In diesem Bericht wird die aktuelle Bedrohungslage in Bezug auf Arbeitslosenbetrug in den USA durch vertrauliche Quellen und Untergrundberichterstattung untersucht. Es enthält Informationen, die mithilfe der Plattform Recorded Future ® gesammelt wurden, sowie zusätzliche Open Source Intelligence (OSINT), Dark Web-Quellen und Recherchen in Untergrundforen. Es ist für Organisationen von Interesse, die den Arbeitslosenbetrug in der kriminellen Unterwelt besser verstehen möchten, sowie für Ermittler, die Bedrohungsakteure bekämpfen, die solche Angriffe durchführen.

Executive Summary

Die COVID-19-Pandemie hat zur Kommerzialisierung einer Reihe von kriminellen Dienstleistungen rund um die Arbeitslosenhilfe geführt, die ursprünglich für Menschen gedacht war, deren Leben durch das Virus beeinträchtigt wurde. Arbeitslosenbetrug ist in letzter Zeit für Bedrohungsakteure immer leichter zugänglich geworden und stellt für unerfahrene Cyberkriminelle eine niedrige Eintrittsbarriere dar. Der Erfolg der Betrugskampagnen in diesem Jahr rund um die Hilfsmaßnahmen zur Bekämpfung der COVID-19-Pandemie ist wahrscheinlich das Ergebnis einer Kombination aus Faktoren. Dazu zählen erfolgreiche Social-Engineering-Kampagnen, der Einsatz von in den gesamten USA operierenden Geldkurieren und die Verwendung von Anmeldeinformationen oder personenbezogenen Daten (PII), die bei Datenpannen, -dumps oder -lecks offengelegt wurden, durch Bedrohungsakteure. Einige Betrüger, die es auf Arbeitslosenunterstützungssysteme abgesehen haben, verlassen sich eher auf traditionelle Formen des Social Engineering, beispielsweise gezielte Phishing-E-Mails, die sich an die Geschäftsführung eines Unternehmens richten. Andere Taktiken, wie etwa der mutmaßliche Einsatz von Geldkurieren im Zusammenhang mit diesen betrügerischen Aktivitäten, überschneiden sich mit den Taktiken anderer cyberkrimineller Gruppen, die sich auf verschiedene Arten von Betrug spezialisiert haben. Dabei handelt es sich insbesondere um Banden, die sich auf BEC-Systeme (Business Email Compromise) spezialisiert haben.

Angesichts der Menge an im Untergrund verbreiteten Hinweisen auf den Verkauf von Tutorials zum Thema Arbeitslosenbetrug und der Anzahl der Aufrufe, die diese Methoden generieren, ist es wahrscheinlich, dass viele Betrüger noch neu bei dieser Art von Betrug sind. Recorded Future hat keine Hinweise darauf gesehen, dass die Täter Schwachstellen in Regierungssystemen ausnutzen. Stattdessen verlassen sie sich auf ihre Fähigkeit, durch die Nutzung zuvor offengelegter Informationen opportunistisch möglichst viele Opfer im ganzen Land ins Visier zu nehmen. Der allgemeine Anstieg des Arbeitslosenbetrugs im Jahr 2020 wurde wahrscheinlich auch durch Lücken in der Sicherheitshygiene mehrerer Regierungsorganisationen verschärft, die für den virtuellen und physischen Schutz der Daten von Arbeitslosenantragstellern verantwortlich sind. Ein Beleg hierfür ist die Tatsache, dass in einigen Bundesstaaten mutmaßlich Akteure versucht haben, physische Postsendungen abzufangen, die persönliche Daten im Zusammenhang mit Arbeitslosenanträgen enthielten. Die allgemeine Flut betrügerischer Arbeitslosenanträge, die in vielen Staaten die Regierungsangestellten überwältigt, wird auch dadurch begünstigt, dass Cyberkriminelle nur geringe Zugangsbarrieren haben und sich gestohlene Accounts oder günstige Anleitungen und Methoden für ähnliche Betrugsfälle kaufen können.

Wesentliche Urteile und Erkenntnisse

• Die Werbung für betrügerische Arbeitslosenunterstützung in der Berichterstattung der letzten sechs Monate kann in zwei große Kategorien unterteilt werden:
• Der Verkauf von Tutorials oder Methoden zur Geltendmachung betrügerischer Ansprüche
• Der Verkauf des direkten Zugangs zu Arbeitslosenhilfekonten, die oft bereits vorhandene Guthaben enthalten
• In den letzten sechs Monaten haben Cyberkriminelle gezeigt, dass sie Tutorials oder Dienste zum Thema Arbeitslosenbetrug lieber über Messaging-Plattformen als über kriminelle Foren, Shops oder Marktplätze (insbesondere Telegram) bewerben.
• Untergrundquellen, die für Arbeitslosenbetrug werben, spezialisieren sich typischerweise gleichzeitig auf eine Vielzahl anderer Formen des Betrugs, darunter Kreditkartenbetrug und Steuerbetrug.
• Das Ausmaß betrügerischer Arbeitslosenanträge hat in den letzten Monaten in den USA so stark zugenommen, dass es kaum einer einzelnen Bedrohungsinstanz zuzuschreiben ist.
• Die Open-Source-Berichterstattung über die gemeldeten Verluste durch Arbeitslosenbetrug, die auf mehrere Millionen Dollar geschätzt werden, hat sehr wahrscheinlich zum wachsenden Interesse der Untergrund-Bedrohungsakteure beigetragen.
• Geldkuriere bleiben wahrscheinlich weiterhin ein entscheidender Bestandteil der Lieferkette des Arbeitslosenbetrugs, wie von Untergrundverkäufern betrügerischer Methoden zur Arbeitslosenunterstützung hochgeladene Bilder und Open-Source-Berichte über die Festnahme mutmaßlicher Geldkuriere im Jahr 2020 belegen.

Hintergrund

Seit Beginn der COVID-19-Pandemie wird in den gesamten USA von grassierendem Arbeitslosenbetrug berichtet, wobei jeder Bundesstaat in unterschiedlichem Ausmaß betroffen ist. Dies hat sich in verschiedenen Formen gezeigt, von Bedrohungsakteuren, die unter Verwendung gestohlener personenbezogener Daten Arbeitslosenanträge stellen, bis hin zu Staatsbeamten, die mit Berichten über Geldkuriere zu kämpfen haben, die gestohlene Gelder an betrügerische Bedrohungsakteure im Ausland weiterleiten.

• Im Januar 2020 beschrieb das Federal Bureau of Investigation (FBI) detailliert, wie Cyberkriminelle gefälschte Websites nutzen, um personenbezogene Daten zu sammeln und Geld zu stehlen, um mit zunehmender Komplexität gefälschte Einstellungsbetrügereien durchzuführen. Dabei werben sie neben legitimen Arbeitgebern und Arbeitsvermittlungsfirmen, um Opfer aller Qualifikations- und Einkommensstufen anzusprechen. Kriminelle, die auf der Suche nach personenbezogenen Daten sind, um Arbeitslosenbetrug zu begehen, werden wahrscheinlich weiterhin Informationen aus zuvor gemeldeten Datendumps oder -verletzungen sammeln oder auf anderen kriminellen Marktplätzen, die oft automatisiert sind und die Informationen zu niedrigen Preisen verkaufen.
• Vier Monate später brachte der US-Geheimdienst (USSS) zunehmende Berichte über Betrug bei staatlichen Arbeitslosenversicherungsprogrammen mit einem "gut organisierten" nigerianischen Betrügerring in Verbindung . Forscher von Agari veröffentlichten Informationen, die einen Teil dieses nigerianischen Betrugs einer Gruppe von Cyberkriminellen namens Scattered Canary zuschrieben. Die potenziellen Verluste, die sich aus den Aktivitäten der Gruppe in den letzten Jahren ergeben, werden auf Hunderte von Millionen Dollar geschätzt . Die USSS sagte, dass das Betrugsnetzwerk vermutlich Hunderte von Geldkurieren umfasst, ein Begriff, der verwendet wird, um willige oder unwissentliche Personen zu beschreiben, die rekrutiert werden, um bei der Geldwäsche der Erlöse aus betrügerischen Finanztransaktionen zu helfen.

In mehreren Bundesstaaten gibt es weiterhin Berichte über grassierenden Betrug bei der Arbeitslosigkeit. Recorded Future hat keine Fälle von Betrug bei der Arbeitslosigkeit gesehen, die auf eine inhärente Schwachstelle innerhalb eines Regierungssystems zurückzuführen sind; Vielmehr wurden in den Berichten verschiedene Techniken detailliert beschrieben, die von einzelnen Betrügern von Bundesstaat zu Bundesstaat verwendet werden, so dass es unwahrscheinlich ist, dass alle Berichte über Betrug bei der Arbeitslosigkeit, die in diesem Jahr aufgetaucht sind, auf eine übergreifende Bedrohungseinheit zurückzuführen sind. Der allgemeine Anstieg des Betrugs bei der Arbeitslosigkeit im Jahr 2020 wurde wahrscheinlich durch Versäumnisse bei der Sicherheitshygiene mehrerer Regierungsorganisationen verstärkt, die für den Schutz der Daten von Arbeitslosenbewerbern verantwortlich sind. Sicherheitsexperten gehen davon aus, dass mehrere Bundesstaaten wahrscheinlich schon vor der COVID-19-Pandemie Probleme im Zusammenhang mit ihrer Fähigkeit hatten, diese spezielle Form von Betrug zu bekämpfen, einschließlich Versäumnissen bei:

• Implementierung oder Erneuerung einer Identitätsprüfungssoftware zur Überprüfung von Ansprüchen vor ihrer Verbreitung
• Abgleich von Leistungsansprüchen mit personenbezogenen Daten anderer Personen wie Gefängnisinsassen, als verstorben aufgeführte Personen oder Einwohneraußerhalb des Bundesstaates
• Stellen Sie sicher, dass personenbezogene Daten des Antragstellers, wie etwa die Sozialversicherungsnummer (SSN), nicht in der Postkorrespondenz enthalten sind, die einem Diebstahl ausgesetzt sein könnte.

Es ist sehr wahrscheinlich, dass aufstrebende Cyberkriminelle durch Open-Source-Berichte ermutigt wurden, in denen detailliert beschrieben wird, wie einfach es ist, diese Art von betrügerischen Aktivitäten durchzuführen, ohne dass man sich mit Arbeitslosensystemen auskennt. Darüber hinaus ist der Kauf eines Lernprogramms oder einer Methode zur Durchführung ihrer Aktivitäten relativ niedrig.

Bedrohungsanalyse

Die Werbung für betrügerische Arbeitslosenunterstützung in der Berichterstattung über vertrauliche Quellen in den letzten sechs Monaten kann in zwei große Kategorien unterteilt werden:

• Der Verkauf von Tutorials oder Methoden zur Einreichung betrügerischer Ansprüche bei staatlichen Systemen oder Plattformen, die bei der Arbeitslosenhilfe helfen
• Der Verkauf des direkten Zugangs zu Arbeitslosenhilfekonten, die oft bereits vorhandene Guthaben enthalten

Im März 2020 verabschiedeten die US-Gesetzgeber den Coronavirus Aid, Relief, and Economic Security (CARES) Act, mit dem das Programm Pandemic Unemployment Assistance (PUA) eingerichtet wurde. Dieses Programm erweitert den Anspruch auf Arbeitslosenversicherung auf Selbstständige, Freiberufler, unabhängige Auftragnehmer und Teilzeitbeschäftigte, die vom Coronavirus betroffen sind. Obwohl das PUA-Programm nur eine Komponente der Arbeitslosenhilfe ist, die von staatlichen Stellen in den USA als Reaktion auf die Pandemie angeboten wird, ist es weiterhin ein integraler Bestandteil des wachsenden Volumens von Untergrundwerbung im Zusammenhang mit Arbeitslosenbetrug.

Die folgende Abbildung zeigt die Ergebnisse einer Umfrage unter den Mitgliedern eines Telegram-Kanals, der sich mit mehreren Formen betrügerischer Aktivitäten befasst. Obwohl der Verkauf von PUA-Informationen in der Umfrage nur den letzten Platz belegte, zeigt allein seine Aufnahme in die Umfrage, dass diese Form betrügerischer Aktivitäten unter Cyberkriminellen eine ausreichende Nachfrage erzeugt hat, um eine eigene Verkaufskategorie innerhalb der geschlossenen Quellen zu rechtfertigen. Recorded Future ist bekannt, dass mindestens ein Telegram-Kanal eine „Operation“ durchgeführt hat. Grund dafür war die Erwartung, dass die Bestimmungen zur Arbeitslosenhilfe Ende 2020 auslaufen würden. Dadurch wurden betrügerische PUA-Ansprüche zur Priorität für die Administratoren des Kanals, die versuchten, möglichst viele Einnahmen zu generieren, für den Fall, dass das PUA-Programm oder andere Angebote zur Arbeitslosenhilfe plötzlich eingestellt würden.

In den letzten sechs Monaten haben Cyberkriminelle gezeigt, dass sie Tutorials zum Thema Arbeitslosenbetrug oder Kontoinformationen lieber über Messaging-Plattformen als über kriminelle Foren, Shops oder Marktplätze verbreiten. Allerdings bleibt die Nachfrage auf den traditionellen Märkten hoch genug, damit die Administratoren weiterhin verschiedene Angebote im Zusammenhang mit Arbeitslosenbetrug unterstützen.

Ein weiterer attraktiver Aspekt dieser Form des Betrugs ist der relativ niedrige Preis für Tutorials oder Kontoinformationen. Recorded Future hat beobachtet, dass Tutorials und Methoden zum Arbeitslosenbetrug je nach Zielstaat für zwischen 5 und 100 US-Dollar verkauft werden. Der Preis für PUA-Informationen oder den Zugriff auf eine Plattform der Landesregierung, auf der bereits Hilfsgelder gutgeschrieben waren, war in der Regel höher (wie in Abbildung 3 unten dargestellt, wo einige Bedrohungsakteure zwischen 80 und 100 US-Dollar für PUA-Informationen im Zusammenhang mit Arbeitslosenanträgen in New York und Wisconsin verlangten).

Bedrohungsakteure, die diese Informationen verkauften, zeigten ihre Bereitschaft, auf Konten mit Hilfsguthaben im Wert von mehreren Tausend Dollar zu verzichten, um den langfristigen Erfolg ihres Untergrund-Geschäftsmodells zu sichern. Darüber hinaus ist der höhere Preis für den direkten Zugriff auf Konten mit bereits vorhandenen Guthaben im Gegensatz zu den Tutorials wahrscheinlich darauf zurückzuführen, dass Käufer so leichter auf die Mittel zugreifen können, die ein anderer erfahrener Akteur wahrscheinlich bereits beschafft hat. Dies steht im Gegensatz zu Tutorials, bei denen der Käufer letztendlich immer noch dafür verantwortlich ist, Opferkonten zu erhalten, um Gewinn zu erzielen und gleichzeitig der Aufmerksamkeit der Strafverfolgungsbehörden zu entgehen.

Andere Betrugsmethoden im Zusammenhang mit Arbeitslosenbetrug enthielten aus Sicht der Cyberkriminellen nützliche Tipps, um die Erfolgsaussichten bei der Einreichung eines betrügerischen Antrags zu erhöhen. Zu den von Betrügern in mehreren Tutorials empfohlenen Tipps gehörten die folgenden:

• Wenn Sie in einem Antrag gefragt werden, wann sich die COVID-19-Pandemie auf Ihre Erwerbstätigkeit ausgewirkt hat, geben Sie den 25. März 2020 an, also nur zwei Tage vor der Verabschiedung des CARES Act durch den Kongress.
• Wenn Sie Ihren Antrag möglichst als „Selbstständiger“ einreichen, erhalten Sie mehr Geld als diejenigen, die angeben, für ein anderes Unternehmen zu arbeiten.
• In diesem Leitfaden wurden später auch andere Betrüger beraten, mit welcher Methode sie bei der Geltendmachung von Ansprüchen Erfolg hatten. Im Fall dieses Tutorials empfiehlt der Autor, sich als „professioneller Fotograf“ oder als jemand anderen auszugeben, der in einer Remote-Umgebung schwieriger zu erfüllen wäre.
• Wenn Sie bei der Einreichung eines betrügerischen Anspruchs gefragt werden, wie viel Sie im Jahr 2019 jährlich verdient haben, geben Sie einen Betrag zwischen 16.850 und 42.100 US-Dollar an. Der Autor in diesem Fall war wahrscheinlich der Ansicht, dass die Angabe eines Gehalts über einem bestimmten Schwellenwert die Wahrscheinlichkeit erhöht, dass es von Ermittlern der Strafverfolgungsbehörden oder staatlichen Behörden bei der Überprüfung einzelner Ansprüche aufgefallen wäre.
• In mehreren Tutorials wurden auch Social-Engineering-Techniken behandelt. In einem Leitfaden gaben die Autoren an, dass ein Anruf bei einer PUA-„Anspruchshotline“ und die Eingabe einer aus einer anderen Quelle erhaltenen Sozialversicherungsnummer (SSN) verifizieren könne, ob die betreffende Person bereits einen offenen Anspruch auf Arbeitslosenhilfe habe. Wenn noch kein Anspruch geltend gemacht wurde, wurden Websites zur Aggregation öffentlicher Datensätze wie Verified und Truthfinder als Quellen für zusätzliche PII zu einem Ziel empfohlen. Die Akteure rieten ausdrücklich dazu, die „guten“ Informationen zur Sozialversicherungsnummer und zum Geburtsdatum einer Zielperson zu verwenden, um auf diesen Websites zur Aggregation öffentlicher Daten weitere Nachforschungen anzustellen, wahrscheinlich um so weitere personenbezogene Daten zu sammeln. Allerdings zeigten die Akteure in diesem Leitfaden auch eine gewisse Voreingenommenheit. Ihre abschließende Empfehlung lautete, einen bestimmten Untergrundmarktplatz aufzusuchen, mit dem sie in Verbindung stehen, um weitere Informationen zu erwerben.

Untergrundquellen, die betrügerische Tutorials zur Arbeitslosenunterstützung oder Kontoinformationen verkaufen, sind in der Regel auf andere Formen des Betrugs spezialisiert, darunter Kreditkarten- und Steuerbetrug. Darüber hinaus scheinen die Anbieter dieser Art von Betrug nicht alle Ressourcen darauf zu verwenden, jeweils die Arbeitslosensysteme eines einzelnen Staates ins Visier zu nehmen. Stattdessen bieten sie Dienste für den gleichzeitigen Zugriff auf Informationen aus mehreren Staaten an, je nach Kundennachfrage und Schwierigkeitsgrad, Zugriff auf Arbeitslosenhilfekonten in einem bestimmten Staat zu erhalten.

Kriminelle Shops wie Genesis Store und Russian Market, die auf den Verkauf des Browserverlaufs oder „digitalen Fußabdrucks“ eines Endbenutzers spezialisiert sind, enthielten im Jahr 2020 außerdem regelmäßig Anmeldeinformationen für Domänen der Landesregierung, die mit der Arbeitslosenhilfe in Verbindung stehen. Recorded Future hat bei den Cyberkriminellen weder Hinweise noch Kommentare dazu gefunden, dass diese „Bots“, die Anmeldeinformationen für die Landesregierung enthalten, speziell für den Zweck gekauft wurden, Arbeitslosenbetrug zu begehen. Allerdings ist es aufgrund der fehlenden Diskussionsfunktion in diesen Shops schwierig, die spezifischen Motive hinter den Käufen aus diesen Quellen zu ermitteln.

Warnung vor Änderungen in der staatlichen Überwachung

Infolge des stetigen Anstiegs der Berichte über Betrug bei der Arbeitslosigkeit in den USA haben die Bundesstaaten in unterschiedlichem Maße versucht, die Bedrohung durch diese Form betrügerischer Aktivitäten zu mindern. Bis November 2020 meldete die USSS 700 offene Ermittlungen im Zusammenhang mit Betrug im Zusammenhang mit dem Paycheck Protection Program und dem Unemployment Relief Insurance Program. Da die einzelnen Staaten weiterhin stärkere Sicherheitsvorkehrungen zur Bekämpfung dieses grassierenden Betrugs entwickeln, überwachen Cyberkriminelle, die mit Betrugsmethoden oder Kontoinformationen für Arbeitslosigkeit werben, diese Änderungen ebenfalls und passen sich entsprechend an.

• Abbildung 5 unten zeigt den Administrator eines Telegram-Kanals, der sich mit betrügerischen Aktivitäten beschäftigt und den Mitgliedern davon abrät, Käufe oder Zugriffsversuche auf Arbeitslosenplattformen zu unternehmen, die mit sieben bestimmten US-Bundesstaaten verknüpft sind, von denen sie nicht mehr annahmen, dass diese finanzielle Hilfen verteilen.
• Einzelne Telegram-Kanäle scheinen unterschiedliche Empfehlungen dazu zu geben, welcher Staat zu einem bestimmten Zeitpunkt ein ideales Ziel ist und welcher nicht. Beispielsweise begannen Bedrohungsakteure innerhalb von zwei Wochen nach dem Telegram-Post in Abbildung 5, der ursprünglich im November 2020 hochgeladen wurde, trotz dieser vorherigen Warnungen durch die Kanaladministratoren wieder damit, Methoden oder Kontoinformationen zu verkaufen, die mit staatlichen Systemen in Ohio in Verbindung stehen, innerhalb desselben Kanals.
• Bedrohungsakteure innerhalb dieser Messaging-Plattform-Kanäle haben außerdem ihre Besorgnis darüber zum Ausdruck gebracht, dass einige Staaten besser in der Lage sind, ihren Standort zu ermitteln als andere. In einem Szenario beobachtete Recorded Future den Kommentar eines Benutzers, der anderen Benutzern riet, sich von vier bestimmten US-Bundesstaaten fernzuhalten, von denen er annahm, dass dort wahrscheinlich Tracking-Anwendungen zur Überwachung betrügerischer Ansprüche eingesetzt würden. Die Verwendung von Proxy-IP-Adressen wurde innerhalb geschlossener Quellen dringend empfohlen, um diese Form der Verfolgung zu verhindern und sicherzustellen, dass ein Benutzer nicht von Arbeitslosenplattformen ausgesperrt wird, falls Regierungsstellen seine ursprüngliche IP-Adresse als verdächtig markieren.

Uns sind keine Sicherheitslücken in Regierungs- oder Unternehmenssystemen bekannt, die zur Verbreitung dieser betrügerischen Aktivitäten beigetragen haben. Es ist wahrscheinlicher, dass Bedrohungsakteure weiterhin opportunistisch Arbeitslosenhilfeplattformen ins Visier nehmen, indem sie offengelegte Anmeldeinformationen sammeln oder PII-Pakete zum Verkauf aus Untergrundquellen kaufen.

Unterstützung anderer Betrüger

Im Allgemeinen waren die Administratoren, die Kanäle innerhalb von Messaging-Plattformen pflegen, die sich mit Arbeitslosenbetrug befassen, gegenüber der Idee aufgeschlossen, neuere Benutzer zu betreuen. Wahrscheinlich handelte es sich dabei um den Versuch, eine langfristige Beziehung mit Partnern aufzubauen, die in der Lage sind, Nachfrage für ihre Kanäle zu generieren und den Umsatz zu steigern. Diese Bereitschaft der Cyberkriminellen, bei Arbeitslosenbetrug zusammenzuarbeiten, übertrug sich auch auf die Foren der Cyberkriminellen, wo wir immer wieder Anfragen von Benutzern beobachteten, die nach „seriösen“ Partnern für langfristige Betrugsaktivitäten suchten. Da diese Threads Interessenten dazu ermutigten, den Anbieter über private Kanäle zu kontaktieren, war die Einsicht, die Recorded Future in den potenziellen Erfolg dieser Partnerschaften hatte, begrenzt.

_Abbildung 7: Antrag auf Arbeitslosengeld Partner _

Anbieter von Beschäftigungsbetrug oder PUA-Betrugsmethoden sind oft in mehrere verschiedene Betrügereien gleichzeitig verwickelt, darunter Betrug im Zusammenhang mit Katastrophenhilfe, Sozialversicherungsbetrug, Steuerbetrug und Kreditkartenbetrug. Dies ist bei cyberkriminellen Organisationen die Norm, da sie mehrere Dienste betreiben können, die unterschiedliche Einnahmequellen bieten.

Recorded Future hat mehrere in der kriminellen Unterwelt kursierende Tutorials und Methoden im Hinblick auf eine Kombination aus PUA- oder allgemeinen Arbeitslosenbetrugstechniken geprüft. Bei den meisten der beworbenen Methoden ging man davon aus, dass Cyberkriminelle bereits im Besitz gestohlener PII oder „Fullz“ seien, um die Anleitungen auszunutzen und damit Gewinn zu erzielen. „Fullz“ ist ein umgangssprachlicher Begriff für „vollständige Informationen“, den Kriminelle, die PII stehlen, verwenden, um sich auf einen Satz von Informationen zu einem potenziellen Betrugsopfer zu beziehen. Dazu gehören im Allgemeinen Name, Adresse, Geburtsdatum, Sozialversicherungs- und Führerscheinnummer einer Person sowie PII von Familienmitgliedern und alle anderen verfügbaren Informationen (wie etwa Straf- oder Beschäftigungsregister).

Dieselben Verkäufer von PUA-Betrugsmethoden waren sehr oft bereit, diese Informationen gegen Aufpreis separat zu verkaufen. Dies zeigt, dass der finanzielle Erfolg weiterhin die eigentliche Motivation darstellt, trotz aller Versuche der Anbieter, sich als barmherzige Samariter darzustellen, die bereit sind, jungen Kriminellen zu helfen, die mit dieser Art von Betrug möglicherweise noch nicht vertraut sind.

Zielgerichtete Bekämpfung und Zuordnung von Arbeitslosenbetrug

Im Mai 2020 veröffentlichten Forscher der Sicherheitsfirma Agari ihre Erkenntnisse über eine nigerianische cyberkriminelle Gruppe, die als "Scattered Canary" verfolgt wird und in den USA betrügerische Anträge auf Arbeitslosigkeit und CARES Act begeht. Die cyberkriminelle Gruppe Scattered Canary fungiert als Full-Service-BEC-Operation (Business Email Compromise), die Betrügereien wie E-Mail-Imitation und Phishing verwendet, um Unternehmen dazu zu bringen, gefälschte Verträge und andere gefälschte Rechnungen zu bezahlen. Basierend auf Agaris Telemetriedaten befanden sich die meisten Ziele in sieben US-Bundesstaaten: Florida, Massachusetts, North Carolina, Oklahoma, Rhode Island, Washington und Wyoming. Es wurde berichtet, dass Bedrohungsakteure, die mit Scattered Canary in Verbindung stehen, eine Kombination von Prepaid-Karten verwendet haben, um Zahlungen zu empfangen und E-Mail-Konten in großen Mengen zu erstellen:

• Insgesamt nutzte Scattered Canary mindestens 47 Prepaid-Kartenkonten von Green Dot, um die betrügerischen Zahlungen zu erhalten.
• Scattered Canary nutzte Gmail-Konten , um auf jeder Zielwebsite massenhaft Konten zu erstellen. Da Google bei der Interpretation von Gmail-Adressen Punkte ignoriert, wird angenommen, dass Scattered Canary in der Lage war, Dutzende von Konten auf staatlichen Arbeitslosen-Websites und der IRS-Website zu erstellen, die der Verarbeitung von CARES-Act-Zahlungen für Nicht-Steuerzahler gewidmet ist (freefilefillableforms[.]com).
• Beispiele für die Gmail-Punktformatierungsstruktur, die von Scattered Canary zum Versenden von Phishing-E-Mails zur Arbeitslosenunterstützung verwendet wird:
• badactor2021@gmail[.]com
• badactor202.1@gmail[.]com
• badactor202.21@gmail[.]com
• Durch diese Taktik konnte Scattered Canary seine Abläufe effizienter skalieren, indem die gesamte Kommunikation an ein einziges Gmail-Konto weitergeleitet wurde. Laut Agari entfällt dadurch die Notwendigkeit, für jedes auf einer Website erstellte Konto ein neues E-Mail-Konto zu erstellen und zu überwachen, was die Transaktionen letztendlich schneller und effizienter macht.

Agari berichtete, dass die gezielte Bekämpfung der staatlichen Arbeitslosenunterstützung für die Gruppe von Interesse sei, die seit Mai 2020 unter neun Identitäten gezielt die texanischen Arbeitslosensysteme ins Visier genommen hatte. Recorded Future hat zum jetzigen Zeitpunkt keine weiteren Erkenntnisse darüber, wie viele der mit Scattered Canary in Verbindung stehenden betrügerischen Ansprüche von den einzelnen Bundesstaaten ausgezahlt werden. Eine Überprüfung der auf Messaging-Plattformen hochgeladenen Videos, die Informationen zur staatlichen Arbeitslosenhilfe verkaufen, ergab jedoch eine wahrscheinliche Verbindung zu Betreibern mit Sitz in Westafrika.

• Ein auf eine betrügerische Messaging-Plattform hochgeladenes Video zeigte, wie ein wahrscheinliches Mitglied des Kanals ein Paket von Samamiah (Shipping) Enterprise Limited erhielt, einem Versand- und Lieferunternehmen, das Waren zum Transport (von Tür zu Tür) vom Vereinigten Königreich nach Ghana annimmt. Laut Agari stammten 10 Prozent des BEC-Betrugs zwischen Mai 2019 und Juli 2020 aus Ghana.

Opferberichte, die von Recorded Future erhalten wurden, besagen, dass die Anforderer in der Regel den Namen, die SSN und den Arbeitsplatz eines Ziels kannten, aber alle anderen Daten sind statisch. In einigen Szenarien, die an Recorded Future gemeldet werden, kennen die Anforderer den Namen, die SSN und den Beschäftigungsort des Ziels und versuchen wahrscheinlich, Führungskräfte oder Personen mit hohem Vermögen ins Visier zu nehmen. Dies ist eine gängige Technik innerhalb von BEC-Kampagnen, die von Bedrohungsunternehmen wie Scattered Canary orchestriert werden, die von Agari zuerst identifiziert wurde, als die Bedrohungseinheit sich in einer E-Mail an ihren Finanzvorstand als Führungskraft bei Agari ausgab.

Betrügerische Arbeitslosenanträge sind in den USA so weit verbreitet, dass es unwahrscheinlich ist, dass sie von einer einzelnen Bedrohungsinstanz stammen. Bedrohungsakteure wurden wahrscheinlich durch Open-Source-Berichte über die finanziellen Auswirkungen, die betrügerische Arbeitslosenanträge weiterhin haben, ermutigt.

Obwohl sich diese Berichterstattung speziell auf den im Rahmen von Closed-Source-Berichten kursierenden Arbeitslosenbetrug konzentriert, konnte auch beobachtet werden, dass einige opportunistische Akteure, die wenig Rücksicht auf die Aufrechterhaltung der Betriebssicherheit nehmen, auf herkömmlichen Social-Media-Plattformen Werbung machen. Die große Menge an Open-Source-Berichten zum Thema Arbeitslosenbetrug und die auf Millionen geschätzten Verluste haben sehr wahrscheinlich zum wachsenden Interesse und der Motivation der Bedrohungsakteure im Untergrund beigetragen.

Dieses Ausmaß des Interesses spiegelt sich in zahlreichen Statistiken wider, die seit Anfang Dezember 2020 sowohl auf staatlicher als auch auf lokaler Ebene veröffentlicht wurden.

• Eine Folgeuntersuchung von KrebsOnSecurity im August 2020 bestätigte erneut, dass eine Gruppe von Betrügern wahrscheinlich sehr detaillierte persönliche und finanzielle Daten von Amerikanern über einen kostenlosen E-Mail-Dienst teilte. Eine andere, nicht genannte Quelle teilte KrebsOnSecurity mit, dass sie die Kommunikation der Gruppe seit mehreren Wochen überwacht und die Informationen an US-Bundesstaats- und Bundesbehörden weitergegeben haben, um ihre betrügerischen Aktivitäten zu unterbinden. Ähnlich wie bei früheren Berichten über das Ausmaß dieser Betrugskampagnen bei Arbeitslosigkeit sagte die Quelle, dass die Bedrohungsgruppe aus mehreren hundert Personen zu bestehen scheint, die zusammen Dutzende von Millionen Dollar aus den Staats- und Bundeskassen der USA gestohlen haben, und zwar über gefälschte Kreditanträge bei der U.S. Small Business Administration (SBA) und durch betrügerische Arbeitslosenversicherungsansprüche gegen mehrere US-Bundesstaaten.
• Dieser Zusammenhang mit gefälschten Kreditanträgen bei der US-SBA ist bemerkenswert, da er sich mit den Techniken der Scattered Canary-Operationen überschneidet, die Agari im Mai 2020 detailliert beschrieb.
• In einer Warnung an die Gesetzgeber des Bundesstaates im Dezember 2020 schätzte die Bank of America, dass allein durch Betrug im kalifornischen Arbeitslosenunterstützungssystem Verluste in Höhe von 2 Milliarden Dollar entstehen könnten. Die Bank of America gab an, 640.000 Konten mit verdächtigen Aktivitäten identifiziert zu haben, die untersucht werden sollten, um festzustellen, ob es sich um Fälschungen handelt und ob sie geschlossen werden sollten.
• Die Gesamtzahl der in Untergrundkanälen, die sich dem Arbeitslosenbetrug widmen, registrierten Mitglieder ist gestiegen. Ein von den Analysten von Recorded Future beobachteter Kanal hatte Anfang November 2020 etwa 7.500 Mitglieder. Einen Monat später lag die Gesamtzahl der Mitglieder bei über 18.000 und die regelmäßig von einem Administrator des Kanals hochgeladenen neuen Nachrichten erzielten durchschnittlich mehrere tausend Aufrufe.

Abhängigkeit von Geldkurieren

Geldkuriere bleiben wahrscheinlich ein wichtiger Bestandteil der Lieferkette für Arbeitslosenbetrug, wie Bilder zeigen, die von Untergrundverkäufern hochgeladen wurden, um betrügerische Methoden der Arbeitslosigkeit zu zeigen, und Open-Source-Berichte über die Verhaftungen mutmaßlicher Maultiere im Jahr 2020. Die COVID-19-Pandemie hat die Betreiber von Maultieren in diesem Jahr gezwungen, ihre Geschäftsstrategien zu ändern. Ein USSS-Advisory berichtete , dass der mutmaßliche Betrügerring, der hinter diesen Anmeldungen steckt, bereits über eine umfangreiche PII-Datenbank verfügte, um das Anfang des Jahres beobachtete Antragsvolumen einzureichen. Darüber hinaus sagte die USSS, dass das Betrugsnetzwerk vermutlich aus Hunderten von Geldkurieren besteht.

Für Betrüger, die eine Ware physisch von einem Ort zum anderen transportieren müssen oder bei denen betrügerische Gelder zwischen Konten transferiert werden müssen, sind Kuriere unverzichtbar. Bei Geldwäschesystemen rekrutieren die Betrüger außerdem häufig Einzelpersonen als Empfänger von Direkteinzahlungen aus den betrügerischen Transaktionen und leiten dann den Großteil der illegalen Gelder an die Täter weiter, wobei sie einen Prozentsatz als Bezahlung für ihre Bemühungen einbehalten. Die gestiegene Zahl der Verhaftungen im ganzen Land im Zusammenhang mit betrügerischen Anträgen auf Arbeitslosenunterstützung hat auch deutlich gemacht, dass wahrscheinlich mehrere Betrüger unabhängig voneinander agieren und keinerlei direkte Verbindung zu irgendwelchen Auslandsaktivitäten haben.

• Im September 2020 kündigte der Generalstaatsanwalt Josh Shapiro von Pennsylvania (PA) Anklage gegen 20 Insassen und Komplizen an, denen vorgeworfen wird, in drei staatlichen Gefängnissen in Zentral- und Ost-Pennsylvania Arbeitslosenbetrug begangen zu haben. Das Büro des Generalstaatsanwalts gab an, dass auch sechs einzelne Insassen festgenommen wurden, ohne dass irgendwelche Verbindungen zu einem Ring bekannt sind.
• Noch im Oktober 2020 beobachtete Posts von Anbietern auf Untergrundmarktplätzen lassen darauf schließen, dass Geldkuriere wahrscheinlich eine wesentliche Rolle bei der Unterstützung von Geschäften spielen, die auf Darknet-Quellen beworben werden.
• Am 25. Oktober 2020 begann ein Mitglied des Forums Omerta damit, Auszahlungsdienste für betrügerische Arbeitslosenanträge in den USA zu bewerben. Der Bedrohungsakteur gab an, dass seine Geldkuriere („Bank Drops“) Arbeitslosengelder gegen einen separat ausgehandelten Prozentsatz der Banküberweisung auszahlen können.

Gegenmaßnahmen

Ein Betrugsermittler des Bundes, der im Mai 2020 unter der Bedingung der Anonymität mit KrebsOnSecurity sprach , sagte, dass in vielen US-Bundesstaaten keine ausreichenden Kontrollen eingerichtet seien, um Muster zu erkennen, die dazu beitragen könnten, betrügerische Arbeitslosenanträge besser auszusortieren, wie etwa die Suche nach mehreren Anträgen mit denselben IP-Adressen oder Bankkonten. Der Ermittler stellte außerdem klar, dass Betrüger in einigen US-Bundesstaaten lediglich den Namen, die Sozialversicherungsnummer und andere grundlegende Informationen einer Person angeben müssen, damit ihre Ansprüche bearbeitet werden können. Der Ermittler soll angedeutet haben, dass der Fragenkatalog zum früheren Arbeitgeber eines Antragstellers zu Authentifizierungszwecken bei einigen Behörden aufgrund der Pandemie gekürzt oder ganz gestrichen worden sei.

Die Staaten haben damit begonnen, ihre eigenen individuellen Maßnahmen zu ergreifen, um dem Risiko zu begegnen, das von dieser Form betrügerischer Aktivitäten ausgeht. Vertreter von Bundesstaaten wie Massachusetts hatten zuvor erklärt , dass sie mit der Umsetzung zusätzlicher Maßnahmen zur Identitätsprüfung begonnen haben, die den Zahlungszeitraum für viele Arbeitslosenanträge vorübergehend verzögern werden. Infolge dieser Maßnahmen können bestimmte Arbeitslosenantragsteller aufgefordert werden, zusätzliche Identitätsinformationen bereitzustellen, um die Gültigkeit ihres Antrags zu überprüfen.

Organisationen, die den Verdacht haben, dass ihre Mitarbeiter Opfer von Arbeitslosenbetrug geworden sind, können Folgendes tun:

• Leiten Sie die Informationen zu diesem Betrug an die entsprechende Stelle auf Ihrer örtlichen Staatsebene und an die USSS-Außenstelle weiter. Der USSS hat die Opfer außerdem dazu angehalten, weiterhin Kontakt zu den örtlichen Finanzinstituten aufzunehmen, um Geldkuriere und mögliche Beschlagnahmungen zu identifizieren.
• Verwenden Sie Funktionen in Überwachungssoftware oder -anwendungen, die potenziellen Spam oder Betrug bei Zahlungen in der App kennzeichnen können und den Benutzern Textnachrichten senden, wenn ein Betrugsverdacht erkannt wird. Das Markieren potenzieller krimineller Aktivitäten mithilfe von Tools und Datensätzen zur Überprüfung der Identität eines Antragstellers kann dazu beitragen, betrügerische Aktivitäten zu stoppen, bevor sie beginnen.

Ausblick

In vielen Fällen ist der Zugriff auf die personenbezogenen Daten des Opfers die wichtigste Komponente beim Betrug im Zusammenhang mit Arbeitslosengeld oder Versicherungsansprüchen. Auf diese Art von Informationen kann auf zahlreichen Marktplätzen, in Geschäften und Foren des Darknets zu relativ niedrigen Preisen zugegriffen und sie können dort auch erworben werden, und zwar von jedem, der über genügend Wissen verfügt, um bei Undergroundquellen ein Konto einzurichten. Auf Grundlage der verfügbaren Daten ist es für uns schwierig zu ermitteln, welche dieser Betrugsarten am häufigsten vorkommen. Allerdings dürften Betrugsaktivitäten, die auf personenbezogenen Daten beruhen, nach der Veröffentlichung einiger größerer Datendumps, insbesondere solcher, die weithin bekannt und leicht zugänglich sind, weiter zunehmen.