Mimecast Logo
M365 Threat Scan Angebot einholen

    Auf Rechnungen basierende BEC-Bedrohungen

    18. November 2024

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    Verhindern Sie die Bezahlung betrügerischer Rechnungen von ZipRecruiter und TeamViewer.

    • Zielgruppen sind vor allem die Immobilien- und Rechtsbranche
    • Die Angreifer erstellen betrügerische E-Mails, die scheinbar von TeamViewer, ZipRecruiter und anderen Marken stammen, oft unter Verwendung ähnlicher Domainnamen oder leichter Variationen
    • Ziel ist es, nicht autorisierte Geldtransfers zu erleichtern.

    Die Bedrohungsforscher von Mimecast haben einen Anstieg von BEC-Angriffen (Business Email Compromise) festgestellt, die speziell auf den Immobiliensektor weltweit abzielen. Bedrohungsakteure geben sich als ZipRecruiter, TeamViewer, Zoom und andere Produkte aus, um Unternehmen zur Zahlung von Rechnungen für Dienstleistungen zu verleiten, was zu finanziellen Verlusten führen kann. In den meisten Fällen stammen die E-Mails von einem kompromittierten Konto, aber mit einer neu beobachteten Domäne in der Antwortadresse.



    Angewendete psychologische Tricks

    • Langer Thread mit der Genehmigung durch einen leitenden Angestellten (scheint an die legitime E-Mail-Adresse zu gehen), der den Angestellten dazu verleiten kann, die Zahlung ohne doppelte Überprüfung vorzunehmen
    • Dringlichkeit hinzugefügt, da das Thema schon seit einiger Zeit läuft und die Rechnung verfolgt wurde
    • Eine gut formulierte Rechnung liegt bei


    Allgemeine Techniken

    • Der Versand von E-Mails von kompromittierten Konten stellt sicher, dass Authentifizierungsprüfungen wie SPF und DKIM bestanden werden.
    • Neue Domain-Antworten werden normalerweise verwendet, um die Antworten auf Kampagnen zu gruppieren und zu verwalten.
    • E-Mail-Kopfzeilen mit den Feldern "Von" und "Antwort an" können Anzeigenamen enthalten, die verdächtige Absenderadressen verschleiern, da die Empfänger in der Regel nur den Anzeigenamen sehen, wenn sie E-Mails auf mobilen Geräten anzeigen.


    TeamViewer BEC Beispiel

    TeamViewer-BEC-Example.webp
    Mimecast Advanced BEC Protection bietet Einblick in die Sprache der BEC-Bedrohung

    In den beiden häufigsten Beispielen werden die Buchhaltungsteams mit einer Rechnungsanforderung von einer ähnlich aussehenden Domain angesprochen. Der Rechnungsbetrag wird im E-Mail-Text genannt, und die angehängte Rechnung enthält die Bankverbindung des Angreifers. Beide Rechnungen enthalten dieselben Bankkontoinformationen. Die Rechnung scheint auf einer legitimen TeamViewer-Rechnung zu basieren, die leicht über Google gefunden werden kann.



    TeamViewer-Rechnung

    TeamViewer-Invoice.webp

    Im zweiten Beispiel gibt sich der Bedrohungsakteur als seriöses Personalvermittlungsunternehmen aus und sendet die E-Mail von einer kompromittierten seriösen Domain (die nichts mit ZipRecruiter zu tun hat).



    ZipRecruiter BEC Beispiel

    ZipRecruiter-BEC-Example.webp

    Mimecast Advanced BEC Protection bietet Einblick in die Sprache der BEC-Bedrohung



    ZipRecruiter-Rechnung

    ZipRecruiter Invoice.webp


    Mimecast-Schutz

    Wir haben in den Kampagnen mehrere Attribute identifiziert, die zu unseren Erkennungsfähigkeiten hinzugefügt wurden. Auf der Seite Erweiterter BEC-Schutz erfahren Sie mehr darüber, wie unsere fortschrittlichen KI- und Natural Language Processing-Funktionen bei der Erkennung sich entwickelnder Bedrohungen helfen.

    Zielsetzung:

    Global, überwiegend Immobilien- und Rechtsbranche



    IOCs:



    Absender-Domains:

    teamviewing-anzeiger[.]com
    sammlungen-zoominfo[.]com



    Antwort an Domains:

    antwort-ms-suite[.]online
    buchhaltung-zip-recruiting[.]com
    usazoominfo[.]com
    ar-pitchbook[.]com
    zoominfo[.]app



    Themen:

    unpaid-bill-inv1912701
    Antrag auf Berichtigung einer Doppelabrechnung
    zahlungsaufforderung-benachrichtigung
    erneute-rechnung-12862843-für-ziprecruiter-abonnement



    Empfehlungen

    • Sensibilisierung der Mitarbeiter für BEC-Taktiken und für die Erkennung von Phishing-Versuchen.
    • Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.
    • Führen Sie Überprüfungsprotokolle für alle unerwarteten oder verdächtigen E-Mails ein, die angeblich von ZipRecruiter und den anderen in dieser Meldung genannten Marken stammen, insbesondere für solche, in denen sensible Informationen oder finanzielle Transaktionen verlangt werden.
    • Melden Sie jede Phishing- oder BEC-Betrugs-E-Mail an Mimecast oder Ihren E-Mail-Sicherheitsanbieter.


    Betrugsmeldung

    Die TeamViewer Germany GmbH ist ein seriöses Softwareentwicklungsunternehmen. Leider wird die Software oder die Marke, wie es manchmal bei langjährigen und erfolgreichen Unternehmen der Fall ist, gelegentlich von bösartigen Akteuren ins Visier genommen oder missbraucht. TeamViewer nimmt die Sicherheit seiner Kunden sehr ernst und hat robuste Maßnahmen zum Schutz vor Betrug und betrügerischen Aktivitäten eingeführt. Wenn Sie einen Fall von böswilliger Nutzung von TeamViewer erlebt haben oder vermuten, wenden Sie sich bitte an das TeamViewer-Datenschutzteam über das Formular "Report a Scam" auf dieser Seite: https://www.teamviewer.com/en/report-a-scam/



    Mimecast arbeitet mit TeamViewer zusammen, um Informationen und technische Indikatoren im Zusammenhang mit der Business Email Compromise-Kampagne auszutauschen, die aktiv die Markenidentität des Unternehmens ausnutzt.
    Zurück zum Anfang