A sophisticated social engineering cybercrime campaign bent on financial gain was observed being run from Tencent servers in Singapore.
Die Polizei von Dubai ist das jüngste Opfer von Betrügern in den Vereinigten Arabischen Emiraten (VAE), die Tausende von Textnachrichten an ahnungslose Handynutzer verschicken und sich als Vertreter der Strafverfolgungsbehörde ausgeben.
Die Forscher von BforeAI beobachteten in letzter Zeit einen Anstieg von Phishing-Angriffen, die sich auf angebliche Polizeimeldungen stützen. Die Empfänger der SMS werden aufgefordert, auf eine bösartige URL zu klicken, um auf vermeintliche rechtliche Probleme zu reagieren oder sich bei einem "offiziellen" Online-Portal zu registrieren. Die enthaltenen Links leiten die Opfer auf gefälschte Websites um, die darauf abzielen, sensible Informationen wie Bankdaten oder persönliche Ausweisdaten abzufangen.
Die Kampagne verwendet gut gestaltete Köder mit offiziellem Branding, was laut BforeAI auf ein mittleres Maß an Raffinesse schließen lässt. Doch während die Köder auf die Bürger der VAE zugeschnitten sind, ähnelt die Phishing-Methode in ihrer großen Reichweite einem "Spray-and-Pray"-Modell.
"Die Kampagne zielt auf Personen ab, die wahrscheinlich auf Mitteilungen der Strafverfolgungsbehörden reagieren, wobei legitime Mitteilungen dieser Art in den Vereinigten Arabischen Emiraten nicht ungewöhnlich sind, und zielt insbesondere auf Personen ab, die nur ein begrenztes Verständnis für digitale Bedrohungen haben", erklärt Abu Qureshi, Leiter der Abteilung für Bedrohungsanalyse und -abwehr bei BforeAI, gegenüber Dark Reading.
"Der auffälligste Aspekt dieser Kampagne ist der kalkulierte Missbrauch des Markenzeichens der Polizei von Dubai, um Glaubwürdigkeit herzustellen und die Opfer zu täuschen", fügt er hinzu. "Dies zeigt ein ausgefeiltes Verständnis von Social-Engineering-Techniken und das Vertrauen in psychologische Manipulation, die Angst und Vertrauen in die Strafverfolgung ausnutzt - was für die Bürger der VAE von größter Bedeutung ist.
Cyberkriminelle nehmen zunehmend die VAE und den Nahen Osten ins Visier
Cybercrime-Kampagnen, die auf Organisationen und Einzelpersonen in Dubai und anderen Teilen der VAE abzielen, nehmen spürbar zu. Laut einer Untersuchung von Kaspersky zu Beginn dieses Jahres, 87% der Unternehmen in den VAE hatten mit irgendeiner Form von Cybervorfällen zu kämpfen in den letzten zwei Jahren.
"Die Die VAE sind ein hochwertiges Ziel aufgrund der wohlhabenden Bevölkerung, der hohen Internetverbreitung und der Abhängigkeit von digitalen Diensten", sagt Qureshi. "Cyberkriminelle nutzen diese Faktoren sowie Schwachstellen in neu eingeführten Technologien aus".
Die Internetkriminalität ist Teil eines größeren Trends, der in einigen Gebieten des Nahen Ostens Personen und Organisationen ins Visier nimmt, wie er feststellt.
"Der Fokus liegt auf wohlhabenden Regionen und Einzelpersonen, um den finanziellen Gewinn zu maximieren", sagt er. "Es gibt auch regionale geopolitische Interessen und eine verstärkte Konzentration auf Einrichtungen im Nahen Osten aufgrund der wirtschaftliche und politische Dynamik.”
Da die Region die digitale Transformation und die IT-Modernisierung mit Begeisterung angenommen hat, zielen Cyberkriminelle auf Schwachstellen ab, die sich aus der schnellen Implementierung fortschrittlicher Technologien ohne angemessene Schutzmaßnahmen ergeben, so Qureshi.
Verankerung einer VAE-Cybercrime-Kampagne in Singapur
Die Cyberangreifer, die hinter der Offensive der Dubaier Polizei stehen, scheinen einen automatisierten Domain-Generierungsalgorithmus (DGA) oder eine Massenregistrierung verwendet zu haben, um schnell verschiedene Domains zu durchlaufen und bösartige Webseiten zu hosten, die auf Finanzbetrug ausgerichtet sind. Jede Domäne ist kurzlebig, um eine Entdeckung zu vermeiden.
Die meisten dieser Domains stammten von Tencent-Servern in Singapur, so die BforeAI-Forscher, die feststellten, dass die Server des Unternehmens schon früher bösartige Aktivitäten beherbergt haben, darunter Spam, Phishing und Botnets.
"Tencent, ein in China ansässiger Technologieriese, unterhält ein bedeutendes Zentrum in Singapur und nutzt die strategische Lage und die robuste digitale Infrastruktur des Stadtstaates", sagt Qureshi. "Trotz Singapurs starke Cyber-Resilienz und rigorose Maßnahmen zur Bekämpfung bösartiger Aktivitäten macht die Stadt als globales Technologiezentrum zu einem idealen Standort für den Missbrauch legitimer Plattformen durch Cyberkriminelle".
Qureshi fügt hinzu, dass das Vorhandensein bösartiger Aktivitäten auf Tencent-Servern auf die Ausnutzung legitimer Dienste zurückzuführen sein könnte.
"Server mit hohem Datenverkehr können missbraucht werden, um bösartige Inhalte zu hosten oder weiterzuleiten, ohne dass das Unternehmen direkt davon weiß", erklärt er und fügt hinzu, dass auch die Komplexität der Rechtsprechung eine Rolle spielen könnte: "Singapurs Strafverfolgungsbehörden könnten bei der Koordinierung mit ausländischen Einrichtungen und der Unterscheidung zwischen krimineller Nutzung und legitimen Operationen vor Herausforderungen stehen. Tencent hat zwar seinen Sitz in Singapur, ist aber ein chinesisches Unternehmen."
Zwei der Anmelder stammen aus Indien und Dubai selbst, wobei die verdächtigen Namen darauf hindeuten, dass sie von einem legitimen Unternehmen stammen, so die Untersuchung. Größtenteils ist es den Cyberangreifern jedoch gelungen, ihre Identität anonym zu halten.
Tencent antwortete nicht sofort auf die Bitte um eine Stellungnahme.
Wie sich Unternehmen im Nahen Osten vor Cyber-Betrug schützen können
Für Unternehmen in der Region sollten Kampagnen wie diese Anlass sein, ihr Risikomanagement zu ändern, rät Qureshi. Auch wenn die Phishing-Botschaften breit angelegt sind, können im Zeitalter des mobilen Büros auch Kampagnen, die auf Einzelpersonen abzielen, schließlich auch Unternehmen treffen.
Zu einer vernünftigen Sicherheitshygiene gehören die grundlegenden Dinge wie die Überprüfung der offiziellen Domäne der Regierung von Dubai und des Zahlungsportals, bevor eine Zahlung getätigt wird, sowie die Suche nach Warnsignalen wie dem fehlenden HTTPs-Protokoll, fehlerhaften Links, unpassendem Webdesign oder verdächtigen Formulierungen oder Grammatik.
Qureshi rät Unternehmen, mehrere zusätzliche Schritte zu unternehmen, um ihr Risiko zu mindern, darunter:
-
Bessere Überwachung: Implementieren Sie robuste prädiktive Phishing-Erkennungssysteme und überwachen Sie aktiv den Missbrauch des Markenzeichens;
-
Programme zur Sensibilisierung: Schulung der Mitarbeiter in der Erkennung und Meldung von Phishing;
-
Zusammenarbeit: Zusammenarbeit mit CERTs und Strafverfolgungsbehörden, um festgestellte Bedrohungen zu bekämpfen;
-
Reaktion auf Vorfälle: Entwicklung und Erprobung von Reaktionsplänen zur Bekämpfung von Phishing-Verstößen;
-
Meldung: Alarmieren Sie Phishing-Meldeseiten wie Etisalat und DU, wenn Mitarbeiter Phishing-Nachrichten erhalten;
-
Und ständige Wachsamkeit: Nehmen Sie eine proaktive Haltung zur Cybersicherheit ein, um den Ruf Ihrer Marke und das Vertrauen Ihrer Kunden zu schützen.
Und schließlich "verdeutlicht diese Kampagne der Polizei von Dubai die globalisierte Natur der Cyberkriminalität, bei der lokale Ziele mit Hilfe internationaler Infrastrukturen ausgenutzt werden", warnt Qureshi. "Man kann gar nicht genug betonen, wie wichtig die grenzüberschreitende Zusammenarbeit und die Nutzung von Bedrohungsdaten sind, um den sich entwickelnden Taktiken einen Schritt voraus zu sein.
