Phishing - Social-Engineering

SBA Phishing: Cyberkriminelle kehren zu den Wurzeln zurück

SBA Phishing: Cyberkriminelle kehren zu den Wurzeln zurück

Von Eric Howes, Principal Lab Researcher bei Knowbe4

Eric Howes, Principal Lab Researcher bei Knowbe4

Die COVID-19-Pandemie prägt weiterhin die cyberkriminellen Aktivitäten. Zu den hartnäckigeren Social-Engineering-Arten gehören Phishing-E-Mails, welche die verschiedenen von der US-Bundesregierung angebotenen Finanzprogramme ausnutzen, um Einzelpersonen, Unternehmen und anderen Organisationen in der einen oder anderen Form finanzielle Unterstützung zu gewähren.

Diese Programme tauchten erstmals im März und Anfang April während der ersten Welle von Phishing-E-Mails zum Thema Coronavirus auf. Obwohl einige dieser bösartigen E-Mails auf Unternehmen und Organisationen abzielten, richteten sich die meisten „COVID-19 Relief“-Phishing-E-Mails, die dem Unternehmen KnowBe4 von Kunden über den Phish-Alert-Button (PAB) gemeldet wurden, eindeutig an einzelne Benutzer, die über ihre persönliche finanzielle Situation besorgt waren.

Die Entwicklung von „COIVD-19 Relief“-Phishing

Die meisten „COVID-19 Relief“-Phishing-E-Mails, zielen auf einzelne Benutzer ab, indem sie einen alten Trick anwenden: Gratisgeld. Hier ist ein ziemlich typisches Beispiel:

Wie bei der obigen E-Mail berufen sich diese individuell ausgerichteten „COVID-19 Relief“-E-Mails in der Regel auf ein bekanntes Unternehmen oder eine Behörde, um der finanziellen Gefährdung Glaubwürdigkeit zu verleihen. Zusätzlich zur WHO (Weltgesundheitsorganisation) konnte beobachtet werden, wie die Betrüger die IRS (US Bundessteuerbehörde) parodieren:

Auch Microsoft ist Objekt der Täuschung:

Auch die Bill und Melinda Gates-Foundation wird für diese Art von Social-Engineering benutzt:

Wie nicht anders zu erwarten, führen die meisten dieser individuell ausgerichteten E-Mails zu Malware-Installationen oder Phishing-Angriffen auf Zugangsdaten, auch wenn es sich bei einigen dieser E-Mails offenbar um klassische Betrugsmethoden mit "Vorauszahlung" handelt.

Aber auch Unternehmen und Organisationen wurden von Betrügern ins Visier genommen.

Wie von den Medien berichtet, haben geschäftstüchtige Betrüger Unternehmen ins Visier genommen, die ein Interesse daran haben könnten, eines der verschiedenen finanziellen Hilfsprogramme der Small Business Administration (SBA) in Anspruch zu nehmen, von denen das bekannteste das Paycheck Protection Program (PPP) ist. Es überrascht niemanden, dass diese Programme von Betrügereien heimgesucht wurden, wobei es sich zum großen Teil um gefälschte oder betrügerische Angebote zur Erleichterung von Krediten für Unternehmen und Organisationen mit knappen Kassen handelt.

Cyberkriminelle, die ihre Geschäfte über Phishing-E-Mails abwickeln, haben das SBA jedoch für etwas andere Zwecke genutzt: Als Köder für Social-Engineering-Programme, die Empfänger dazu verleiten, sich zu den Zugangsdaten durchzuklicken. In der Folge wird dann Malware installiert und versucht in die jeweiligen Netzwerke, vor allem Unternehmensnetzwerke einzudringen.

Dieses ziemlich typische Phishing täuscht vor von SBA zu sein. Angehängt ist ein Dokument mit Informationen über den Genehmigungsstatus eines von der SBA gesicherten Kredits für den Antragssteller bzw. das Opfer. Obwohl das bekannte Logo der SBA erscheint, ist die E-Mail kurioserweise von „The Google Team“ unterschrieben. Andere SBA-Spoofs installieren jedoch direkt die Malware.

Viele E-Mail-Fälschungen stammen direkt von einer E-Mailadresse, die angeblich zur SBA gehört. Viele andere gefälschte E-Mails täuschen über einen Proxy vor, von der SBA zu stammen, indem sie angebliche Dokumentationen oder Informationen über einen vertrauenswürdigen Vermittler anbieten.

Cyberkriminelle, die dieses spezielle Social-Engineering-Schema verfolgen, sind durchaus in der Lage, legitime Online-Dienste zu nutzen, um ihre betrügerischen E-Mails zuzustellen, anstatt sie nur zu fälschen. Oft machen sich die Betrüger nicht einmal die Mühe, einen Vermittler zu täuschen, sondern präsentieren den Benutzern stattdessen eine Art PPP-bezogenes Dokument.

Wie bereits erwähnt, hat die überwiegende Mehrheit dieser „COVID-19 Relief“-Phishing-E-Mails – unabhängig davon, ob sie sich an Einzelpersonen oder Organisationen richten – das übliche Ziel verfolgt: Phishing von Zugangsdaten, Malware-Installationen und „Geld-Vorschuss“-Betrugsprogramme.

In den letzten Wochen haben jedoch Kunden, die den Phish Alert Button (PAB) verwenden, über eine interessante und alarmierende Variante des auf Unternehmen und Organisationen abzielenden Social-Engineering-Programms mit dem SBA-Thema berichtet. Das Einzige, was den Betrug verrät, ist der Link – vorausgesetzt, der Empfänger macht sich die Mühe, ihn zu überprüfen. Dieses spezielle Phishing führt zu einer ebenso gut gefälschten Login-Seite der SBVg.

Die Betrüger nutzen die Leichtgläubigkeit der Empfänger aus, die oft in finanziellen Nöten stecken und dringend auf Unterstützung angewiesen sind. Cyberkriminelle können die Konten der Opfer ausnutzen, um Informationen über Unternehmen und Organisationen zu sammeln und zu verkaufen. Darüber hinaus können sie echte Unterstützungsgelder umleiten, die für diese legitimen Hilfeempfänger bestimmt sind.

Ein typisches Konto, dass bei der SBVg angelegt wird, enthält wertvolle Daten über antragstellende Organisationen, darunter:

  • legaler Name des Unternehmens
  • Geschäftsadresse
  • Telefonnummer
  • Unternehmenssteuer-ID

Sie enthält auch sensible Bankinformationen, darunter:

  • Name der Bank
  • Kontonummer
  • Routing-Nummer
  • Girokonto
  • Firmenname, Telefonnummer, Adresse und Steuernummer des Kontos

Selbst wenn es den Cyberkriminellen nicht gelingt, Darlehen oder Zuschüsse zu ergattern, gibt es zahlreiche andere Möglichkeiten, die gesammelten Informationen auszunutzen. In vielerlei Hinsicht ist dieses spezielle Phishing eine Art „Rückkehr zu den Wurzeln“. Die aktuelle Plage der Phishing-E-Mails begann in den Jahren 2004 bis 2005 mit einfachen, unkomplizierten Spoofs populärer Banken, die darauf abzielten, Benutzer dazu zu verleiten, die Zugangsdaten für ihre Online-Banking-Konten auszuspucken. Diese jüngste Phishing-Kampagne unter Missbrauch der SBVg läuft auf dasselbe hinaus. Sie könnte sich als potenziell verheerend für Unternehmen und Organisationen erweisen, die auf finanzielle Unterstützung hoffen.

Fazit

Die COVID-19-Pandemie hat Unternehmen, Organisationen und Einzelpersonen besonders in den USA schwer getroffen und viele an den Rand der Zahlungsunfähigkeit getrieben. Sie hat Cyberkriminellen eine Fülle von Möglichkeiten gegeben, Social-Engineering-Programme zu entwickeln. Da die Antragssteller oft von zu Hause aus arbeiten und momentan andere Sorgen haben, ist es unerlässlich, dass Unternehmen ihre Mitarbeiter darin schulen, Phishing-E-Mails zu erkennen und richtig mit ihnen umzugehen. Das bedeutet, sie in Sachen Security Awareness zu trainieren und sie regelmäßig mit simulierten Phishing-E-Mails zu testen.