Sonntag, Dezember 4, 2022

Überprüfen Sie Zahlungs-E-Mails von Anwaltskanzleien noch einmal – überzeugende Fälschungen tauchen auf

Eine neue Bedrohungsgruppe namens Crimson Kingsnake gibt sich als echte Anwaltskanzleien und Inkassodienste aus, um Unternehmen einzuschüchtern, damit sie gefälschte überfällige Rechnungen bezahlen.

Die Business Email Compromise (BEC)-Kampagne der Cybercrime-Bande zielt auf Marken in den Vereinigten Staaten, Europa, Australien und dem Nahen Osten ab, indem sie blinde Identitätsfälschungstaktiken von Drittanbietern über E-Mail-Adressen verwendet, die auf Domains gehostet werden, die den echten Domains der Unternehmen und von ihnen sehr ähnlich sind Senden von E-Mails, die die echte Adresse und die Umsatzsteuer-Identifikationsnummer der imitierten Unternehmen enthalten.

All dies dient laut Forschern der Cloud-E-Mail-Sicherheitsfirma Abnormal Security dazu, die Legitimität der Nachrichten zu stärken. Die E-Mails sehen echt aus, und wenn die Opfer die Namen der Anwälte oder Anwaltskanzleien googelten, würden sie legitim erscheinen.

Forscher von Abnormal Security sagen in einem Bericht, dass sie seit März 92 mit Crimson Kingsnake verknüpfte Domains entdeckt haben, die die Domains von 19 Gesetzesadlern und Inkassobüros in den USA, Großbritannien und Australien imitieren. Viele der Unternehmen seien „große multinationale Praxen mit globaler Präsenz“, schreiben sie.

Die Crimson Kingsnake-Kampagne ist Teil der wachsenden Bedrohung durch BEC-Angriffe. In einem Bericht über E-Mail-Bedrohungen im ersten Halbjahr stellte Abnormal Security fest, dass BEC-Angriffe im Jahresvergleich um 84 % zugenommen haben. Die Sicherheitsfirma fügte hinzu, dass BEC im Vergleich zu anderen Arten von Betrug nach wie vor ein Problem mit geringem Volumen ist – weniger als einer pro 1.000 Postfächer –, aber es führte auch zu Verlusten in Höhe von fast 2,4 Milliarden US-Dollar im Jahr 2021.

Diese Zahl spiegelt wider, was das FBI Anfang dieses Jahres berichtete und hinzufügte, dass es im Jahr 2021 fast 20.000 BEC-Todesfälle gab.

Blinde Imitationsangriffe Dritter sind eine Untergruppe von BECs – abgesehen von denen, an denen interne Mitarbeiter beteiligt sind – und machten laut Abnormal Security im ersten Halbjahr 2022 mehr als die Hälfte aller BEC-Angriffe aus.

„Im Gegensatz zu anderen Formen der finanziellen Lieferkettenkompromittierung haben blinde Identitätsangriffe Dritter keinen direkten Einblick in Lieferanten-Kunden-Beziehungen oder Finanztransaktionen und verlassen sich stattdessen auf die Wirksamkeit von reinem Social Engineering, um erfolgreich zu sein“, schreiben die Forscher. „Die Betrüger hinter blinden Imitationsangriffen verlassen sich auf die Hoffnung, dass ein Ziel, wie so viele andere Arten von Social-Engineering-Angriffen, der E-Mail nicht viel Aufmerksamkeit schenkt und der Aufforderung einfach nachkommt.“

Die Angreifer bestätigen dies mit gefälschten Rechnungen, die echt erscheinen und Bankkontoinformationen und echte Details der Organisation enthalten, die sie vorgeben. Einige gehen sogar so weit, gefälschte E-Mail-Ketten mit den Namen und Adressen der Mitarbeiter des Opfers zu erstellen.

In einem Beispiel aus der Crimson Kingsnake-Kampagne erhielt ein Unternehmen eine E-Mail von einem Anwalt von Simon and Cromwell, einer internationalen Anwaltskanzlei mit Sitz in New York, mit „unbezahlte Rechnung“ in der Betreffzeile. In der Nachricht heißt es, dass der Anwalt einen Mandanten vertrete und „einer unbezahlten Rechnung nachjage, die an Ihre Firma ausgestellt wurde. Mir wurde geraten, Sie diesbezüglich zu kontaktieren, und ich hoffe, Sie können dies so schnell wie möglich lösen.“

Wenn ein Ziel auf die E-Mail antwortet, sendet die Bedrohungsgruppe eine gefälschte PDF-Rechnung, die Zahlungskontoinformationen, eine falsche Angabe der erbrachten Dienstleistungen, den geschuldeten Gesamtbetrag und das Logo der Anwaltskanzlei enthält. Es gibt eine Rechnungsnummer, eine Kontoreferenznummer, Bankkontodaten und die tatsächliche Umsatzsteuer-ID des Unternehmens, die eine eindeutige Nummer für ein steuerpflichtiges oder nicht steuerpflichtiges Unternehmen ist. Umsatzsteuernummern werden in Großbritannien, Europa, Australien und Teilen Asiens verwendet.

Teilweise enthalten die Rechnungen auch Angaben zu Ansprechpartnern bei Fragen und eine „Rechtemitteilung“. Die Details und die Komplexität der Rechnungen könnten bedeuten, dass Crimson Kingsnake geänderte Versionen der legitimen Rechnungen der imitierten Unternehmen verwendet, schrieben die Forscher.

Sie fügten hinzu, dass einige der von ihnen gesammelten Informationen ihnen sagen, dass sich zumindest einige der Mitglieder der Bedrohungsgruppe möglicherweise in Großbritannien aufhalten.

Wenn ein betroffener Mitarbeiter die Rechnung in Frage stellt, sendet die Bedrohungsgruppe manchmal eine weitere gefälschte E-Mail, angeblich von einer Führungskraft im Unternehmen des Mitarbeiters, in der die Legitimität der Rechnung geklärt wird – manchmal unter Bezugnahme auf eine angeblich Monate zuvor erfolgte Aktion – und die Zahlung autorisiert wird.

Während die E-Mail der imitierten Führungskraft von einer von Crimson Kingsnake kontrollierten Domäne gesendet wird, enthält der Anzeigename die E-Mail-Adresse der Führungskraft in Klammern, was den Eindruck erweckt, dass sie von einer legitimen Quelle stammt.

Laut Abnormal Security können Unternehmen die Bedrohung durch solche BEC-Betrügereien reduzieren, indem sie verhaltensbasiertere, kontextsensitive E-Mail-Sicherheitsplattformen einsetzen, die Identität und Kontext analysieren können. Sie brauchen auch robuste Prozesse für ausgehende Zahlungen, insbesondere für Rechnungen mit viel Geld.

Wie bei jedem Social-Engineering-Angriff ist auch die Sensibilisierung der Mitarbeiter für Cybersicherheit wichtig. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles