Mehrsprachige BEC Attacken – Multilingual BEC Attacks

Obwohl diese Angriffe nicht so häufig vorkommen wie Phishing oder Identitätsdiebstahl, stellen sie die teuerste Bedrohung dar, mit der Unternehmen derzeit international konfrontiert sind. Seit 2016 rangieren BEC-Angriffe durchweg an der Spitze der FBI-Liste der teuersten Cyberverbrechen in den Vereinigten Staaten.

Es hat sich jedoch herausgestellt, dass BEC nicht nur in englischsprachigen Ländern verbreitet ist. Der bekannteste Fall in Deutschland kam beim Automobilzulieferer Leoni AG aus Nürnberg vor. Der Schaden betrug 40 Millionen Euro, wie das Unternehmen im Jahr 2016 in einer Börsenmeldung bestätigen musste. Der Börsenkurs sank danach um acht Prozent. Aktuell hat die Leoni AG im Jahr 2022 nach vorläufigen, nicht geprüfte Geschäftszahlen einen Umsatz von rund 5,1 Mrd. Euro (2021: 5,12 Mrd. Euro) erwirtschaftet.

Angreifer identifiziert

Kürzlich hat Abnormal Security zwei Gruppen identifiziert, die sich als Führungskräfte ausgeben, um BEC-Angriffe auf Unternehmen weltweit durchzuführen. Dabei handelt es sich um Midnight Hedgehog, eine Gruppe, die Zahlungsbetrug betreibt, und Mandarin Capybara, eine Gruppe, die Angriffe zur Abzweigung von Gehaltszahlungen durchführt. Zusammen haben sie BEC-Kampagnen in mindestens 13 verschiedenen Sprachen gestartet, darunter Dänisch, Deutsch, Estnisch, Französisch, Italienisch, Niederländisch, Norwegisch, Polnisch, Portugiesisch, Schwedisch, Spanisch und Ungarisch.

Wie Hacker gezielte mehrsprachige Angriffe durchführen

Angriffe auf Ziele in verschiedenen Regionen und unter Verwendung mehrerer Sprachen sind nichts Neues. In der Vergangenheit wurden diese Angriffe jedoch hauptsächlich von hochentwickelten Organisationen mit großen Budgets und fortschrittlichen Ressourcen verübt. Um beispielsweise E-Mail-Texte für glaubwürdigere Social-Engineering-Bemühungen effektiv zu übersetzen, heuern Bedrohungsgruppen möglicherweise Muttersprachler an.

Da die Technologie jedoch immer zugänglicher und erschwinglicher wird, sinkt auch die Einstiegshürde. Abnormal Security hat immer wieder beobachtet, dass BEC-Akteure dieselben kommerziellen Online-Dienste nutzen, auf die sich Vertriebs- und Marketingteams verlassen, um potenzielle Kunden zu identifizieren und die Kommunikation zu personalisieren. Mithilfe dieser Ressourcen sammeln BEC-Akteure in der Regel Kontaktinformationen – sogenannte „Leads“ – innerhalb eines bestimmten geografischen Gebiets, in der Regel eines einzelnen Landes oder Staates.

Und dank der Verbreitung automatischer Übersetzungstools wie Google Translate können Betrüger E-Mails sofort in jede gewünschte Sprache übersetzen. So kann eine Gruppe beispielsweise eine Kampagne in den Niederlanden mit niederländischem Text durchführen und gleichzeitig dieselbe Kampagne in Spanien mit spanischem Text laufen lassen.

So lange die Hacker zweitklassige Tools wie Google Translate und Microsoft Translate einsetzen, besteht kein großer Grund zur Sorge. Wenn Sie dagegen Deepl verwenden, das als deutsche Wertarbeit den amerikanischen Wettbewerbern turmhoch überlegen ist, wird es wirklich gefährlich.

Durch den Einsatz weit verbreiteter Marketingtechnologien und hochpräziser Übersetzungs-Apps können Angreifer ihre Bemühungen schnell skalieren, ihre Reichweite maximieren und weltweit Schaden anrichten. Und da viele Übersetzungstools inzwischen maschinelles Lernen einsetzen, um den Kontext zu verbessern, z. B. die Bedeutung eines Satzes statt jedes einzelnen Worts zu übersetzen, lassen sie sich viel leichter für schändliche Zwecke manipulieren.

Nutzer achten mittlerweile auf Rechtschreib- und Grammatikfehler, um besser erkennen zu können, ob sie möglicherweise einen Angriff erhalten haben. Wenn diese nicht vorhanden sind, läuten bei Muttersprachlern weniger die Alarmglocken, dass etwas nicht stimmt.

Midnight Hedgehog: Zahlungsbetrug rund um die Welt

Die erste Gruppe gibt sich als Führungskraft aus, um Empfänger zu Zahlungen für gefälschte Dienstleistungen zu verleiten – in der Regel, indem sie vortäuscht, der CEO eines Unternehmens zu seib. Wie bei anderen Imitationsangriffen scheinen die Midnight Hedgehog-Bedrohungsakteure die Zuständigkeiten ihrer Zielperson und deren Beziehung zum CEO gründlich zu recherchieren und dann gefälschte E-Mail-Konten zu erstellen, die ein echtes Konto imitieren. Wie bei vielen Zahlungsbetrugsangriffen zielt die Gruppe auf Finanzmanager oder andere Führungskräfte ab, die für die Einleitung der Finanztransaktionen des Unternehmens verantwortlich sind.

Abnormal Security hat Angriffe von Midnight Hedgehog gesehen, die mindestens bis Januar 2021 zurückreichen. Die Angriffe wurden von Konten versandt, die bei verschiedenen kostenlosen Webmail-Anbietern wie Gmail, Yandex, Earthlink und Web.de gehostet wurden, sowie von Domains, die die Gruppe bei NameCheap oder GoDaddy registriert hat. Ausgehend von den Erkenntnissen, die Abnormal Security während unserer aktiven Verteidigungsmaßnahmen gegen die Gruppe gesammelt hat, befinden sich die Personen, die mit der Gruppe in Verbindung stehen, wahrscheinlich in mehreren Ländern, darunter England, Kanada, die Vereinigten Staaten und Nigeria.

In einer Version gibt sich der Midnight Hedgehog-Darsteller als Geschäftsführer aus und bittet die Zielperson dringend, eine Zahlung an ein Unternehmen in England zu tätigen. In einer zweiten Version bittet der Darsteller die Zielperson, den aktuellen Kontostand des Unternehmens mitzuteilen, und fordert sie auf, umgehend eine Zahlung in Höhe eines bestimmten Betrags zu tätigen.

Mandarin Capybara: Abrechnungsumleitung in mehreren Sprachen

Eine weitere Gruppe, die bei ihren Angriffen eine Vielzahl von Sprachen verwendet, ist Mandarin Capybara, die sich ebenfalls als Führungskräfte von Unternehmen ausgibt. Anstatt jedoch Zahlungsbetrug zu begehen, zielt Mandarin Capybara bei Angriffen zur Abzweigung von Gehaltsabrechnungen auf Mitarbeiter der Personalabteilung ab und fordert diese auf, die direkten Einzahlungsdaten der Führungskraft auf ein Konto unter der Kontrolle der Gruppe zu ändern.

Der früheste Mandarin Capybara-Angriff, den Abnormal Security beobachtet hat, stammt aus dem Februar 2021. Die Gruppe hat durchweg Gmail-Konten zum Versenden ihrer Angriffe verwendet und den Anzeigenamen in jeder E-Mail aktualisiert, um den Namen der Führungskraft, für die sie sich ausgibt, zu fälschen.

Im Gegensatz zu Midnight Hedgehog, der nur Unternehmen in Europa mit nicht-englischen Nachrichten angreift, hat Mandarin Capybara Unternehmen auf der ganzen Welt angegriffen. Abnormal Security hat beobachtet, dass die Gruppe amerikanische und australische Unternehmen auf Englisch, kanadische Organisationen auf Französisch und europäische Unternehmen in acht Sprachen angreift: Niederländisch, Französisch, Deutsch, Italienisch, Polnisch, Portugiesisch, Spanisch und Schwedisch.

Die anfänglichen E-Mails von Mandarin Capybara ähneln vielen anderen Vorlagen für Gehaltsabrechnungen. Der Angreifer fragt, ob er sein Gehaltskonto aktualisieren kann, damit es vor dem nächsten Zahltag in Kraft tritt. Abnormal Security hat mehrere Fälle beobachtet, in denen die Gruppe eine BEC-Kampagne in einer Sprache gestartet hat und dann eine zweite Kampagne von demselben E-Mail-Konto in einer zweiten Sprache initiiert hat, die auf eine andere Organisation abzielt.

Die Erkenntnisse, die Abnormal Security im Rahmen der aktiven Abwehrmaßnahmen gegen Mandarin Capybara gesammelt hat, zeigen, dass die Gruppe zwar häufig Maultierkonten in anderen Ländern verwendet, die Art der Konten jedoch den Maultierkonten ähnelt, die bei Angriffen auf US-Unternehmen zur Abzweigung von Lohngeldern verwendet werden.

Im Gegensatz zu anderen Arten von Zahlungsbetrugs-BEC-Angriffen verwendet die überwiegende Mehrheit der Angriffe zur Abzweigung von Gehaltszahlungen nicht-traditionelle Fintech-Konten, um betrügerische Gelder zu erhalten.

In den Vereinigten Staaten sind die am häufigsten genutzten Banken Green Dot, GoBank, Sutton Bank und MetaBank, die alle entweder mit Prepaid-Karten oder mobilen Zahlungsdiensten wie CashApp verbunden sind. In ähnlicher Weise hat Mandarin Capybara Maultierkonten bei europäischen Fintech-Institutionen wie Revoilut, Saurus, Monese, Bunq und SisalPay eingerichtet, um Gelder aus ihren Angriffen zur Abzweigung von Lohngeldern zu erhalten.

Wie Sie Ihr Unternehmen vor mehrsprachigen BEC-Angriffen schützen können

Da E-Mail-Marketing- und Übersetzungstools immer präziser, effektiver und zugänglicher werden, werden Hacker diese immer erfolgreicher nutzen, um Unternehmen zu betrügen. Und nicht nur das: Da diese E-Mails legitim klingen und sich auf Verhaltensmanipulation statt auf mit Malware infizierte Dateien stützen, werden Midnight Hedgehog, Mandarin Capybara und andere ähnliche BEC-Gruppen in der Lage sein, bestehende Sicherheitssysteme und Spam-Filter leicht zu umgehen.

Was kann also getan werden? Es ist wichtig, Verfahren zur Überprüfung ausgehender Zahlungen und zur Aktualisierung der Gehaltsabrechnungen einzurichten und Ihre Mitarbeiter durch Schulungen zum Sicherheitsbewusstsein wachsam zu halten. Der beste Weg, um zu verhindern, dass Ihre Mitarbeiter auf diese Angriffe hereinfallen, besteht jedoch darin, dafür zu sorgen, dass sie sie gar nicht erst erhalten.

Dazu ist es wichtig, verhaltensbasierte Sicherheit zu implementieren, die maschinelles Lernen und KI nutzt, um Identität und Verhalten zu verstehen. Lösungen, die das normale Verhalten erfassen, können den nötigen Kontext liefern, um festzustellen, wann ein anormales Verhalten vorliegt – unabhängig davon, in welcher Sprache der Angriff gesendet wird.

Although these attacks are not as common as phishing or identity theft, they represent the most expensive threat currently facing businesses internationally. Since 2016, BEC attacks have consistently ranked at the top of the FBI’s list of the most expensive cyber crimes in the United States.

However, it turns out that BEC is not only prevalent in English-speaking countries. The most high-profile case in Germany occurred at automotive supplier Leoni AG of Nuremberg, Germany. The damage amounted to 40 million euros, as the company had to confirm in a stock exchange announcement in 2016. The stock market price subsequently fell by 8 percent. Currently, Leoni AG generated sales of around 5.1 billion euros in 2022 (2021: 5.12 billion euros), according to preliminary, unaudited business figures.

Attackers identified

Recently, Abnormal Security identified two groups posing as executives to conduct BEC attacks on companies worldwide. They are Midnight Hedgehog, a group that conducts payment fraud, and Mandarin Capybara, a group that conducts payroll diversion attacks. Together, they have launched BEC campaigns in at least 13 different languages, including Danish, Dutch, Estonian, French, German, Hungarian, Italian, Norwegian, Polish, Portuguese, and Spanish.

How hackers carry out targeted multilingual attacks

Attacks against targets in different regions and using multiple languages are nothing new. However, in the past, these attacks were mainly perpetrated by sophisticated organizations with large budgets and advanced resources. For example, to effectively translate email texts for more credible social engineering efforts, threat groups may hire native speakers.

However, as technology becomes more accessible and affordable, the barrier to entry is also lowering. Abnormal Security has consistently observed BEC actors using the same commercial online services that sales and marketing teams rely on to identify prospects and personalize communications. Using these resources, BEC actors typically collect contact information – known as „leads“ – within a specific geographic area, usually a single country or state.

And thanks to the proliferation of automated translation tools like Google Translate, scammers can instantly translate emails into any language they want. For example, a group can run a campaign in the Netherlands with Dutch text while simultaneously running the same campaign in Spain with Spanish text.

As long as the hackers use second-rate tools like Google Translate and Microsoft Translate, there is not much to worry about. On the other hand, if they use Deepl, which is a German value-added tool that is toweringly superior to its American competitors, things get really dangerous.

By using widely available marketing technologies and highly accurate translation apps, attackers can quickly scale their efforts, maximize their reach, and do damage around the world. And because many translation tools now use machine learning to improve context, such as translating the meaning of a sentence rather than each individual word, they are much easier to manipulate for nefarious purposes.

Users now pay attention to spelling and grammatical errors to better identify whether they may have received an attack. When these are not present, native speakers are less likely to note that something is amiss.

Midnight Hedgehog: Payment fraud around the world

The first group impersonates executives to trick recipients into making payments for fake services – usually by posing as the CEO of a company. As with other impersonation attacks, the Midnight Hedgehog threat actors appear to thoroughly research their target’s responsibilities and relationship to the CEO, then create fake email accounts that mimic a real account. As with many payment fraud attacks, the group targets financial managers or other executives responsible for initiating the company’s financial transactions.

Abnormal Security has seen attacks from Midnight Hedgehog dating back to at least January 2021. The attacks were sent from accounts hosted at various free webmail providers such as Gmail, Yandex, Earthlink and Web.de, as well as domains the group registered with NameCheap or GoDaddy. Based on intelligence gathered by Abnormal Security during our active defense efforts against the group, individuals associated with the group are likely located in multiple countries, including England, Canada, the United States and Nigeria.

In one version, the Midnight Hedgehog actor poses as a business executive and urges the target to make a payment to a company in England. In a second version, the actor asks the target to provide the company’s current account balance and requests that the target make a payment of a certain amount immediately.

Mandarin Capybara: billing detour in multiple languages

Another group that uses a variety of languages in its attacks is Mandarin Capybara, which also poses as company executives. Rather than committing payment fraud, however, Mandarin Capybara targets human resources employees in payroll diversion attacks, asking them to change the executive’s direct deposit information to an account under the group’s control.

The earliest Mandarin Capybara attack Abnormal Security observed was in February 2021, when the group consistently used Gmail accounts to send its attacks and updated the display name in each email to spoof the name of the executive it was impersonating.

Unlike Midnight Hedgehog, which only attacks companies in Europe with non-English messages, Mandarin Capybara has attacked companies around the world. Abnormal Security has observed the group attacking U.S. and Australian companies in English, Canadian organizations in French, and European companies in eight languages: Dutch, French, German, Italian, Polish, Portuguese, Spanish and Swedish.

The initial emails from Mandarin Capybara resemble many other payroll templates. The attacker asks if it can update its payroll account to take effect before the next payday. Abnormal Security has observed several instances where the group launched a BEC campaign in one language and then initiated a second campaign from the same email account in a second language targeting a different organization.

Intelligence gathered by Abnormal Security as part of its active defenses against Mandarin Capybara shows that while the group frequently uses mule accounts in other countries, the nature of the accounts is similar to mule accounts used to divert payroll funds in attacks against U.S. companies.

Unlike other types of payment fraud BEC attacks, the vast majority of payroll diversion attacks use nontraditional fintech accounts to obtain fraudulent funds.

In the United States, the most commonly used banks are Green Dot, GoBank, Sutton Bank, and MetaBank, all of which are linked to either prepaid cards or mobile payment services such as CashApp. Similarly, Mandarin Capybara has set up mule accounts with European fintech institutions such as Revoilut, Saurus, Monese, Bunq, and SisalPay to receive funds from their payroll diversion attacks.

How to Protect Your Company Against Multilingual BEC Attacks

As email marketing and translation tools become more accurate, effective, and accessible, we will continue to see hackers exploiting them to scam companies with increasing success. Not only that, because these emails sound legitimate and rely on behavioral manipulation instead of malware-infected files, Midnight Hedgehog, Mandarin Capybara, and other similar BEC groups will be able to easily bypass legacy security systems and spam filters.

So what can be done? It’s important to put procedures in place to verify outgoing payments and payroll updates and keep your workforce vigilant with security awareness training. But the best way to prevent your employees from falling for these attacks is simply to ensure that they never receive them in the first place.

To do so, it is essential to implement behavioral-based security that uses machine learning and AI to understand identity and behavior. Solutions that baseline normal behavior can provide the context needed to determine when anomalous behavior is occurring—no matter in which language the attack is sent.