Auf Rechnungen basierende BEC-Bedrohungen

18. November 2024

Die Bedrohungsforscher von Mimecast haben einen Anstieg von BEC-Angriffen (Business Email Compromise) festgestellt, die speziell auf den Immobiliensektor weltweit abzielen. Bedrohungsakteure geben sich als ZipRecruiter, TeamViewer, Zoom und andere Produkte aus, um Unternehmen zur Zahlung von Rechnungen für Dienstleistungen zu verleiten, was zu finanziellen Verlusten führen kann. In den meisten Fällen stammen die E-Mails von einem kompromittierten Konto, aber mit einer neu beobachteten Domäne in der Antwortadresse.

Angewendete psychologische Tricks

• Langer Thread mit der Genehmigung durch einen leitenden Angestellten (scheint an die legitime E-Mail-Adresse zu gehen), der den Angestellten dazu verleiten kann, die Zahlung ohne doppelte Überprüfung vorzunehmen
• Dringlichkeit hinzugefügt, da das Thema schon seit einiger Zeit läuft und die Rechnung verfolgt wurde
• Eine gut formulierte Rechnung liegt bei

Allgemeine Techniken

• Der Versand von E-Mails von kompromittierten Konten stellt sicher, dass Authentifizierungsprüfungen wie SPF und DKIM bestanden werden.
• Neue Domain-Antworten werden normalerweise verwendet, um die Antworten auf Kampagnen zu gruppieren und zu verwalten.
• E-Mail-Kopfzeilen mit den Feldern "Von" und "Antwort an" können Anzeigenamen enthalten, die verdächtige Absenderadressen verschleiern, da die Empfänger in der Regel nur den Anzeigenamen sehen, wenn sie E-Mails auf mobilen Geräten anzeigen.

TeamViewer BEC Beispiel

One interesting aspect discovered involves keyboard and mouse interaction prevention, with malicious CAPTCHA pages including JavaScript that disables right-click functionality and blocks keyboard shortcuts commonly used for inspection (F12, Ctrl+Shift+I, Ctrl+U).

Im zweiten Beispiel gibt sich der Bedrohungsakteur als seriöses Personalvermittlungsunternehmen aus und sendet die E-Mail von einer kompromittierten seriösen Domain (die nichts mit ZipRecruiter zu tun hat).

ZipRecruiter BEC Beispiel