Menaces BEC basées sur des factures
18 novembre 2024
Ce que vous apprendrez dans cette notification
Empêchez le paiement des factures frauduleuses ZipRecruiter et TeamViewer.
- Ciblant principalement le secteur immobilier et juridique
- Les attaquants créent des e-mails frauduleux qui semblent provenir de TeamViewer, ZipRecruiter et d'autres marques, en utilisant souvent des noms de domaine similaires ou de légères variations.
- L'objectif est de faciliter les transferts d'argent non autorisés.
Les chercheurs de Mimecast Threat ont détecté une augmentation des attaques de compromission des e-mails professionnels (BEC) ciblant spécifiquement le secteur immobilier à l’échelle mondiale. Les acteurs malveillants se font passer pour ZipRecruiter, TeamViewer, Zoom et d'autres produits afin de tromper les organisations et de les inciter à payer des factures pour des services, ce qui peut entraîner des pertes financières. Dans la plupart des cas, les e-mails proviennent d’un compte compromis, mais avec un domaine nouvellement observé dans l'adresse de réponse.
Techniques psychologiques utilisées
- Long fil de discussion avec l'approbation d'une personne de niveau supérieur (semble être envoyé à une adresse e-mail légitime) qui peut tromper l'employé pour qu'il effectue le paiement sans double vérification
- Un sentiment d'urgence a été ajouté car la discussion dure depuis un certain temps et la facture est en cours de traitement
- Une facture bien formulée est jointe
Techniques communes
- L'envoi d'e-mails à partir de comptes compromis garantit la réussite des contrôles d'authentification tels que SPF et DKIM.
- Les nouvelles adresses de réponse de domaine sont généralement utilisées pour regrouper et gérer les réponses aux campagnes.
- Les en-têtes d'e-mail contenant les champs « De » et « Répondre à » peuvent inclure des noms d'affichage qui masquent les adresses d'expéditeurs suspectes, car les destinataires ne voient généralement que le nom d'affichage lorsqu'ils consultent des e-mails sur des appareils mobiles.
Exemple TeamViewer BEC
Dans les deux exemples les plus fréquents, les équipes chargées du traitement des comptes sont ciblées par une demande de facture émanant d'un domaine similaire. Le montant de la facture est indiqué dans le corps du message et la facture jointe contient les coordonnées du compte bancaire de l'attaquant. Les mêmes informations bancaires figurent sur les deux factures. La facture semble être basée sur une facture TeamViewer légitime, facilement accessible via Google.
Facture TeamViewer
Dans le deuxième exemple, l'acteur malveillant se fait passer pour une entreprise de recrutement légitime, envoyant l'email depuis un domaine légitime compromis (sans lien avec ZipRecruiter).
Exemple BEC de ZipRecruiter
La visibilité du langage des menaces BEC est disponible grâce à la Protection BEC avancée Mimecast
Facture ZipRecruiter
Protection Mimecast
Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection. Consultez la page Advanced BEC Protection pour en savoir plus sur la manière dont nos capacités avancées d'IA et de traitement du langage naturel aident à détecter les menaces en évolution.
Ciblage :
Industrie mondiale, principalement dans l'immobilier et le secteur juridique
CIO :
Domaines d'expéditeurs :
teamviewing-dashboard[.]com
collections-zoominfo[.]com
Domaines de réponse :
reply-ms-suite[.]online
accounting-zip-recruiting[.]com
usazoominfo[.]com
ar-pitchbook[.]com
zoominfo[.]app
Sujets :
unpaid-bill-inv1912701
request-for-correction-of-double-charge
payment-advice-notification
re-invoice-12862843-for-ziprecruiter-subscription
Recommandations
- Organisez des séances de sensibilisation pour les employés sur les tactiques BEC et sur la manière d’identifier les tentatives de phishing.
- Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.
- Mettez en œuvre des protocoles de vérification pour tout e-mail électronique inattendu ou suspect provenant prétendument de ZipRecruiter et des autres marques de cette notification, en particulier ceux demandant des informations sensibles ou des transactions financières.
- Signalez toujours tout e-mail de phishing ou d'escroquerie BEC à Mimecast ou à votre fournisseur de sécurité des e-mails.
Signalement de fraude
TeamViewer Germany GmbH est une société de développement de logiciels légitime. Malheureusement, comme c'est parfois le cas pour les entreprises anciennes et prospères, le logiciel ou la marque sont parfois pris pour cible ou utilisés à mauvais escient par des acteurs malveillants. TeamViewer prend la sécurité de ses clients très au sérieux et a mis en place des mesures solides pour se protéger contre les escroqueries et les activités frauduleuses. Si vous avez été témoin ou soupçonnez une utilisation malveillante de TeamViewer, veuillez contacter l'équipe de protection de la vie privée de TeamViewer via le formulaire « Signaler une escroquerie » sur cette page : https://www.teamviewer.com/en/report-a-scam/.
Mimecast collabore avec TeamViewer pour partager des renseignements et des indicateurs techniques concernant la campagne de Business Email Compromise, qui exploite activement l'identité de leur marque.
Mimecast Protection
We have identified several attributes in the recent campaigns which have been added to our detection capabilities. We continue to monitor for changes in techniques used within SVG files.
Targets:
Global, all industries
IOC’s
Subjects:New Voice Message from Accounts Payable Available To Listen Action Required-Important Crediential Notification
Domains used in phishing page:
jihancock[.]sterliingasi[.]com
aqra[.]qdjcpol[.]ru
si3[.]kpvjzzh[.]es
testing[.]lannaathai[.]org
jutebagbd[.]com
ceimatarials[.]com
03b23e85b7de4d5389af11db025c4ee2387446d17217ac569485784d3de8b15a 27f81fc31fff3171545925224a53014644e3b3ea0a1ccec508e3a576816fa7e4 5ef2acf3419a3088fa8096f87b2a186bc06c0e9157dcbb7a57da20cf83926c19 78ea3ffd759f8404331b40b1167aec64b723ecdad43dfc807fa398bbc403b485 75a69423bf73f9ade0235d24d46b341d6d1e74e7bd8f851ee3d6f4e9462da0cd
Recommendations
- Assess SVG attachment requirements
- Audit and identify legitimate business uses for SVG file attachments
- Adjust your Mimecast Attachment Management policy to specifically block or quarantine attachments with the .svg extension - Consider configuring granular rules based on sender domains, allowing SVGs only from trusted partners if business-critical
- Train users to never open attachments from unknown or unverified senders
- Implement a policy requiring verification of the sender via an alternative communication channel before opening unexpected attachments
- User security awareness training
- Develop specific training modules demonstrating the risks of SVG-based phishing attacks
- Conduct regular phishing simulations that include SVG-based attack scenarios
- Proactive threat hunting
- Search email receipt logs using specific filters for the phishing subject lines
- Review your web security logs daily, focusing on connections to the identified phishing domains