Betrug über Änderung des Zahlungsempfängers

Originalartikel von Lord Alfred Remorin, Senior Threat Researcher

Im Beitrag „Piercing the HawkEye“ berichtete Trend Micro über verschiedene Wege, wie Cyberkriminelle Informationen nutzen, die sie über das Monitoring der Mailboxen der Opfer, vor allem kleine Unternehmen, sammelten. Eine der dargestellten Möglichkeiten ist eine Masche, die „Wechsel des Lieferanten“-Betrug genannt wurde. Damit können Cyberkriminelle Millionen mit gestohlenem Geld verdienen. Wie funktioniert dies?

Auswahl der Opfer

Die Cyberkriminellen setzen eine auf eine Art der Überwachung, die gezielter ist und geht über den durchschnittlichen Angriff hinausgeht. Üblicherweise setzen sie ihre Angriffe nach dem Gießkannenprinzip auf und verschicken ihre eigens aufgesetzten Mail an Listen, die sie wahrscheinlich von anderen Kriminellen gekauft haben. Dieser Fall liegt anders, denn die Angreifer zielten speziell auf öffentlich verfügbare Mailadressen kleiner Unternehmen. Die Daten zeigen, dass dies  die offiziellen Adressen der Firmen sind, die üblicherweise als info@Firmenname.com oder sales@Firmenname.com gebildet werden.


Bild 1. Die anvisierten Arten von Mailadressen

Dies ist eine interessante Strategie, denn die offiziellen Mailadressen der Firmen erhalten häufig nicht angeforderte Mails von unbekannten Absendern, ein Vorteil für die Kriminellen. Sind die für das Management von Mails verantwortlichen Teams nicht clever genug, um mit Social-Engineering gefertigte Mails zu identifizieren, werden sie wahrscheinlich diese Mails öffnen.

Kontakt aufnehmen

Auch die Art, wie Cyberkriminelle den ersten Kontakt zu ihren Zielen herstellen, unterscheidet sich in diesem Schema von anderen. Sie verschicken nicht sofort die schädliche Payload, sondern schicken Mails, die dazu dienen, mit dem Ziel ins Gespräch zu kommen.


Bild 2. Beispiele von ersten Mails an die Ziele

Im Whitepaper wird diese Technik „Schwindel von langer Hand“ genannt, denn sie ähnelt Beispielen aus dem echten Leben: Der Angreifer nähert sich dem Ziel als harmlose Person und versucht, das Vertrauen des Opfers zu gewinnen. Erst dann schickt der Angreifer die bösartige Datei (in diesem Fall HawkEye) und versteckt sie in einer Datei, die im Zusammenhang mit der geführten Konversation steht. Im überwachten Fall verwendete der Cyberkriminelle sogar den Urlaub als Teil des Köders, um die Dringlichkeit der Anfrage zu erhöhen.


Bild 3. Beispiel einer Mail mit schädlicher Payload, die Cyberkriminelle an ihre Zielopfer schickten

Zeitgerechtes Eingreifen

Sobald das Opfer mit HawkEye infiziert ist, kann der Cyberkriminelle dessen Aktivitäten überwachen und nach Informationen suchen, die er für seinen Betrug nutzen kann. Auch im vorliegenden Fall ist es das Ziel des Angreifers, Zugriff auf das Firmen-Mailkonto zu erlangen, um jede laufende Transaktion zu überwachen, sie zu kapern und einen “Wechsel des Lieferanten”-Betrug einzuleiten.

Der Cyberkriminelle sucht laufende Konversationen über Zahlungen, um dann in die Konversation abzufangen und falsche Kontoinformationen an den Kunden zu übermitteln. Der Screenshot zeigt eine solche Mail, die bei der Überwachung ähnlicher Fälle gefunden wurde und den Predator Pain, den Vorgänger von HawkEye, enthält:


Bild 4. Beispiel einer Mail, in der der Angreifer die Zahlungen aufs eigene Konto umleitet

Hat der Angriff Erfolg, so schickt der Kunde die Zahlung an das Konto des Cyberkriminellen statt an das des tatsächlichen Anbieters.

Der Betrug scheint technisch weniger ausgeklügelt zu sein, denn er bedarf hauptsächlich der Informationen des Opfers, doch ist er deshalb nicht weniger gefährlich für die Unternehmen. IC3s Advisory für ähnliche Betrugsfälle zeigte im letzten Jahr, dass der durchschnittliche Verlust bei dieser Art von Betrug bei 55.000 $ liegt, wobei einige Opfer bis zu 800.000 $ Schaden verzeichneten. Kann ein Cyberkrimineller etwa mehrere Opfer zugleich angreifen, so liegt die Annahme nahe, dass er damit Millionen verdient.

Die vollständige Analyse dieser Betrugsart und die dafür verwendeten Tool liefert das Forschungspapier „Piercing the HawkEye: How Nigerian Cybercriminals Used a Simple Keylogger to Prey on SMBs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.