Mimecast Logo
Obtenga una cotización

    Amenazas BEC basadas en facturas

    18 de noviembre de 2024

    Puntos clave

    Qué aprenderá en esta notificación

    Evite el pago de facturas fraudulentas de ZipRecruiter y TeamViewer.

    • Dirigidas principalmente al sector inmobiliario y jurídico
    • Los atacantes crean correos electrónicos fraudulentos que parecen originarse de TeamViewer, ZipRecruiter y otras marcas, a menudo utilizando nombres de dominio similares o ligeras variaciones
    • El objetivo es facilitar transferencias monetarias no autorizadas.

    Los investigadores de amenazas de Mimecast han detectado un aumento de los ataques al electrónico empresarial (BEC) dirigidos específicamente al sector inmobiliario a nivel mundial. Los autores de las amenazas se hacen pasar por ZipRecruiter, TeamViewer, Zoom y otros productos para engañar a las organizaciones y que paguen facturas por servicios, lo que puede provocar pérdidas económicas. En la mayoría de los casos, los correos electrónicos proceden de una cuenta comprometida, pero con un dominio recién observado en la dirección de respuesta.



    Trucos psicológicos utilizados

    • Largo hilo con la aprobación de alguien de alto rango (parece ir a la dirección de correo electrónico legítima) que puede engañar al empleado para que realice el pago sin comprobarlo dos veces
    • Se añade un sentido de urgencia, ya que el hilo se ha prolongado durante algún tiempo y se ha perseguido la factura
    • Se adjunta una factura bien formulada


    Técnicas comunes

    • El envío de correos electrónicos desde cuentas comprometidas garantiza que pasen los controles de autenticación, como SPF y DKIM.
    • Los nuevos dominios de respuesta se utilizan normalmente para agrupar y gestionar las respuestas a las campañas.
    • Los encabezados de los correos electrónicos que contienen los campos «De» y «Responder a» pueden incluir nombres para mostrar que enmascaran direcciones de remitentes sospechosas, ya que los destinatarios normalmente solo ven el nombre para mostrar cuando ven los correos electrónicos en dispositivos móviles.


    Ejemplo de BEC de TeamViewer

    TeamViewer-BEC-Example.webp
    La visibilidad del lenguaje de las amenazas BEC está disponible a través de la Protección avanzada frente a ataques al electrónico empresarial de Mimecast

    En los dos ejemplos más frecuentes, los equipos de procesamiento de cuentas reciben una solicitud de factura de un dominio similar. En el cuerpo del correo electrónico se hace referencia al importe de la factura y la factura adjunta incluye los datos bancarios de los atacantes. La misma información de la cuenta bancaria aparece en ambas facturas. La factura parece estar basada en una factura legítima de TeamViewer que se puede encontrar fácilmente a través de Google.



    Factura de TeamViewer

    TeamViewer-Invoice.webp

    En el segundo ejemplo, el actor de la amenaza se hace pasar por una empresa de contratación legítima, enviando el correo electrónico desde un dominio legítimo comprometido (sin relación con ZipRecruiter).



    Ejemplo de BEC de ZipRecruiter

    ZipRecruiter-BEC-Example.webp

    La visibilidad del lenguaje de las amenazas BEC está disponible a través de la protección avanzada frente a ataques al electrónico empresarial de Mimecast



    Factura de ZipRecruiter

    ZipRecruiter Invoice.webp


    Protección de Mimecast

    Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección. Vea la página Protección avanzada frente a ataques al electrónico empresarial para obtener más información sobre cómo nuestras capacidades avanzadas de IA y procesamiento del lenguaje natural ayudan a detectar amenazas en evolución.

    Destinatarios:

    Global, principalmente sector inmobiliario y jurídico



    IOC:



    Dominios del remitente:

    teamviewing-dashboard[.]com
    collections-zoominfo[.]com



    Dominios de respuesta:

    reply-ms-suite[.]online
    accounting-zip-recruiting[.]com
    usazoominfo[.]com
    ar-pitchbook[.]com
    zoominfo[.]app



    Asuntos:

    unpaid-bill-inv1912701
    request-for-correction-of-double-charge
    payment-advice-notification
    re-invoice-12862843-for-ziprecruiter-subscription



    Recomendaciones

    • Realice sesiones de concienciación para los empleados sobre las tácticas de BEC y cómo identificar los intentos de phishing.
    • Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.
    • Implemente protocolos de verificación para cualquier correo electrónico inesperado o sospechoso que supuestamente provenga de ZipRecruiter y las otras marcas en esta notificación, especialmente aquellos que soliciten información confidencial o transacciones financieras.
    • Informe siempre de cualquier correo electrónico de phishing o estafa BEC a Mimecast o a su proveedor de seguridad de correo electrónico.


    Informe de estafas

    TeamViewer Germany GmbH es una empresa legítima de desarrollo de software. Lamentablemente, como ocurre a veces con empresas de larga trayectoria y éxito, el software o la marca son ocasionalmente blanco o objeto de uso indebido por parte de personas malintencionadas. TeamViewer se toma muy en serio la seguridad de sus clientes y ha implementado medidas sólidas para protegerse contra estafas y actividades fraudulentas. Si ha experimentado o sospecha de un caso de uso malintencionado de TeamViewer, póngase en contacto con el equipo de privacidad de TeamViewer a través del formulario «Report a Scam» (Denunciar una estafa) de esta página: https://www.teamviewer.com/en/report-a-scam/



    Mimecast está colaborando con TeamViewer para compartir información e indicadores técnicos relacionados con la campaña Business Email Compromise que está explotando activamente su identidad de marca.
    Back to Top