Bedrohungen per Telefon

08. Juli 2024

Wichtige Punkte

• Über 1,6 Millionen Telefonbetrügereien in den letzten 30 Tagen aufgedeckt
• Um Rechnungen zu erstellen, werden Dienste wie Paypal, Docusign, Xero und Intuit missbraucht.
• Verwendung der Microsoft Distribution List (DL) zur Verteilung der Kampagne
• Callcenter setzen KI-Bots zur Unterstützung von Kampagnen ein

In den letzten 30 Tagen hat Mimecast mehr als 1,6 Millionen Telefonbetrügereien aufgedeckt. Diese Betrügereien nutzen in hohem Maße rechnungsbezogene Themen, indem sie legitime Dienste wie PayPal, Docusign, Xero und Intuit ausnutzen, um glaubwürdig zu erscheinen und die Opfer zu täuschen. Die Absicht dieser Betrügereien reicht vom Abfangen sensibler Informationen wie Anmeldedaten und Sozialversicherungsnummern bis hin zur Überredung der Opfer, unter dem Vorwand, kompromittierte Konten zu reparieren, Fernzugriff zu gewähren oder malware herunterzuladen.

In diesen jüngsten Beispielen hat Mimecast eine verstärkte Nutzung von Microsoft Distribution List (DL) zur Verteilung dieser Kampagnen beobachtet.

Ablauf der Kampagne

• Bedrohungsakteure beginnen mit der Erstellung von Microsoft DLs, die die E-Mail-Adressen ihrer Ziele enthalten. Sie melden sich dann bei Diensten wie PayPal an, um eine Rechnung zu erstellen, und ändern die Rechnungsnachricht so ab, dass sie eine Telefonnummer enthält, die die Opfer auffordert, anzurufen, wenn die Rechnung nicht korrekt ist.
• Die Rechnung wird dann an die DL-Adresse gesendet, die aus der legitimen PayPal-Adresse und -Infrastruktur stammt.
• Microsofts DLs können bis zu 100.000 E-Mail-Adressen verwalten; sobald die ersten Prüfungen von Microsoft durchgeführt wurden, werden sie an die externe E-Mail-Adresse im DL weitergeleitet. Um bei der Weiterleitung sicherzustellen, dass Prüfungen wie SPF und DMARC auf der Grundlage des ursprünglichen PayPal-Absenders korrekt durchgeführt werden, verwendet Microsoft sein Sender Rewriting Scheme (SRS), um die SMPT-Sendeadresse anzupassen.
• Das Ziel erhält die E-Mail von Microsoft mit bestandenen SPF- und DMARC-Prüfungen auf der Grundlage der ursprünglichen PayPal-E-Mail.
• Um den Betrug noch raffinierter zu gestalten, setzen Bedrohungsakteure in Callcentern KI-Bots ein, die Teile des Betrugs abwickeln und den gesamten Vorgang automatisieren.
• Das Opfer ruft die Telefonnummer an, um eine "menschliche" Erfahrung zu machen, die den Betrug realer erscheinen lässt.
• Sobald ein potenzielles Opfer gefunden wurde, zielt die Kampagne darauf ab, sensible Informationen und Zugangsdaten abzufangen, Fernzugriff zu gewähren oder malware herunterzuladen, um die potenziell gefährdeten Konten zu reparieren.

Angesichts der Raffinesse und Automatisierung durch KI-Bots gehen wir davon aus, dass telefonbasierte Bedrohungen zunehmen werden. In dem Maße, wie sich diese Taktiken weiterentwickeln, dürften Umfang und Auswirkungen solcher Betrügereien zunehmen, was für Einzelpersonen und Unternehmen ein noch größeres Risiko darstellt.

Zielvorgaben:

US konzentriert, alle Sektoren

IOCs: