What it means

BEC-grupper bruger Google Translate til at målrette højprofil-ofre

Hackerne undersøger i vid udstrækning deres måls ansvar og forhold til administrerende direktør og opretter forfalskede e-mail-konti, der ligner de rigtige.

Abnormal Security har identificeret to grupper, der bruger udøvende efterligning til at udføre Business Email Compromise (BEC) angreb på virksomheder over hele verden.

Den første gruppe, Midnight Hedgehog, beskæftiger sig med betalingssvindel, mens den anden gruppe, Mandarin Capybara, udfører lønafledningsangreb. Begge grupper har lanceret BEC-kampagner på mindst 13 forskellige sprog, herunder dansk, hollandsk, estisk, fransk, tysk, ungarsk, italiensk, norsk, polsk, portugisisk, spansk og svensk, bemærkede forskerne.

Mens angreb på mål på tværs af forskellige regioner og brug af flere sprog ikke er nyt, blev disse angreb tidligere hovedsageligt begået af sofistikerede organisationer med større budgetter og mere avancerede ressourcer, skrev Crane Hassold, direktør for Threat Intelligence hos Abnormal Security, i sin forskning.

I takt med at teknologien bliver mere tilgængelig og økonomisk overkommelig, har den sænket adgangsbarrieren, hvilket har gjort det lettere for hackerne at udføre BEC-angreb. Svindlerne bag angrebene bruger de samme kommercielle onlinetjenester, som salgs- og marketingteams er afhængige af for at identificere kundeemner og personalisere kommunikation. De bruger også automatiserede oversættelsesværktøjer, herunder Google Translate, til øjeblikkeligt at oversætte deres ondsindede e-mails til det sprog, de har brug for.

Midnight Hedgehog betalingssvindel

Midnight Hedgehog bruger udøvende efterligning, typisk udgiver sig for at være en virksomheds administrerende direktør, for at narre modtagere til at foretage betalinger for falske tjenester.

Hackerne undersøger i vid udstrækning deres måls ansvar og forhold til administrerende direktør og opretter forfalskede e-mail-konti, der ligner de rigtige. Normalt er gruppen rettet mod økonomichefer eller ledere, der er ansvarlige for at indlede virksomhedens finansielle transaktioner, sagde Abnormal Security.

Angrebene fra denne gruppe er blevet observeret tilbage til januar 2021 og er sendt fra konti, der er hostet på en række gratis webmailudbydere såsom Gmail, Yandex, Earthlink og Web.de, samt domæner oprettet af gruppen registreret hos NameCheap eller GoDaddy.

Forskerne bemærkede, at individerne i gruppen sandsynligvis er placeret i lande som England, Canada, USA og Nigeria. Midnight Hedgehog bruger to versioner af indledende e-mails i deres kampagner, som er skrevet på 11 sprog, herunder dansk, hollandsk, estisk, fransk, tysk, ungarsk, italiensk, norsk, polsk, spansk og svensk.

I den første version af e-mailen efterligner skuespilleren en administrerende direktør, der fremsætter en presserende anmodning om, at målet gennemfører en betaling til et firma i England. I den anden version beder imitatoren målet om at dele virksomhedens nuværende bankkontosaldo og anmoder om, at de straks gennemfører en betaling for et bestemt beløb. Når en modtager svarer på gruppens første e-mail, giver angriberen detaljerne for en bankkonto, hvor den anmodede betaling skal sendes.

Betalingerne for disse falske tjenester har varieret svarende fra kr. 100.000 til kr. 250.000, ifølge forskeren. De fleste af de muldyrkonti, der er knyttet til Midnight Hedgehog, er placeret i Det Forenede Kongerige, hvilket understøtter beviset for, at gruppen har en fysisk tilstedeværelse der. “Vi har også set gruppen bruge muldyrkonti placeret i banker i Portugal, Tyskland, Frankrig og Italien,” skrev Hassold.

Mandarin Capybaras lønningsafledning

Mandarin Capybara retter skytset mod hr-medarbejdere i lønningsafledningsangreb og beder dem om at ændre direktørens direkte indbetalingsoplysninger til en anden konto under koncernens kontrol. Det tidligste angreb fra gruppen kan spores tilbage til februar 2021. Gruppen bruger Gmail-konti til at udføre deres angreb og opdaterer visningsnavnet i hver e-mail for at forfalske navnet på den leder, der bliver efterlignet.

Mandarin Capybara har målrettet virksomheder i Nordamerika, Australien og Europa. “Vi har observeret, at gruppen er målrettet mod amerikanske og australske virksomheder på engelsk, canadiske organisationer på fransk og europæiske virksomheder på seks sprog, herunder hollandsk, fransk, tysk, italiensk, portugisisk og spansk,” bemærkede Abnormal Security.

I den første e-mail spørger angriberen, om de kan opdatere medarbejderens lønkonto. “Vi har observeret flere tilfælde, hvor gruppen har lanceret en BEC-kampagne på ét sprog og derefter startet en anden kampagne fra den samme e-mail-konto på et andet sprog,” bemærkede forskeren.

I USA er de mest almindelige banker, der bruges af lønningsafledningsaktører, Green Dot, GoBank, Sutton Bank og MetaBank, som alle er knyttet til enten forudbetalte kort eller mobile betalingstjenester. Mandarin Capybara har oprettet muldyrkonti hos europæiske fintech-institutioner, herunder Revoilut, Saurus, Monese, Bunq og SisalPay, for at modtage midler fra deres lønningsafledningsangreb.

BEC-svindel er fortsat en voksende trussel

BEC-angreb udgør den dyreste trussel, som organisationer i dag står over for internationalt. Siden 2016 har BEC-angreb konsekvent rangeret øverst på FBI’s liste over dyreste cyberkriminalitet.

BEC-angreb tegnede sig for mere end en tredjedel af alle økonomiske tab fra cyberangreb i 2021, i alt næsten 2.4 milliarder dollars i skader for året. Mellem juli og december 2022 var der en stigning på 81% i BEC-angreb.

Kilde: CSO

Foto: Pexels