Skip to content

Neuer E-Mail-Kompromittierungsangriff hatte 36 Millionen US-Dollar als Ziel

Diesen Post Teilen

Die Details in diesem vereitelten VEC-Angriff zeigen, wie die Verwendung einiger weniger wichtiger Details sowohl Glaubwürdigkeit schaffen als auch darauf hindeuten kann, dass es sich bei der ganzen Sache um einen Betrug handelt.

Es kommt nicht jeden Tag vor, dass Sie von einem rein auf Social Engineering basierenden Betrug hören, der versucht zig Millionen Dollar zu ergaunern. Laut den Sicherheitsforschern von Abnormal Security werden Cyberkriminelle jedoch immer dreister und zielen auf sehr große Summen.

Dieser Angriff beginnt mit einem Fall von VEC, bei dem eine Domäne imitiert wird. Im Falle dieses Angriffs wurde die Domain des imitierten Anbieters (die eine .com Top-Level-Domain hatte) durch eine passende  .cam-Domain ersetzt (.cam-Domains werden angeblich für Fotografie-Enthusiasten verwendet, aber es gibt das jetzt offensichtliche Problem, dass sie auf den flüchtigen Blick sehr ähnlich aussieht wie .com).

Der E-Mail ist ein legitim aussehendes Auszahlungsschreiben mit Darlehensdetails beigefügt:

image-4

Quelle: Abnormal Security

Laut Abnormal Security sah fast jeder Aspekt der Anfrage legitim aus. Die verräterischen Anzeichen drehten sich in erster Linie um die Verwendung der Lookalike-Domain, aber es gab auch andere grammatikalische Fehler (die leicht durch die Verwendung eines Online-Grammatikdienstes oder ChatGPT behoben werden können).

Dieser Angriff wurde erkannt, lange bevor er Schaden anrichtete, aber die eingesetzten Social-Engineering-Taktiken reichten fast aus, um diesen Angriff erfolgreich zu machen. Sicherheitslösungen werden dazu beitragen, die meisten Angriffe zu stoppen, aber für diejenigen, die es an Scannern vorbei schaffen, spielt der Benutzer die entscheidende Rolle, BEC-, VEC- und Phishing-Angriffe selbst zu erkennen und zu stoppen – etwas, das durch kontinuierliches Security Awareness Training vermittelt wird.


Finden Sie heraus, welche E-Mails Ihrer Benutzer offengelegt sind, bevor Cyberkriminelle es tun.

Viele der E-Mail-Adressen und Identitäten Ihrer Organisation sind im Internet offengelegt und für Cyberkriminelle leicht zu finden. Mit dieser E-Mail-Angriffsoberfläche können sie Social Engineering, Speer-Phishing und Ransomware-Angriffe auf Ihr Unternehmen starten. Der E-Mail Exposure Check Pro (EEC) von KnowBe4 identifiziert die gefährdeten Benutzer in Ihrem Unternehmen, indem es soziale Medieninformationen und jetzt Tausende von Verletzungsdatenbanken crawlt.

So funktioniert es:

  • Die erste Stufe führt tiefe Websuchen durch, um öffentlich zugängliche Organisationsdaten zu finden
  • Die zweite Stufe findet alle Benutzer, deren Kontoinformationen bei mehreren tausend Verstößen offengelegt wurden
  • Sie erhalten einen zusammenfassenden Bericht als PDF sowie einen Link zum vollständigen detaillierten Bericht
  • Ergebnisse in wenigen Minuten!

Holen Sie sich Ihren kostenlosen Bericht hier!

Kostenloser Phishing-Sicherheitstest für Ihr Unternehmen

Wie anfällig sind Ihre Mitarbeitenden für Phishing?

Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Finden Sie jetzt mit einem kostenlosen Test heraus, wie viele Ihrer Mitarbeitenden potenziell gefährdet sind – schnell, anonym und ohne Verpflichtung.

Das erwartet Sie:

  • Phishing-Test für bis zu 100 Mitarbeitende – kostenlos

  • In wenigen Minuten starten – keine Rücksprache nötig

  • Auswahl aus über 20 Sprachen und Szenarien

  • Detaillierte Auswertung als PDF-Bericht in 24 Stunden

  • Benchmark-Vergleich mit Ihrer Branche

  • Ideale Grundlage für Ihre interne Awareness-Strategie

NIS-2 konform? Wir haben die Lösung.