Mimecast Logo
Angebot einholen

    Phishing-Kampagne des britischen Innenministeriums, die sich gegen Inhaber von Visa-Sponsorenlizenzen richtet

    12. August 2025

    Von Samantha Clarke, Hiwot Mendahun, Ankit Gupta und dem Mimecast Threat Research Team

    Wichtige Punkte
    • Phishing-Kampagne, die sich unter Vortäuschung einer falschen Identität des Innenministeriums an Inhaber von Sponsorenlizenzen im Vereinigten Königreich richtet
    • Angreifer versuchen, Zugangsdaten für das Sponsorship Management System (SMS) zu erlangen, um daraus finanziellen Gewinn zu ziehen und Daten zu stehlen
    • Die Kampagne nutzt durch Captcha geschützte URLs und überzeugende Fälschungen von Regierungsdomains, um Sicherheitskontrollen zu umgehen
    • Mehrstufiger Ablauf eines Angriffs – vom Sammeln von Zugangsdaten bis hin zur Monetarisierung von Konten und der Ausnutzung von Identitäten

    Kampagnenübersicht

    Das Mimecast Threat Research-Team hat eine aktive Phishing-Kampagne identifiziert, die sich gegen britische Organisationen mit Sponsorenlizenzrechten richtet und bei der sich die Angreifer als Vertreter des Innenministeriums ausgeben. Diese Kampagne stellt eine erhebliche Bedrohung für das britische Einwanderungssystem dar, da die Angreifer versuchen, sich Zugang zum Sponsorship Management System (SMS) zu verschaffen, um daraus umfangreichen finanziellen und datentechnischen Schaden zu ziehen. Die Angreifer versenden betrügerische E-Mails, die als offizielle Mitteilungen des Innenministeriums getarnt sind. Diese werden in der Regel an allgemeine E-Mail-Adressen von Organisationen gesendet und enthalten dringende Warnungen bezüglich Compliance-Problemen oder der Sperrung von Konten. Diese Nachrichten enthalten bösartige Links, die die Empfänger auf überzeugend gefälschte SMS-Anmeldeseiten weiterleiten, die darauf ausgelegt sind, Benutzerkennungen und Passwörter abzugreifen.
    Sponsor_Scam_1.png

    Angriffsmethodik

    Die Kampagne folgt einem systematischen Ansatz, der mit Phishing-E-Mails beginnt, die legitime Benachrichtigungen des Innenministeriums sehr genau nachahmen. Den Empfängern werden dringende Nachrichten angezeigt, in denen behauptet wird, es lägen neue SMS-Benachrichtigungen oder Systemwarnungen vor, die sofortige Aufmerksamkeit erfordern. Die E-Mails leiten die Nutzer auf betrügerische Anmeldeseiten weiter, auf denen die eingegebenen Anmeldedaten erfasst werden.

    Die technische Analyse zeigt, dass URLs mit Captcha-Abfrage als erster Filtermechanismus eingesetzt werden, gefolgt von einer Weiterleitung zu Phishing-Seiten, die die authentische SMS-Oberfläche originalgetreu nachbilden. Die Angreifer zeigen ein tiefgreifendes Verständnis für die Kommunikationsmuster der Behörden und die Erwartungen der Nutzer im Rahmen des britischen Einwanderungssystems.
    Sponsor_Scam_2.png

    Sponsor_Scam_3.png

    Die Phishing-Seite ist eine äußerst überzeugende Nachbildung der legitimen SMS-Anmeldeseite des britischen Innenministeriums (UK Home Office), die durch direktes Kopieren des HTML-Codes, das Einbinden offizieller Inhalte per Hotlink sowie minimale, aber entscheidende Änderungen am Formularübermittlungsprozess erstellt wurde.

    • Seriöse Seite

      <form id="smslogin" method="post" action="j_security_check">

    • Phishing-Seite

      <form id="smslogin" method="post" action="sms.php">

    Dies ist ein deutliches Warnsignal, da es darauf hindeutet, dass Anmeldedaten an ein vom Angreifer kontrolliertes Skript statt an das legitime Authentifizierungssystem gesendet werden.

    Strategie zur Monetarisierung krimineller Aktivitäten

    Sobald SMS-Zugangsdaten kompromittiert sind, stehen den Angreifern mehrere Möglichkeiten zur Monetarisierung offen. Zu den Hauptzielen zählen der Verkauf von Zugriffsrechten auf kompromittierte Konten in Dark-Web-Foren, die Erleichterung der betrügerischen Ausstellung von Sponsoring-Bescheinigungen (Certificate of Sponsorship, CoS) sowie die Durchführung von Erpressungsaktionen gegen betroffene Organisationen.

    Die lukrativste Form der Ausbeutung besteht darin, gefälschte Stellenangebote und Visa-Sponsoring-Programme zu erstellen, wobei die Täter von ihren Opfern zwischen 15.000 und 20.000 Pfund für nicht existente Beschäftigungsmöglichkeiten verlangen. Bei diesem Vorgehen werden die gehackten Konten der Sponsoren genutzt, um scheinbar legitime Visumunterlagen zu erstellen, die ausgeklügelte Betrugsmaschen im Bereich der Einwanderung untermauern.

    Mimecast-Schutz

    Mimecast hat umfassende Erkennungsfunktionen implementiert, um E-Mails im Zusammenhang mit dieser Betrugsaktion, bei der sich die Täter als Mitarbeiter des Innenministeriums ausgeben, zu identifizieren und zu blockieren. Wir beobachten weiterhin die sich weiterentwickelnden Taktiken und Techniken dieser Angreifer, um sicherzustellen, dass unsere Kunden vor dieser raffinierten Bedrohung geschützt bleiben.

    Ziele:

    Britische Organisationen aus allen Branchen und Sektoren, die über Sponsorenlizenzen verfügen, mit besonderem Schwerpunkt auf Unternehmen, die aktiv Visa-Sponsoring-Programme verwalten, sowie regelmäßige Nutzer von SMS-Systemen.

    Indikatoren für eine Kompromittierung (IOCs)

    Häufige Betreffzeilen:

    • In Ihrem Sponsoring-Managementsystem wurde eine neue Nachricht veröffentlicht.
    • Benachrichtigung über eine SMS-Nachricht
    • Neue Nachricht in Ihrem UKVI-Konto
    • Benachrichtigung über eine neue Nachricht
    • Mitteilung der UKVI
    • Benachrichtigung über das SMS-System
    • Systemmeldung – Maßnahme erforderlich
    • UKVI Secure Message
    • Sichere Benachrichtigung von UKVI
    • Sie haben eine neue Nachricht
    • Sie haben eine Benachrichtigung über ein neues SMS-Konto erhalten
    • Sie haben eine neue Nachricht erhalten
    • Sie haben eine neue Nachricht erhalten

    Schädliche URLs:

    • hxxps://hkrd[.]site/points.homeoffice.gov.uk.gui-sms-jsf.home.SMS-003-Home.faces
    • hxxps://www.slcpi[.]org/points.homeoffice.gov.uk-uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
    • hxxps://sinsense[.]jp/gov.uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
    • hxxps://casting-one[.]jp/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
    • hxxps://alfonzorivas[.]com/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk

    Empfehlungen

    Maßnahmen zur E-Mail-Sicherheit

    Zugriffsverwaltung

    • Richten Sie eine Multi-Faktor-Authentifizierung für den gesamten Zugriff auf das SMS-System ein, um Angriffe durch die Kompromittierung von Zugangsdaten zu verhindern
    • Führen Sie Richtlinien zur regelmäßigen Änderung von Zugangsdaten für Benutzer mit Zugriff auf das SMS-System ein
    • Überwachen Sie die Aktivitäten auf Ihrem SMS-Konto auf Anzeichen für unbefugte Zugriffe oder ungewöhnliche Anmeldestandorte

    Schulung zur Sensibilisierung der Nutzer

    • Informieren Sie die Inhaber von Sponsorenlizenzen über die offiziellen Kommunikationskanäle des Innenministeriums und die offiziellen E-Mail-Domains
    • Führen Sie regelmäßig Phishing-Simulationen durch, bei denen gezielt die Erkennung von Taktiken zur Vortäuschung einer Identität staatlicher Stellen getestet wird
    • Schulen Sie die Nutzer darin, dringende Compliance-Meldungen über die offiziellen Kanäle des Innenministeriums zu überprüfen, bevor sie Maßnahmen ergreifen

    Organisatorische Kontrolle

    Führen Sie Überprüfungsverfahren für die gesamte SMS-bezogene Kommunikation ein, die eine zusätzliche Bestätigung über offizielle Kanäle vorschreiben

    • Erstellen Sie Vorfallreaktionsprotokolle für den Verdacht auf eine Kompromittierung von SMS-Konten, einschließlich der sofortigen Änderung von Zugangsdaten und der Benachrichtigung des Home Office
    • Führen Sie eine Aufgabentrennung bei der Verwaltung von Sponsorenlizenzen ein, um Szenarien mit einem single Ausfallpunkt zu verhindern

    Proaktive Bedrohungssuche:

    • Durchsuchen Sie die E-Mail-Protokolle nach Nachrichten, die in dieser Benachrichtigung aufgeführte Betreffzeilen oder URLs enthalten.
    Zurück zum Anfang