Mimecast Logo
Scan de M365 Obtenir un devis

    Menaces BEC basées sur des factures

    18 novembre 2024

    Points clés

    Ce que vous apprendrez dans cette notification

    Empêchez le paiement des factures frauduleuses ZipRecruiter et TeamViewer.

    • Ciblant principalement le secteur immobilier et juridique
    • Les attaquants créent des e-mails frauduleux qui semblent provenir de TeamViewer, ZipRecruiter et d'autres marques, en utilisant souvent des noms de domaine similaires ou de légères variations.
    • L'objectif est de faciliter les transferts d'argent non autorisés.

    Les chercheurs de Mimecast Threat ont détecté une augmentation des attaques de compromission des e-mails professionnels (BEC) ciblant spécifiquement le secteur immobilier à l’échelle mondiale. Les acteurs malveillants se font passer pour ZipRecruiter, TeamViewer, Zoom et d'autres produits afin de tromper les organisations et de les inciter à payer des factures pour des services, ce qui peut entraîner des pertes financières. Dans la plupart des cas, les e-mails proviennent d’un compte compromis, mais avec un domaine nouvellement observé dans l'adresse de réponse.



    Techniques psychologiques utilisées

    • Long fil de discussion avec l'approbation d'une personne de niveau supérieur (semble être envoyé à une adresse e-mail légitime) qui peut tromper l'employé pour qu'il effectue le paiement sans double vérification
    • Un sentiment d'urgence a été ajouté car la discussion dure depuis un certain temps et la facture est en cours de traitement
    • Une facture bien formulée est jointe


    Techniques communes

    • L'envoi d'e-mails à partir de comptes compromis garantit la réussite des contrôles d'authentification tels que SPF et DKIM.
    • Les nouvelles adresses de réponse de domaine sont généralement utilisées pour regrouper et gérer les réponses aux campagnes.
    • Les en-têtes d'e-mail contenant les champs « De » et « Répondre à » peuvent inclure des noms d'affichage qui masquent les adresses d'expéditeurs suspectes, car les destinataires ne voient généralement que le nom d'affichage lorsqu'ils consultent des e-mails sur des appareils mobiles.


    Exemple TeamViewer BEC

    TI-notification-javascript-captcha-obfuscation-img-01.webp

    One interesting aspect discovered involves keyboard and mouse interaction prevention, with malicious CAPTCHA pages including JavaScript that disables right-click functionality and blocks keyboard shortcuts commonly used for inspection (F12, Ctrl+Shift+I, Ctrl+U).



    TI-notification-javascript-captcha-obfuscation-img-02.webp

    Dans le deuxième exemple, l'acteur malveillant se fait passer pour une entreprise de recrutement légitime, envoyant l'email depuis un domaine légitime compromis (sans lien avec ZipRecruiter).



    Exemple BEC de ZipRecruiter

    Haut de la page