Mimecast Logo
Scan de M365 Obtenir un devis

    Menaces BEC basées sur des factures

    18 novembre 2024

    Points clés

    Ce que vous apprendrez dans cette notification

    Empêchez le paiement des factures frauduleuses ZipRecruiter et TeamViewer.

    • Ciblant principalement le secteur immobilier et juridique
    • Les attaquants créent des e-mails frauduleux qui semblent provenir de TeamViewer, ZipRecruiter et d'autres marques, en utilisant souvent des noms de domaine similaires ou de légères variations.
    • L'objectif est de faciliter les transferts d'argent non autorisés.

    Les chercheurs de Mimecast Threat ont détecté une augmentation des attaques de compromission des e-mails professionnels (BEC) ciblant spécifiquement le secteur immobilier à l’échelle mondiale. Les acteurs malveillants se font passer pour ZipRecruiter, TeamViewer, Zoom et d'autres produits afin de tromper les organisations et de les inciter à payer des factures pour des services, ce qui peut entraîner des pertes financières. Dans la plupart des cas, les e-mails proviennent d’un compte compromis, mais avec un domaine nouvellement observé dans l'adresse de réponse.



    Techniques psychologiques utilisées

    • Long fil de discussion avec l'approbation d'une personne de niveau supérieur (semble être envoyé à une adresse e-mail légitime) qui peut tromper l'employé pour qu'il effectue le paiement sans double vérification
    • Un sentiment d'urgence a été ajouté car la discussion dure depuis un certain temps et la facture est en cours de traitement
    • Une facture bien formulée est jointe


    Techniques communes

    • L'envoi d'e-mails à partir de comptes compromis garantit la réussite des contrôles d'authentification tels que SPF et DKIM.
    • Les nouvelles adresses de réponse de domaine sont généralement utilisées pour regrouper et gérer les réponses aux campagnes.
    • Les en-têtes d'e-mail contenant les champs « De » et « Répondre à » peuvent inclure des noms d'affichage qui masquent les adresses d'expéditeurs suspectes, car les destinataires ne voient généralement que le nom d'affichage lorsqu'ils consultent des e-mails sur des appareils mobiles.


    Exemple TeamViewer BEC

    TeamViewer-BEC-Example.webp
    La visibilité de la langue de la menace BEC est disponible grâce à la protection BEC avancée de Mimecast.

    Dans les deux exemples les plus fréquents, les équipes chargées du traitement des comptes sont ciblées par une demande de facture émanant d'un domaine similaire. Le montant de la facture est indiqué dans le corps du message et la facture jointe contient les coordonnées du compte bancaire de l'attaquant. Les mêmes informations bancaires figurent sur les deux factures. La facture semble être basée sur une facture TeamViewer légitime, facilement accessible via Google.



    Facture TeamViewer

    TeamViewer-Invoice.webp

    Dans le deuxième exemple, l'acteur malveillant se fait passer pour une entreprise de recrutement légitime, envoyant l'email depuis un domaine légitime compromis (sans lien avec ZipRecruiter).



    Exemple BEC de ZipRecruiter

    ZipRecruiter-BEC-Example.webp

    La visibilité du langage des menaces BEC est disponible grâce à la Protection BEC avancée Mimecast



    Facture ZipRecruiter

    ZipRecruiter Invoice.webp


    Protection Mimecast

    Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection. Consultez la page Advanced BEC Protection pour en savoir plus sur la manière dont nos capacités avancées d'IA et de traitement du langage naturel aident à détecter les menaces en évolution.

    Ciblage :

    Industrie mondiale, principalement dans l'immobilier et le secteur juridique



    CIO :



    Domaines d'expéditeurs :

    teamviewing-dashboard[.]com
    collections-zoominfo[.]com



    Domaines de réponse :

    reply-ms-suite[.]online
    accounting-zip-recruiting[.]com
    usazoominfo[.]com
    ar-pitchbook[.]com
    zoominfo[.]app



    Sujets :

    unpaid-bill-inv1912701
    request-for-correction-of-double-charge
    payment-advice-notification
    re-invoice-12862843-for-ziprecruiter-subscription



    Recommandations

    • Organisez des séances de sensibilisation pour les employés sur les tactiques BEC et sur la manière d’identifier les tentatives de phishing.
    • Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.
    • Mettez en œuvre des protocoles de vérification pour tout e-mail électronique inattendu ou suspect provenant prétendument de ZipRecruiter et des autres marques de cette notification, en particulier ceux demandant des informations sensibles ou des transactions financières.
    • Signalez toujours tout e-mail de phishing ou d'escroquerie BEC à Mimecast ou à votre fournisseur de sécurité des e-mails.


    Signalement de fraude

    TeamViewer Germany GmbH est une société de développement de logiciels légitime. Malheureusement, comme c'est parfois le cas pour les entreprises anciennes et prospères, le logiciel ou la marque sont parfois pris pour cible ou utilisés à mauvais escient par des acteurs malveillants. TeamViewer prend la sécurité de ses clients très au sérieux et a mis en place des mesures solides pour se protéger contre les escroqueries et les activités frauduleuses. Si vous avez été témoin ou soupçonnez une utilisation malveillante de TeamViewer, veuillez contacter l'équipe de protection de la vie privée de TeamViewer via le formulaire « Signaler une escroquerie » sur cette page : https://www.teamviewer.com/en/report-a-scam/.



    Mimecast collabore avec TeamViewer pour partager des renseignements et des indicateurs techniques concernant la campagne de Business Email Compromise, qui exploite activement l'identité de leur marque.
    Haut de la page