.
    • Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.
    • Implementieren Sie Überprüfungsprotokolle für alle unerwarteten oder verdächtigen E-Mails, die angeblich von Anwaltskanzleien stammen, die Docusign und Adobe Sign verwenden, insbesondere für solche, die sensible Informationen oder finanzielle Transaktionen anfordern.
    • Melden Sie jede Phishing- oder BEC-Betrugs-E-Mail an Mimecast oder Ihren E-Mail-Sicherheitsanbieter.

    Betrugsmeldung

    Mimecast arbeitet aktiv mit Diensten wie Docusign zusammen, um den Missbrauch dieser vertrauenswürdigen Dienste zu bekämpfen.

    Zurück zum Anfang