Phishing-Betrug im Innenministerium zielt auf britisches Visa-Sponsoring-System ab

Gefälschte E-Mails des Innenministeriums zielen auf das britische Visa-Sponsoring-System ab. Sie stehlen Anmeldedaten, um betrügerische Visa auszustellen und kostspielige Einwanderungsbetrügereien durchzuführen.

Betrüger nahmen ahnungslose Unternehmen mit E-Mails ins Visier, die aussahen, als kämen sie direkt vom Innenministerium, und die dringende Compliance-Warnungen und die Drohung enthielten, ihr Konto zu sperren.

Laut dem Cybersicherheitsunternehmen Mimecast waren diese Nachrichten alles andere als echt. Tatsächlich waren sie jedoch Teil einer ausgeklügelten Phishing-Kampagne, die sich an britische Organisationen mit Sponsorenlizenzen richtete. Dabei handelte es sich um einen direkten Versuch, Anmeldedaten für das staatliche Sponsorship Management System ( SMS ) zu stehlen.

Das SMS ist das sichere Portal, über das zugelassene Sponsoren Visaanträge verwalten. Geraten diese Anmeldeinformationen in die falschen Hände, ist dies ein Risiko für schwerwiegenden Missbrauch. Die Forscher von Mimecast fanden heraus, dass Angreifer E-Mails an allgemeine Unternehmenspostfächer senden und vor angeblichen Compliance-Problemen warnen.

Laut der von Samantha Clarke, Hiwot Mendahun, Ankit Gupta und dem Mimecast Threat Research Team zusammengestellten und mit Hackread.com geteilten Untersuchung von Mimecast führen die Links in diesen E-Mails zu überzeugenden Kopien der offiziellen SMS-Anmeldeseite, komplett mit Regierungsbranding und sogar CAPTCHA- Gattern, um grundlegende Sicherheitsüberprüfungen zu umgehen.

Sobald ein Opfer seine Daten eingibt, werden die Zugangsdaten nicht an die Regierung weitergeleitet. Stattdessen werden sie an ein vom Angreifer gesteuertes Skript gesendet. Von dort aus werden die kompromittierten Konten zur Ausstellung betrügerischer Sponsoring-Zertifikate verwendet.

In einigen Fällen handelt es sich dabei um ausgeklügelte Betrügereien, bei denen gefälschte Stellenangebote erstellt werden und Einzelpersonen zwischen 15.000 und 20.000 Pfund für nicht existierende Visa-Sponsorings in Rechnung gestellt werden. Die gefälschten Dokumente sehen authentisch genug aus, um frühzeitige Überprüfungen zu bestehen, wodurch der Betrug schwerer zu erkennen ist, bis es zu spät ist.

Die technische Analyse der Phishing-Seiten zeigt, dass sie bis hin zum HTML-Code und den verlinkten Bildern nahezu identisch mit dem echten SMS-Portal sind. Der einzige große Unterschied ist eine kleine Änderung im Anmeldeformular, das auf den Server des Angreifers verweist, anstatt auf den legitimen Authentifizierungsprozess. Diese subtile Änderung hat schwerwiegende Folgen für die Opfer.

Rechtsexperten warnen vor schwerwiegenden Folgen. Natasha Chell , Partnerin und Leiterin der Abteilung für Risiko und Compliance bei Laura Devine Immigration, sagte, die Systeme einiger Sponsoren seien bereits gehackt worden. Sie riet Organisationen, ihre Konten beim Innenministerium durch effektive IT-Praktiken, regelmäßige Schulungen für Schlüsselpersonal und die direkte Überprüfung verdächtiger Anfragen beim Innenministerium zu schützen, bevor sie Maßnahmen ergreifen.

„Wir wissen von Sponsoren, die Opfer dieser Phishing-Betrügereien geworden sind, und von einigen wenigen, deren Systeme gehackt wurden. Als Hüter des Sponsoring-Systems müssen Sponsoren ihre Online-Konten beim Innenministerium schützen, indem sie robuste IT-Praktiken anwenden und Schlüsselpersonal mit Zugriff auf die Konten regelmäßig schulen. Außerdem sollten sie sich stets an die offiziellen Kanäle des Innenministeriums wenden, um verdächtige Anfragen zu überprüfen.“

Natasha Chell – Laura Devine Immigration

Mimecast gibt an, bereits Erkennungsregeln hinzugefügt zu haben, um diese Phishing-E-Mails für seine Kunden zu blockieren. Die Kampagne entwickelt sich jedoch ständig weiter. Zu den Indikatoren für eine Kompromittierung zählen Betreffzeilen wie „Neue Nachricht in Ihrem UKVI-Konto“ oder „Systembenachrichtigung – Aktion erforderlich“ sowie URLs, die mit subtilen Änderungen offizielle Adressen des Innenministeriums imitieren.

Inhabern einer Sponsorlizenz wird geraten, für den SMS-Zugriff eine Multi-Faktor-Authentifizierung zu verwenden, die Anmeldeinformationen regelmäßig zu ändern, die Kontoaktivität auf ungewöhnliche Anmeldungen zu überwachen und ihre Mitarbeiter darin zu schulen, verdächtige Nachrichten zu erkennen.

Darüber hinaus sollte die Überprüfung immer über offizielle Kanäle erfolgen, niemals über einen Link in einer unerwünschten E-Mail. In diesem Fall kann ein wenig Vorsicht verhindern, dass Angreifer Ihre Organisation als Sprungbrett für groß angelegten Einwanderungsbetrug nutzen.