Mimecast Logo
M365 Threat Scan Angebot einholen

    Auf Rechnungen basierende BEC-Bedrohungen

    18. November 2024

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    Verhindern Sie die Bezahlung betrügerischer Rechnungen von ZipRecruiter und TeamViewer.

    • Zielgruppen sind vor allem die Immobilien- und Rechtsbranche
    • Die Angreifer erstellen betrügerische E-Mails, die scheinbar von TeamViewer, ZipRecruiter und anderen Marken stammen, oft unter Verwendung ähnlicher Domainnamen oder leichter Variationen
    • Ziel ist es, nicht autorisierte Geldtransfers zu erleichtern.

    Die Bedrohungsforscher von Mimecast haben einen Anstieg von BEC-Angriffen (Business Email Compromise) festgestellt, die speziell auf den Immobiliensektor weltweit abzielen. Bedrohungsakteure geben sich als ZipRecruiter, TeamViewer, Zoom und andere Produkte aus, um Unternehmen zur Zahlung von Rechnungen für Dienstleistungen zu verleiten, was zu finanziellen Verlusten führen kann. In den meisten Fällen stammen die E-Mails von einem kompromittierten Konto, aber mit einer neu beobachteten Domäne in der Antwortadresse.



    Angewendete psychologische Tricks

    • Langer Thread mit der Genehmigung durch einen leitenden Angestellten (scheint an die legitime E-Mail-Adresse zu gehen), der den Angestellten dazu verleiten kann, die Zahlung ohne doppelte Überprüfung vorzunehmen
    • Dringlichkeit hinzugefügt, da das Thema schon seit einiger Zeit läuft und die Rechnung verfolgt wurde
    • Eine gut formulierte Rechnung liegt bei


    Allgemeine Techniken

    • Der Versand von E-Mails von kompromittierten Konten stellt sicher, dass Authentifizierungsprüfungen wie SPF und DKIM bestanden werden.
    • Neue Domain-Antworten werden normalerweise verwendet, um die Antworten auf Kampagnen zu gruppieren und zu verwalten.
    • E-Mail-Kopfzeilen mit den Feldern "Von" und "Antwort an" können Anzeigenamen enthalten, die verdächtige Absenderadressen verschleiern, da die Empfänger in der Regel nur den Anzeigenamen sehen, wenn sie E-Mails auf mobilen Geräten anzeigen.


    TeamViewer BEC Beispiel

    TI-notification-booking.com-01.webp TI-notification-booking.com-02.webp
    Mimecast Advanced BEC Protection bietet Einblick in die Sprache der BEC-Bedrohung

    In den beiden häufigsten Beispielen werden die Buchhaltungsteams mit einer Rechnungsanforderung von einer ähnlich aussehenden Domain angesprochen. Der Rechnungsbetrag wird im E-Mail-Text genannt, und die angehängte Rechnung enthält die Bankverbindung des Angreifers. Beide Rechnungen enthalten dieselben Bankkontoinformationen. Die Rechnung scheint auf einer legitimen TeamViewer-Rechnung zu basieren, die leicht über Google gefunden werden kann.



    TeamViewer-Rechnung

    TI-notification-booking.com-03.webp

    Im zweiten Beispiel gibt sich der Bedrohungsakteur als seriöses Personalvermittlungsunternehmen aus und sendet die E-Mail von einer kompromittierten seriösen Domain (die nichts mit ZipRecruiter zu tun hat).



    ZipRecruiter BEC Beispiel

    TI-notification-booking.com-04.webp

    Mimecast Advanced BEC Protection bietet Einblick in die Sprache der BEC-Bedrohung



    ZipRecruiter-Rechnung

    Zurück zum Anfang