Mimecast Logo
Obtenir un devis

    Escroquerie BEC ciblée

    17 décembre 2024

    Par l'équipe de recherche sur les menaces de Mimecast

    Points clés

    Ce que vous apprendrez dans cette notification

    Des acteurs malveillants utilisent des deepfakes vocaux dans une campagne sophistiquée d'usurpation d'identité visant un cabinet d'avocats.

    • Campagne sophistiquée de compromission des Business Email (BEC) exploitant DocuSign et Adobe Sign
    • Les attaquants utilisent des deepfakes pour ajouter de la crédibilité à leurs arnaques
    • Ciblant principalement les secteurs de la banque, des services financiers et des assurances

    Flux de campagne

    Targeted-BEC-Campaign-flow.jpg

    Les chercheurs de Mimecast ont découvert une campagne de compromission de Business Email très ciblée. Notre analyse révèle l'utilisation de techniques de plus en plus sophistiquées pour donner une apparence légitime aux e-mails BEC.

    E-mail initial

    La campagne débute par un courriel envoyé par des services de confiance, tels que DocuSign et Adobe Sign, prétendant à tort provenir d'un cabinet d'avocats. Le courriel demande au destinataire de signer un document et d'appeler un numéro de téléphone fourni, qui n'est pas associé au cabinet d'avocats.

    Targeted-BEC-Scam-img1.webp

    Cette campagne semble être très ciblée, et les coordonnées du cabinet d’avocats dans ces premiers e-mails indiquent que l’acteur de la menace peut avoir une connaissance préalable d’une relation de travail avec l’entreprise ciblée. Lorsque la victime appelle le numéro, elle s'adresse à l'auteur de la menace qui se fait passer pour un membre de ce cabinet d'avocats.

    La victime est ensuite invitée à envoyer un e-mail à une adresse dont le domaine ressemble à celui du cabinet d'avocats légitime, créant ainsi une relation d'e-mail avec cette adresse suspecte, qui sera ensuite utilisée pour des communications ultérieures en tant qu'expéditeur de confiance pour cet utilisateur.

    Les domaines utilisés dans l'e-mail initial, ainsi que des domaines similaires liés à des cabinets d'avocats, dépendent principalement d'Eranet International Limited pour l'hébergement et de Hostinger pour leurs serveurs de noms. Ces deux fournisseurs ont déjà fait l'objet d'abus importants de la part d'acteurs de la menace et jouent un rôle crucial dans l'infrastructure actuelle de cet acteur de la menace.

    Communication de suivi

    Une fois la connexion établie, l'acteur malveillant utilise l'adresse suspecte pour envoyer une facture frauduleuse exigeant un paiement. Pour renforcer la légitimité de cette campagne, la victime recevra dans certains cas un appel téléphonique deepfake via WhatsApp, imitant un PDG ou une personne autorisée à approuver le transfert. Les montants demandés sont susceptibles d'être significatifs et doivent être traités avec une extrême prudence.

    Targeted-BEC-Scam-img2.webp

    Les fichiers partagés avec l'entreprise cible semblent également présenter un certain nombre de caractéristiques. 

    Protection Mimecast

    Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection. Consultez la page Protection BEC avancée pour en savoir plus sur la façon dont nos capacités avancées d'IA et de traitement du langage naturel aident à détecter les menaces en constante évolution.

    Ciblage :

    Principalement aux États-Unis et au Royaume-Uni, dans les secteurs de la banque, des services financiers et de l'assurance.
    Des détections en dehors de ces régions et de ces secteurs ont également été détectées.

    CIO

    Domaine de réponse initial

    mail-sign[.]com
    n4a-doc[.]com
    doc-sign[.]net
    ds-sign[.]net
    mail-doc[.]net
    n4a-doc[.]net
    en1-docusign[.]net
    6-docusign[.]com
    en10-docusign[.]net
    sign-en1[.]com
    doc-docusign[.]com
    a-docusign[.]com
    7-docusign[.]com
    en2-docusign[.]com
    2-docusign[.]com
    en-docusign[.]com
    sign-doc[.]net
    sign-mail[.]com
    sign-acrobat[.]com
    doc-docusign[.]net
    8-docusign[.]com
    dse-sign[.]com
    dse-doc[.]net
    sign-n4a[.]net
    n4a-dse[.]net
    dse-n4a[.]net
    n4a-ds[.]com
    n2a-dse[.]com
    dse-n2a[.]net
    n2a-dse[.]net
    dse-n2a[.]com
    b-docusign[.]com
    ds-n4a[.]com
    sign-en3[.]com
    sign-en2[.]com
    n4a-sign[.]net
    mail-sign[.]net
    doctosign[.]tech


    Recommandations

    • Organisez des séances de sensibilisation pour les employés sur les tactiques BEC et sur la manière d’identifier les tentatives de phishing.
    • Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.
    • Mettez en œuvre des protocoles de vérification pour tout courriel inattendu ou suspect prétendument envoyé par des cabinets d'avocats utilisant Docusign et Adobe Sign, notamment ceux qui demandent des informations sensibles ou des transactions financières.
    • Signalez toujours tout e-mail de phishing ou d'escroquerie BEC à Mimecast ou à votre fournisseur de sécurité des e-mails.

    Signalement de fraude

    Mimecast collabore activement avec des services tels que DocuSign pour aider à combattre l'utilisation abusive de ces services de confiance.

    Haut de la page