Wenn sich der Teufel in den Details versteckt

Ein Betrug mit Immobilien-E-Mails

Wie bereits erwähnt, sind diese auf „Immobilien“ thematisierten Phishing-Angriffe in vielerlei Hinsicht einfach Variationen eines bekannten Social Engineering-Systems. Aber solche Phishing-E-Mails mit Immobilienthemen bieten einige deutliche Vorteile gegenüber generischen Dokumenten, die früher signiert, versendet oder heruntergeladen wurden. Zum einen bieten diese gezielteren Phishing-Methoden den Cyberkriminellen die Möglichkeit, ihre bösartigen E-Mails mit überzeugenderen Details zu versehen, die wiederum diesen E-Mails den authentischen Kontext verleihen. In diesem Fall handelt es sich um die Fälschung eines laufenden rechtlichen und finanziellen Prozesses, an dem mehrere Personen und Organisationen beteiligt sind. Dieser reiche Kontext steht in deutlichem Kontrast zu einem typischen gefälschten DocuSign-Phishing-Angriff, der typischerweise als „Blitz aus heiterem Himmel“ in den Posteingängen der Benutzer landet und Misstrauen und Verdacht erregen kann.

Obwohl die Phishing-Maßnahmen im Immobilienbereich in gewisser Weise zielgerichteter sind, bedeutet die Art der von ihnen vertriebenen Dokumente, dass diese Phishing-Maßnahmen gegen eine Reihe von verschiedenen Arten von Mitarbeitern und Branchen eingesetzt werden können:

• Bankmitarbeiter
• Immobilienmakler
• Versicherungsagenten
• Immobilienkäufer
• Regulierungsbehörden

Banken, Immobilien, Versicherungen und staatliche Stellen sind lukrative Ziele für böswillige Akteure, die versuchen, Dokumente, Daten und sogar ganze Konten in die Finger zu bekommen, die für Betrug missbraucht verwenden können.  Darüber hinaus beinhalten Immobilientransaktionen typischerweise eine Vielzahl von Dokumenten, die es den Bösewichten wiederum ermöglichen, potenziellen Opfern ein sich ständig veränderndes Gesicht zu geben (im Gegensatz zu dem standardmäßig gefälschten DocuSign-Phishing, der bei allen gleich aussieht).

Die meisten der in der Galerie gezeigten Beispiele sind reich an kontextuellen Details, die sich auf:

• spezifisch benannte Unternehmen und Firmen
• namentlich genannte Personen
• Straßenadressen für Immobilienstandorte
• andere damit zusammenhängende Dokumente und Prozesse beziehen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Angesichts der Art dieser kontextuellen Details lässt sich sehr stark vermuten, dass die meisten, wenn nicht sogar alle dieser Beispiel-E-Mails auf echten E-Mails basieren, die von kompromittierten Konten von Personen aus der Banken-, Versicherungs- oder Immobilienbranche stammen. Auch wenn potenzielle Opfer die Namen, der in diesen E-Mails genannten Unternehmen, Personen und Immobilien nicht erkennen, reicht es wahrscheinlich aus, um allzu viele Benutzer davon zu überzeugen, sich durchzuklicken, um einen genaueren Blick auf das Dokument zu werfen, was zunächst als echt erscheint. Die meisten dieser Immobilien thematisierten Phishings führen zu einem Credential Phishing, die oft gut formuliert, professionell verarbeitet und entsprechend autoritär sind. Einer der häufigsten Phishing-E-Mails, die in den letzten Monaten gemeldet wurden, bietet zum Beispiel einen offiziell aussehenden PDF-Anhang, der wiederum zu einer gefälschten Microsoft-Login-Seite führt (siehe die letzten beiden Bilder in der Galerie).

Awareness-Training gefordert
Obwohl die Cyberkriminellen offenbar mehr Ressourcen in die Innovation rund um die Payloads von Phishing-Kampagnen investiert haben als in die Phishing-Programme, mit denen sie diese Payloads an ahnungslose Nutzer verkaufen, haben sie sich als fähig erwiesen, sich an die sinkenden Klickraten anzupassen. Die Phishing-Themen aus dem Immobilienbereich, die hier dokumentierten werden, veranschaulichen dies.

Wenn sie sich anpassen und innovativ sind, müssen die Unternehmen und Mitarbeiter dies auch lernen und sich anpassen. Es reicht nicht aus, dass die Mitarbeiter mit dem allgemeinen Konzept von „Phishing“ vertraut sind und wissen, wie Phishing-E-Mails aussehen können. Es ist nicht genug, dass sie nach schlechter Rechtschreibung, Grammatik und Interpunktion suchen müssen. Die Verdächtigungen ungeschulter Nutzer reichen nicht aus, um das Unternehmen zu schützen, wenn echte, kontextreiche, prozessspezifische E-Mails aus echten Posteingangsordnern gesendet werden.

Was die Mitarbeiter benötigen, ist ein Awareness-Training, das ihnen spezifische, getestete Strategien zur Erkennung potenziell schädlicher E-Mails bietet und den Testern die Möglichkeit gibt, ihre Fortschritt zu verfolgen und zu messen.

1. Wenn sich der Teufel in den Details versteckt
2. Ein Betrug mit Immobilien-E-Mails

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied