Betrüger geben sich als Führungskräfte aus und zielen auf eine große Auszahlung von Investorengeldern ab

Cyber Security News

Forscher haben einen neuen Business-E-Mail-Kompromittierungstrend (BEC) entdeckt, der, wenn er perfektioniert wird, eine erhebliche Social-Engineering-Bedrohung für die Finanzinvestitions- und Private-Equity-Community darstellen könnte.

Die Betrüger geben sich als leitende Angestellte aus und weisen Mitarbeiter der Kreditorenbuchhaltung an, eine Kapitalabruf-Transaktion auf ein betrügerisches Bankkonto auszuführen. In der Welt des privaten Beteiligungskapitals und der Immobilien findet ein Kapitalabruf oder eine Inanspruchnahme statt, wenn eine Investment- oder Versicherungsgesellschaft einen oder mehrere Partner auffordert, einen Teil des Geldes zu zahlen, das sie zuvor zur Investition verpflichtet haben.

In einem gestern veröffentlichten E-Mail-Betrugsbericht stellten die Forscher der Cyber Intelligence Division von Agari (ACID) einen “dramatischen Anstieg des durchschnittlichen Geldbetrags, auf den BEC-Angriffe abzielen”, seit November 2020 fest. Der Bericht führt diesen plötzlichen Anstieg teilweise auf das neu identifizierte Schema zurück. In der Tat fand Agari heraus, dass der durchschnittliche Kapitalanruf-Zahlungsbetrug etwa 809.000 US-Dollar an Überweisungen anstrebt – mehr als das Siebenfache der durchschnittlichen 72.000 US-Dollar, die in den meisten BEC-Angriffen in den letzten sechs Monaten angestrebt wurden.

Im Wesentlichen versuchen die Angreifer, mit einer einzigen Kompromittierung den großen Zahltag zu erreichen. Und das Konzept funktioniert, weil “die Anfrage selbst nicht ungewöhnlich ist”, sagte Crane Hassold, Senior Director of Threat Research bei Agari, in einem Interview mit SC Media. “Und so sieht es im Kern realistisch aus,” trotz der großen Geldsummen, die gefordert werden.

Erich Kron, Security Awareness Advocate bei KnowBe4, stimmte dem zu: “Während die geforderten Beträge für die meisten typischen Menschen eine rote Fahne sein dürften, können diese, wenn sie die richtige Organisation erreichen, die einen Kapitalabruf erwartet oder regelmäßig mit ihnen handelt, erfolgreich sein”, sagte er.

Im Moment ist der Betrug jedoch nicht besonders gut ausgeführt, bemerkte Hassold. Zunächst einmal ist das Targeting verstreut, wobei böswillige Akteure diese BEC-E-Mails an eine Vielzahl von großen Unternehmen senden – einige davon haben nichts mit Finanzen und Investitionen zu tun. Agari identifizierte zum Beispiel Ziele in den Bereichen Versorgungsunternehmen, Einzelhandel, Gesundheitswesen und Recht.

“Ich denke, dass die Leute, die diese senden, wahrscheinlich keine vollständige Vorstellung von Kapitalabrufzahlungen haben”, sagte Hassold. “Ich glaube nicht, dass dies Finanzstudenten sind, die ein vollständiges Verständnis davon haben, was Kapitalabrufzahlungen sind und wie sie verwendet werden und wer sie erhalten sollte.”

Es gibt auch keinen Hinweis darauf, dass es die Angreifer auf einzelne Investoren abgesehen haben – nur auf Unternehmen. Und, bemerkte Hassold, es gibt keinen Hinweis darauf, dass die Bösewichte Insiderwissen darüber haben, welche Investitionen diese Unternehmen tatsächlich tätigen, wenn überhaupt. “Vielmehr fordern die Angreifer Zahlungen für fiktive Investitionen an, ähnlich wie wir es schon seit Jahren beobachten, dass BEC-Akteure Zahlungen an fiktive Anbieter anfordern”, so Hassold.

Wenn jedoch ein kompetenterer Täter die gleiche Taktik anwendet und dabei einen gezielteren Ansatz verfolgt – vielleicht unter Ausnutzung von Informationen über Investoren aus öffentlichen Listen und dem Dark Web – könnte der Betrug überzeugend genug sein, um eine Menge Opfer zu täuschen.

Im Moment scheinen die Angreifer jedoch etwas weniger ehrgeizig zu sein und suchen nach den niedrig hängenden Früchten, da sie wissen, dass es sich auszahlen könnte, wenn sie nur einen Mitarbeiter austricksen.

“Dies ist ein interessanter Einsatz einer sehr spezifischen, aber hochdotierten Art von Finanztransaktion”, so Erich Kron, Security Awareness Advocate bei KnowBe4. “Obwohl sie wahrscheinlich nicht so erfolgreich ist wie ein typischer BEC-Betrug, ist die Auszahlung für erfolgreiche Angriffe deutlich höher.”

“Wir müssen uns daran erinnern, dass dies ein Geschäft für den Angreifer ist, und sie haben die gleichen Probleme, die jeder andere auch hätte, wenn er ein Geschäft betreibt”, sagte Josh Douglas, Vice President of Product Management and Threat Intelligence bei Mimecast. “Das bedeutet, dass sie sowohl den Umsatz als auch den Gewinn berücksichtigen müssen. Dieses Vorgehen ermöglicht größere Umsatzgewinne und geringere Auswirkungen auf die Betriebskosten. Wenn der Angreifer nur drei statt 300 Stellen treffen muss, um die gleiche Menge an Umsatz zu erzielen, ist die Belohnung höher und die Bruttomargen steigen.”

Und obwohl das Targeting und die Informationsbeschaffung der Angreifer nicht besonders ausgeklügelt sein mögen, haben die eigentlichen E-Mails und die angehängten Dokumente, die sie erstellt haben, einen Hauch von Legitimität.

“Dies ist eine Kapitalanforderung und ich möchte, dass die Zahlung sofort erfolgt. Senden Sie eine Bestätigung, sobald die Zahlung erfolgt ist”, heißt es in einer BEC-Muster-E-Mail, die sich als Geschäftsführer ausgibt. Im Anhang befindet sich ein Formular, das scheinbar von einer Investition stammt und um die Auszahlung bittet. Die gefälschte Mitteilung setzt die Anleger unter Druck, indem sie eine eindeutige Frist setzt und darauf hinweist, dass ein Nichthandeln einen Vertragsbruch darstellt, der zu Zinskosten und schließlich zum Verfall der Investition führt.

Der Angreifer versucht grundsätzlich, das Ziel mit technologischen und psychologischen Taktiken und Techniken zu täuschen”, so Douglas.

“Sie sehen wie wirklich gute Darstellungen dessen aus, wie eines dieser Dokumente aussehen könnte”, sagte Hassold. “Sie denken wahrscheinlich auf ihrer Seite: ‘Ich muss das nur realistisch genug aussehen lassen, damit es als wahr durchgeht und einen kleinen Prozentsatz der Leute, denen ich das schicke, dazu bringt, mir das Geld zu schicken.'”

Hassold sagte, dass die Akteure auf Unternehmen setzen, die organisatorische Lücken in der Kontrolle der Zahlungsautorisierung haben.

In der Tat “sollten Organisationen über Richtlinien verfügen, die eine Überprüfung der gesendeten Zahlungen erfordern”, sagte Kron. “Wenn die Organisation nicht in der Lage ist, die Zahlungsanforderung zu verifizieren, sollte sie den Antragsteller über eine zuvor bekannte Telefonnummer oder Kontaktmethode erreichen, die nicht in der Benachrichtigung angegeben ist.”

Letztendlich kann das darauf hinauslaufen, sicherzustellen, dass Ihre Kreditorenbuchhaltungsspezialisten richtig geschult sind, um auf diese Betrügereien aufzupassen.

“Der Schlüsselfaktor sind die Mitarbeiter des Unternehmens”, sagt Douglas. “Haben sie die richtige Cybersicherheitsschulung? Haben sie die Prozesse, um dies zu verhindern? Haben sie die richtige Technologie implementiert, damit sie schnell handeln können, um Cyber-Täuschungen zu stoppen?”

“Besonders in einer Remote-Arbeitsumgebung ist Training der Schlüssel”, ergänzt Dave Barnett, Director of Edge Security bei Forcepoint. “Die Benutzer müssen sicher sein, dass sie alles melden können, bei dem sie sich unsicher sind, und sie müssen ermutigt werden, Dinge zu melden und mit den leitenden Mitarbeitern zu überprüfen.”

“Kompromittierungen von Geschäfts-E-Mails können für Bedrohungsakteure unglaublich lukrativ sein, da sie oft sehr personalisiert und gezielt sind. Eine Kultur des kritischen Denkens in Sachen Sicherheit zu vermitteln und die Mitarbeiter zu ermutigen, ihre Wachsamkeit nicht zu vernachlässigen, kann viel bewirken.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com