Mimecast Logo
Richiedi un preventivo

    Truffa BEC mirata

    17 dicembre 2024

    A cura del team di ricerca sulle minacce di Mimecast

    Punti principali

    Cosa imparerai in questa notifica

    Gli attori delle minacce utilizzano voci deepfake in una sofisticata campagna di impersonificazione di studi legali

    • Sofisticata campagna di compromissione delle email aziendali (BEC) che sfrutta DocuSign e Adobe Sign
    • Gli aggressori utilizzano i deepfake per conferire maggiore credibilità alle loro truffe
    • Rivolto principalmente ai settori bancario, dei servizi finanziari e delle assicurazioni

    Flusso della campagna

    Targeted-BEC-Campaign-flow.jpg

    I ricercatori di minacce di Mimecast hanno scoperto una campagna di compromissione delle email aziendali altamente mirata. La nostra analisi rivela tecniche sempre più sofisticate utilizzate per far sembrare legittime le email BEC.

    Email iniziale

    La campagna inizia con un'email inviata tramite servizi affidabili, come DocuSign e Adobe Sign, che falsamente afferma di provenire da uno studio legale. L'email richiede che il destinatario firmi un documento e chiami un numero di telefono fornito, che non è associato allo studio legale.

    Targeted-BEC-Scam-img1.webp

    Questa campagna sembra essere altamente mirata e i dettagli dello studio legale in queste email iniziali indicano che l'attore della minaccia potrebbe essere a conoscenza di un rapporto di lavoro con l'azienda bersaglio. Una volta che la vittima chiama il numero, parlerà con l'attore della minaccia che si spaccia per qualcuno di questo studio legale.

    Alla vittima viene quindi chiesto di inviare un'email a un indirizzo con un dominio simile a quello dello studio legale legittimo, instaurando un contatto email con questo indirizzo sospetto. Questo indirizzo verrà quindi utilizzato per ulteriori comunicazioni e considerato un mittente affidabile dalla vittima.

    I domini utilizzati nell'email iniziale, insieme a domini simili legati a studi legali, si affidano prevalentemente a Eranet International Limited per l'hosting e a Hostinger per i server dei nomi. Entrambi i fornitori hanno una storia di gravi abusi da parte di attori di minacce e svolgono un ruolo cruciale nell'attuale infrastruttura di questo attore di minacce.

    Comunicazione di follow-up

    Una volta stabilita la connessione, l'attore malevolo utilizza l'indirizzo sospetto per inviare una fattura fraudolenta richiedendo un pagamento. Per conferire ulteriore legittimità a questa campagna, la vittima riceverà in alcuni casi una telefonata deepfake tramite WhatsApp, impersonando un CEO o una persona autorizzata ad approvare il trasferimento. È probabile che gli importi richiesti siano alti e, in quanto, dovrebbero essere approvati con estrema cautela.

    Targeted-BEC-Scam-img2.webp

    I file condivisi con l'azienda presa di mira sembrano seguire un certo schema 

    Protezione Mimecast

    Abbiamo identificato diversi elementi nelle campagne che sono stati aggiunti alle nostre capacità di rilevamento. Vai sulla pagina Advanced BEC Protection per scoprire di più su come le nostre capacità avanzate di intelligenza artificiale e di elaborazione del linguaggio naturale aiutano a rilevare minacce in evoluzione.

    Obiettivi:

    Principalmente negli Stati Uniti e nel Regno Unito, nei settori bancario, dei servizi finanziari e delle assicurazioni.
    Sono stati rilevati anche esempi al di fuori di quelle regioni e settori.

    Indicatori di compromissione

    Dominio iniziale di risposta

    mail-sign[.]com
    n4a-doc[.]com
    doc-sign[.]net
    ds-sign[.]net
    mail-doc[.]net
    n4a-doc[.]net
    en1-docusign[.]net
    SS6-docusign[.]com
    en10-docusign[.]net
    sign-en1[.]com
    doc-docusign[.]com
    a-docusign[.]com
    7-docusign[.]com
    en2-docusign[.]com
    2-docusign[.]com
    en-docusign[.]com
    sign-doc[.]net
    sign-mail[.]com
    sign-acrobat[.]com
    doc-docusign[.]net
    8-docusign[.]com
    dse-sign[.]com
    dse-doc[.]net
    sign-n4a[.]net
    n4a-dse[.]net
    dse-n4a[.]net
    n4a-ds[.]com
    n2a-dse[.]com
    dse-n2a[.]net
    n2a-dse[.]net
    dse-n2a[.]com
    b-docusign[.]com
    ds-n4a[.]com
    sign-en3[.]com
    sign-en2[.]com
    n4a-sign[.]net
    mail-sign[.]net
    doctosign[.]tech


    Raccomandazioni

    • Conduci sessioni di sensibilizzazione per i dipendenti sulle tattiche BEC e su come identificare i tentativi di phishing.
    • Informa gli utenti finali del costante utilizzo di strumenti legittimi in campagne dannose.
    • Implementa protocolli di verifica per qualsiasi email inaspettata o sospetta presumibilmente proveniente da studi legali che usano Docusign o Adobe Sign, in particolare le email che richiedono informazioni sensibili o transazioni finanziarie.
    • Segnala sempre qualsiasi email di phishing o truffa BEC a Mimecast o al tuo provider di sicurezza email.

    Segnalazione di truffe

    Mimecast sta lavorando attivamente con servizi come Docusign per aiutare a contrastare l'uso improprio di questi servizi affidabili.

    Back to Top