Research (Insikt)

Arbeitslosenbetrug im kriminellen Untergrund [Bericht]

Veröffentlicht: 14. Januar 2021
Von: Insikt Group

Primary Logo - Insikt - Digital (RGB).png

Click Here um die komplette Analyse als PDF herunterzuladen.

In diesem Bericht wird die aktuelle Bedrohungslage in Bezug auf Arbeitslosenbetrug in den USA durch vertrauliche Quellen und Untergrundberichterstattung untersucht. Es enthält Informationen, die mithilfe der Plattform Recorded Future ® gesammelt wurden, sowie zusätzliche Open Source Intelligence (OSINT), Dark Web-Quellen und Recherchen in Untergrundforen. Es ist für Organisationen von Interesse, die den Arbeitslosenbetrug in der kriminellen Unterwelt besser verstehen möchten, sowie für Ermittler, die Bedrohungsakteure bekämpfen, die solche Angriffe durchführen.

Executive Summary

Die COVID-19-Pandemie hat zur Kommerzialisierung einer Reihe von kriminellen Dienstleistungen rund um die Arbeitslosenhilfe geführt, die ursprünglich für Menschen gedacht war, deren Leben durch das Virus beeinträchtigt wurde. Arbeitslosenbetrug ist in letzter Zeit für Bedrohungsakteure immer leichter zugänglich geworden und stellt für unerfahrene Cyberkriminelle eine niedrige Eintrittsbarriere dar. Der Erfolg der Betrugskampagnen in diesem Jahr rund um die Hilfsmaßnahmen zur Bekämpfung der COVID-19-Pandemie ist wahrscheinlich das Ergebnis einer Kombination aus Faktoren. Dazu zählen erfolgreiche Social-Engineering-Kampagnen, der Einsatz von in den gesamten USA operierenden Geldkurieren und die Verwendung von Anmeldeinformationen oder personenbezogenen Daten (PII), die bei Datenpannen, -dumps oder -lecks offengelegt wurden, durch Bedrohungsakteure. Einige Betrüger, die es auf Arbeitslosenunterstützungssysteme abgesehen haben, verlassen sich eher auf traditionelle Formen des Social Engineering, beispielsweise gezielte Phishing-E-Mails, die sich an die Geschäftsführung eines Unternehmens richten. Andere Taktiken, wie etwa der mutmaßliche Einsatz von Geldkurieren im Zusammenhang mit diesen betrügerischen Aktivitäten, überschneiden sich mit den Taktiken anderer cyberkrimineller Gruppen, die sich auf verschiedene Arten von Betrug spezialisiert haben. Dabei handelt es sich insbesondere um Banden, die sich auf BEC-Systeme (Business Email Compromise) spezialisiert haben.

Angesichts der Menge an im Untergrund verbreiteten Hinweisen auf den Verkauf von Tutorials zum Thema Arbeitslosenbetrug und der Anzahl der Aufrufe, die diese Methoden generieren, ist es wahrscheinlich, dass viele Betrüger noch neu bei dieser Art von Betrug sind. Recorded Future hat keine Hinweise darauf gesehen, dass die Täter Schwachstellen in Regierungssystemen ausnutzen. Stattdessen verlassen sie sich auf ihre Fähigkeit, durch die Nutzung zuvor offengelegter Informationen opportunistisch möglichst viele Opfer im ganzen Land ins Visier zu nehmen. Der allgemeine Anstieg des Arbeitslosenbetrugs im Jahr 2020 wurde wahrscheinlich auch durch Lücken in der Sicherheitshygiene mehrerer Regierungsorganisationen verschärft, die für den virtuellen und physischen Schutz der Daten von Arbeitslosenantragstellern verantwortlich sind. Ein Beleg hierfür ist die Tatsache, dass in einigen Bundesstaaten mutmaßlich Akteure versucht haben, physische Postsendungen abzufangen, die persönliche Daten im Zusammenhang mit Arbeitslosenanträgen enthielten. Die allgemeine Flut betrügerischer Arbeitslosenanträge, die in vielen Staaten die Regierungsangestellten überwältigt, wird auch dadurch begünstigt, dass Cyberkriminelle nur geringe Zugangsbarrieren haben und sich gestohlene Accounts oder günstige Anleitungen und Methoden für ähnliche Betrugsfälle kaufen können.

Wesentliche Urteile und Erkenntnisse

  • Die Werbung für betrügerische Arbeitslosenunterstützung in der Berichterstattung der letzten sechs Monate kann in zwei große Kategorien unterteilt werden:

  • Der Verkauf von Tutorials oder Methoden zur Geltendmachung betrügerischer Ansprüche

  • Der Verkauf des direkten Zugangs zu Arbeitslosenhilfekonten, die oft bereits vorhandene Guthaben enthalten

  • In den letzten sechs Monaten haben Cyberkriminelle gezeigt, dass sie Tutorials oder Dienste zum Thema Arbeitslosenbetrug lieber über Messaging-Plattformen als über kriminelle Foren, Shops oder Marktplätze (insbesondere Telegram) bewerben.

  • Untergrundquellen, die für Arbeitslosenbetrug werben, spezialisieren sich typischerweise gleichzeitig auf eine Vielzahl anderer Formen des Betrugs, darunter Kreditkartenbetrug und Steuerbetrug.

  • Das Ausmaß betrügerischer Arbeitslosenanträge hat in den letzten Monaten in den USA so stark zugenommen, dass es kaum einer einzelnen Bedrohungsinstanz zuzuschreiben ist.

  • Die Open-Source-Berichterstattung über die gemeldeten Verluste durch Arbeitslosenbetrug, die auf mehrere Millionen Dollar geschätzt werden, hat sehr wahrscheinlich zum wachsenden Interesse der Untergrund-Bedrohungsakteure beigetragen.

  • Geldkuriere bleiben wahrscheinlich weiterhin ein entscheidender Bestandteil der Lieferkette des Arbeitslosenbetrugs, wie von Untergrundverkäufern betrügerischer Methoden zur Arbeitslosenunterstützung hochgeladene Bilder und Open-Source-Berichte über die Festnahme mutmaßlicher Geldkuriere im Jahr 2020 belegen.

Hintergrund

Seit Beginn der COVID-19-Pandemie wird in den gesamten USA von grassierendem Arbeitslosenbetrug berichtet, wobei jeder Bundesstaat in unterschiedlichem Ausmaß betroffen ist. Dies hat sich in verschiedenen Formen gezeigt, von Bedrohungsakteuren, die unter Verwendung gestohlener personenbezogener Daten Arbeitslosenanträge stellen, bis hin zu Staatsbeamten, die mit Berichten über Geldkuriere zu kämpfen haben, die gestohlene Gelder an betrügerische Bedrohungsakteure im Ausland weiterleiten.

  • Im Januar 2020 erläuterte das Federal Bureau of Investigation (FBI), wie Cyberkriminelle mithilfe gefälschter Websites personenbezogene Daten sammeln und Geld stehlen, um mit zunehmender Komplexität gefälschte Einstellungsbetrügereien durchzuführen. Dabei schalten sie neben legitimen Arbeitgebern und Arbeitsvermittlungsfirmen Werbung, um Opfer aller Qualifikations- und Einkommensstufen anzusprechen. Kriminelle, die auf der Suche nach personenbezogenen Daten sind, um damit Arbeitslosenbetrug zu begehen, werden die Informationen wahrscheinlich auch weiterhin aus zuvor gemeldeten Datendumps oder -pannen sammeln oder auf anderen kriminellen Marktplätzen ( häufig automatisiert) sammeln, die die Daten zu niedrigen Preisen verkaufen.
  • Vier Monate später brachte der US-Geheimdienst (USSS) zunehmende Berichte über Betrug im Zusammenhang mit staatlichen Arbeitslosenversicherungsprogrammen mit einem „gut organisierten“ nigerianischen Betrügerring in Verbindung. Forscher von Agari veröffentlichten Informationen, die einen Teil dieses damaligen nigerianischen Betrugs einer Gruppe von Cyberkriminellen mit dem Namen „Scattered Canary“ zuschrieben. Die potenziellen Verluste infolge der Aktivitäten der Gruppe in den vergangenen Jahren werden auf mehrere Hundert Millionen Dollar geschätzt . Nach Angaben des USSS besteht das Betrügernetzwerk vermutlich aus Hunderten von Geldkurieren. Mit diesem Begriff werden Personen bezeichnet, die bereit oder unfreiwillig angeworben werden, um beim Waschen der Erlöse aus betrügerischen Finanztransaktionen zu helfen.

Aus mehreren Bundesstaaten gibt es weiterhin Berichte über grassierenden Arbeitslosenbetrug. Recorded Future hat keine Fälle von Arbeitslosenbetrug festgestellt, die auf eine inhärente Schwachstelle in einem staatlichen System zurückzuführen wären. In den Berichten wurden vielmehr die verschiedenen Techniken beschrieben, die einzelne Betrüger in den verschiedenen Bundesstaaten anwandten. Daher ist es unwahrscheinlich, dass alle in diesem Jahr gemeldeten Fälle von Arbeitslosenbetrug auf eine einzige übergeordnete Bedrohungsinstanz zurückzuführen sind. Der allgemeine Anstieg des Arbeitslosenbetrugs im Jahr 2020 wurde wahrscheinlich durch Versäumnisse bei der Sicherheitshygiene mehrerer Regierungsorganisationen, die für den Schutz der Daten von Arbeitslosenantragstellern verantwortlich sind, noch verstärkt. Sicherheitsexperten gehen davon aus, dass in vielen Staaten bereits vor der COVID-19-Pandemie Probleme bei der Bekämpfung dieser spezifischen Form des Betrugs bestanden. Dazu gehören unter anderem folgende Versäumnisse:

  • Implementierung oder Erneuerung einer Identitätsprüfungssoftware zur Überprüfung von Ansprüchen vor ihrer Verbreitung
  • Vergleichen Sie Leistungsansprüche mit den persönlichen Daten anderer Personen, z. B. von Gefängnisinsassen, als verstorben aufgeführten Personen oder Einwohnernanderer Bundesstaaten.
  • Stellen Sie sicher, dass personenbezogene Daten des Antragstellers, wie etwa die Sozialversicherungsnummer (SSN), nicht in der Postkorrespondenz enthalten sind, die einem Diebstahl ausgesetzt sein könnte.

Es ist sehr wahrscheinlich, dass aufstrebende Cyberkriminelle durch Open-Source-Berichte ermutigt wurden, in denen detailliert beschrieben wird, wie einfach es ist, diese Art von betrügerischen Aktivitäten durchzuführen, ohne dass man sich mit Arbeitslosensystemen auskennt. Darüber hinaus ist der Kauf eines Lernprogramms oder einer Methode zur Durchführung ihrer Aktivitäten relativ niedrig.

Bedrohungsanalyse

Die Werbung für betrügerische Arbeitslosenunterstützung in der Berichterstattung über vertrauliche Quellen in den letzten sechs Monaten kann in zwei große Kategorien unterteilt werden:

  • Der Verkauf von Tutorials oder Methoden zur Einreichung betrügerischer Ansprüche bei staatlichen Systemen oder Plattformen, die bei der Arbeitslosenhilfe helfen
  • Der Verkauf des direkten Zugangs zu Arbeitslosenhilfekonten, die oft bereits vorhandene Guthaben enthalten

Im März 2020 verabschiedeten die US-Gesetzgeber den Coronavirus Aid, Relief, and Economic Security (CARES) Act, mit dem das Pandemic Unemployment Assistance (PUA)-Programm ins Leben gerufen wurde. Dieses Programm erweitert den Anspruch auf Arbeitslosenversicherung auf Selbstständige, Freiberufler, unabhängige Auftragnehmer und Teilzeitbeschäftigte, die vom Coronavirus betroffen sind. Obwohl das PUA-Programm nur einen Baustein der Arbeitslosenhilfe darstellt, die von staatlichen Stellen in den USA als Reaktion auf die Pandemie angeboten wird, bleibt es ein integraler Bestandteil der wachsenden Zahl von Untergrundanzeigen, die mit Arbeitslosenbetrug in Verbindung stehen.

unemployment-fraud-in-criminal-underground-1-2.png

Figure 1: PUA program mentions within dark web sources (Source: Recorded Future)

Die folgende Abbildung zeigt die Ergebnisse einer Umfrage unter den Mitgliedern eines Telegram-Kanals, der sich mit mehreren Formen betrügerischer Aktivitäten befasst. Obwohl der Verkauf von PUA-Informationen in der Umfrage nur den letzten Platz belegte, zeigt allein seine Aufnahme in die Umfrage, dass diese Form betrügerischer Aktivitäten unter Cyberkriminellen eine ausreichende Nachfrage erzeugt hat, um eine eigene Verkaufskategorie innerhalb der geschlossenen Quellen zu rechtfertigen. Recorded Future ist bekannt, dass mindestens ein Telegram-Kanal eine „Operation“ durchgeführt hat. Grund dafür war die Erwartung, dass die Bestimmungen zur Arbeitslosenhilfe Ende 2020 auslaufen würden. Dadurch wurden betrügerische PUA-Ansprüche zur Priorität für die Administratoren des Kanals, die versuchten, möglichst viele Einnahmen zu generieren, für den Fall, dass das PUA-Programm oder andere Angebote zur Arbeitslosenhilfe plötzlich eingestellt würden.

unemployment-fraud-in-criminal-underground-2-1.png

Figure 2: November 2020 survey in Telegram channel dedicated to fraud activities (Source: Telegram)

In den letzten sechs Monaten haben Cyberkriminelle gezeigt, dass sie Tutorials zum Thema Arbeitslosenbetrug oder Kontoinformationen lieber über Messaging-Plattformen als über kriminelle Foren, Shops oder Marktplätze verbreiten. Allerdings bleibt die Nachfrage auf den traditionellen Märkten hoch genug, damit die Administratoren weiterhin verschiedene Angebote im Zusammenhang mit Arbeitslosenbetrug unterstützen.

Ein weiterer attraktiver Aspekt dieser Form des Betrugs ist der relativ niedrige Preis für Tutorials oder Kontoinformationen. Recorded Future hat beobachtet, dass Tutorials und Methoden zum Arbeitslosenbetrug je nach Zielstaat für zwischen 5 und 100 US-Dollar verkauft werden. Der Preis für PUA-Informationen oder den Zugriff auf eine Plattform der Landesregierung, auf der bereits Hilfsgelder gutgeschrieben waren, war in der Regel höher (wie in Abbildung 3 unten dargestellt, wo einige Bedrohungsakteure zwischen 80 und 100 US-Dollar für PUA-Informationen im Zusammenhang mit Arbeitslosenanträgen in New York und Wisconsin verlangten).

Bedrohungsakteure, die diese Informationen verkauften, zeigten ihre Bereitschaft, auf Konten mit Hilfsguthaben im Wert von mehreren Tausend Dollar zu verzichten, um den langfristigen Erfolg ihres Untergrund-Geschäftsmodells zu sichern. Darüber hinaus ist der höhere Preis für den direkten Zugriff auf Konten mit bereits vorhandenen Guthaben im Gegensatz zu den Tutorials wahrscheinlich darauf zurückzuführen, dass Käufer so leichter auf die Mittel zugreifen können, die ein anderer erfahrener Akteur wahrscheinlich bereits beschafft hat. Dies steht im Gegensatz zu Tutorials, bei denen der Käufer letztendlich immer noch dafür verantwortlich ist, Opferkonten zu erhalten, um Gewinn zu erzielen und gleichzeitig der Aufmerksamkeit der Strafverfolgungsbehörden zu entgehen.

unemployment-fraud-in-criminal-underground-3-2.png

Figure 3: Sale of access to “random” PUA account information

Andere Betrugsmethoden im Zusammenhang mit Arbeitslosenbetrug enthielten aus Sicht der Cyberkriminellen nützliche Tipps, um die Erfolgsaussichten bei der Einreichung eines betrügerischen Antrags zu erhöhen. Zu den von Betrügern in mehreren Tutorials empfohlenen Tipps gehörten die folgenden:

  • Wenn Sie in einem Antrag gefragt werden, wann sich die COVID-19-Pandemie auf Ihre Erwerbstätigkeit ausgewirkt hat, geben Sie den 25. März 2020 an, also nur zwei Tage vor der Verabschiedung des CARES Act durch den Kongress.

  • Wenn Sie Ihren Antrag möglichst als „Selbstständiger“ einreichen, erhalten Sie mehr Geld als diejenigen, die angeben, für ein anderes Unternehmen zu arbeiten.

  • In diesem Leitfaden wurden später auch andere Betrüger beraten, mit welcher Methode sie bei der Geltendmachung von Ansprüchen Erfolg hatten. Im Fall dieses Tutorials empfiehlt der Autor, sich als „professioneller Fotograf“ oder als jemand anderen auszugeben, der in einer Remote-Umgebung schwieriger zu erfüllen wäre.

  • Wenn Sie bei der Einreichung eines betrügerischen Anspruchs gefragt werden, wie viel Sie im Jahr 2019 jährlich verdient haben, geben Sie einen Betrag zwischen 16.850 und 42.100 US-Dollar an. Der Autor in diesem Fall war wahrscheinlich der Ansicht, dass die Angabe eines Gehalts über einem bestimmten Schwellenwert die Wahrscheinlichkeit erhöht, dass es von Ermittlern der Strafverfolgungsbehörden oder staatlichen Behörden bei der Überprüfung einzelner Ansprüche aufgefallen wäre.

  • In mehreren Tutorials wurden auch Social-Engineering-Techniken behandelt. In einem Leitfaden gaben die Autoren an, dass ein Anruf bei einer PUA-„Anspruchshotline“ und die Eingabe einer aus einer anderen Quelle erhaltenen Sozialversicherungsnummer (SSN) verifizieren könne, ob die betreffende Person bereits einen offenen Anspruch auf Arbeitslosenhilfe habe. Wenn noch kein Anspruch geltend gemacht wurde, wurden Websites zur Aggregation öffentlicher Datensätze wie Verified und Truthfinder als Quellen für zusätzliche PII zu einem Ziel empfohlen. Die Akteure rieten ausdrücklich dazu, die „guten“ Informationen zur Sozialversicherungsnummer und zum Geburtsdatum einer Zielperson zu verwenden, um auf diesen Websites zur Aggregation öffentlicher Daten weitere Nachforschungen anzustellen, wahrscheinlich um so weitere personenbezogene Daten zu sammeln. Allerdings zeigten die Akteure in diesem Leitfaden auch eine gewisse Voreingenommenheit. Ihre abschließende Empfehlung lautete, einen bestimmten Untergrundmarktplatz aufzusuchen, mit dem sie in Verbindung stehen, um weitere Informationen zu erwerben.

Untergrundquellen, die betrügerische Tutorials zur Arbeitslosenunterstützung oder Kontoinformationen verkaufen, sind in der Regel auf andere Formen des Betrugs spezialisiert, darunter Kreditkarten- und Steuerbetrug. Darüber hinaus scheinen die Anbieter dieser Art von Betrug nicht alle Ressourcen darauf zu verwenden, jeweils die Arbeitslosensysteme eines einzelnen Staates ins Visier zu nehmen. Stattdessen bieten sie Dienste für den gleichzeitigen Zugriff auf Informationen aus mehreren Staaten an, je nach Kundennachfrage und Schwierigkeitsgrad, Zugriff auf Arbeitslosenhilfekonten in einem bestimmten Staat zu erhalten.

unemployment-fraud-in-criminal-underground-4-1.png

Figure 4: Screenshot of state PUA offerings from a single underground actor (Source: Telegram)

Kriminelle Shops wie Genesis Store und Russian Market, die auf den Verkauf des Browserverlaufs oder „digitalen Fußabdrucks“ eines Endbenutzers spezialisiert sind, enthielten im Jahr 2020 außerdem regelmäßig Anmeldeinformationen für Domänen der Landesregierung, die mit der Arbeitslosenhilfe in Verbindung stehen. Recorded Future hat bei den Cyberkriminellen weder Hinweise noch Kommentare dazu gefunden, dass diese „Bots“, die Anmeldeinformationen für die Landesregierung enthalten, speziell für den Zweck gekauft wurden, Arbeitslosenbetrug zu begehen. Allerdings ist es aufgrund der fehlenden Diskussionsfunktion in diesen Shops schwierig, die spezifischen Motive hinter den Käufen aus diesen Quellen zu ermitteln.

Warnung vor Änderungen in der staatlichen Überwachung

Aufgrund der stetig steigenden Zahl von Meldungen über Arbeitslosenbetrug in den USA haben die Bundesstaaten in unterschiedlichem Ausmaß versucht, die Bedrohung durch diese Form betrügerischer Aktivitäten einzudämmen. Bis November 2020 meldete der USSS 700 offene Ermittlungen im Zusammenhang mit Betrug im Zusammenhang mit dem Paycheck Protection Program und dem Unemployment Relief Insurance Program. Während einzelne Bundesstaaten ihre Sicherheitsmaßnahmen zur Bekämpfung dieses grassierenden Betrugs weiter verstärken, beobachten auch Cyberkriminelle, die mit Methoden oder Kontoinformationen zum Arbeitslosengeld-Betrug werben, diese Veränderungen weiterhin und passen sich entsprechend an.

  • Abbildung 5 unten zeigt den Administrator eines Telegram-Kanals, der sich mit betrügerischen Aktivitäten beschäftigt und den Mitgliedern davon abrät, Käufe oder Zugriffsversuche auf Arbeitslosenplattformen zu unternehmen, die mit sieben bestimmten US-Bundesstaaten verknüpft sind, von denen sie nicht mehr annahmen, dass diese finanzielle Hilfen verteilen.
  • Einzelne Telegram-Kanäle scheinen unterschiedliche Empfehlungen dazu zu geben, welcher Staat zu einem bestimmten Zeitpunkt ein ideales Ziel ist und welcher nicht. Beispielsweise begannen Bedrohungsakteure innerhalb von zwei Wochen nach dem Telegram-Post in Abbildung 5, der ursprünglich im November 2020 hochgeladen wurde, trotz dieser vorherigen Warnungen durch die Kanaladministratoren wieder damit, Methoden oder Kontoinformationen zu verkaufen, die mit staatlichen Systemen in Ohio in Verbindung stehen, innerhalb desselben Kanals.
  • Bedrohungsakteure innerhalb dieser Messaging-Plattform-Kanäle haben außerdem ihre Besorgnis darüber zum Ausdruck gebracht, dass einige Staaten besser in der Lage sind, ihren Standort zu ermitteln als andere. In einem Szenario beobachtete Recorded Future den Kommentar eines Benutzers, der anderen Benutzern riet, sich von vier bestimmten US-Bundesstaaten fernzuhalten, von denen er annahm, dass dort wahrscheinlich Tracking-Anwendungen zur Überwachung betrügerischer Ansprüche eingesetzt würden. Die Verwendung von Proxy-IP-Adressen wurde innerhalb geschlossener Quellen dringend empfohlen, um diese Form der Verfolgung zu verhindern und sicherzustellen, dass ein Benutzer nicht von Arbeitslosenplattformen ausgesperrt wird, falls Regierungsstellen seine ursprüngliche IP-Adresse als verdächtig markieren.

unemployment-fraud-in-criminal-underground-5-1.png

Figure 5: Threat actor advising channel members to avoid targeting certain states (Source: Telegram)

unemployment-fraud-in-criminal-underground-6-1.png

Figure 6: Warning from admin about government efforts to spy on Telegram channels (Source: Telegram)

Uns sind keine Sicherheitslücken in Regierungs- oder Unternehmenssystemen bekannt, die zur Verbreitung dieser betrügerischen Aktivitäten beigetragen haben. Es ist wahrscheinlicher, dass Bedrohungsakteure weiterhin opportunistisch Arbeitslosenhilfeplattformen ins Visier nehmen, indem sie offengelegte Anmeldeinformationen sammeln oder PII-Pakete zum Verkauf aus Untergrundquellen kaufen.

Unterstützung anderer Betrüger

Im Allgemeinen waren die Administratoren, die Kanäle innerhalb von Messaging-Plattformen pflegen, die sich mit Arbeitslosenbetrug befassen, gegenüber der Idee aufgeschlossen, neuere Benutzer zu betreuen. Wahrscheinlich handelte es sich dabei um den Versuch, eine langfristige Beziehung mit Partnern aufzubauen, die in der Lage sind, Nachfrage für ihre Kanäle zu generieren und den Umsatz zu steigern. Diese Bereitschaft der Cyberkriminellen, bei Arbeitslosenbetrug zusammenzuarbeiten, übertrug sich auch auf die Foren der Cyberkriminellen, wo wir immer wieder Anfragen von Benutzern beobachteten, die nach „seriösen“ Partnern für langfristige Betrugsaktivitäten suchten. Da diese Threads Interessenten dazu ermutigten, den Anbieter über private Kanäle zu kontaktieren, war die Einsicht, die Recorded Future in den potenziellen Erfolg dieser Partnerschaften hatte, begrenzt.

unemployment-fraud-in-criminal-underground-7-1.png

_Abbildung 7: Antrag auf Arbeitslosengeld Partner _

Anbieter von Beschäftigungsbetrug oder PUA-Betrugsmethoden sind oft in mehrere verschiedene Betrügereien gleichzeitig verwickelt, darunter Betrug im Zusammenhang mit Katastrophenhilfe, Sozialversicherungsbetrug, Steuerbetrug und Kreditkartenbetrug. Dies ist bei cyberkriminellen Organisationen die Norm, da sie mehrere Dienste betreiben können, die unterschiedliche Einnahmequellen bieten.

Recorded Future hat mehrere in der kriminellen Unterwelt kursierende Tutorials und Methoden im Hinblick auf eine Kombination aus PUA- oder allgemeinen Arbeitslosenbetrugstechniken geprüft. Bei den meisten der beworbenen Methoden ging man davon aus, dass Cyberkriminelle bereits im Besitz gestohlener PII oder „Fullz“ seien, um die Anleitungen auszunutzen und damit Gewinn zu erzielen. „Fullz“ ist ein umgangssprachlicher Begriff für „vollständige Informationen“, den Kriminelle, die PII stehlen, verwenden, um sich auf einen Satz von Informationen zu einem potenziellen Betrugsopfer zu beziehen. Dazu gehören im Allgemeinen Name, Adresse, Geburtsdatum, Sozialversicherungs- und Führerscheinnummer einer Person sowie PII von Familienmitgliedern und alle anderen verfügbaren Informationen (wie etwa Straf- oder Beschäftigungsregister).

Dieselben Verkäufer von PUA-Betrugsmethoden waren sehr oft bereit, diese Informationen gegen Aufpreis separat zu verkaufen. Dies zeigt, dass der finanzielle Erfolg weiterhin die eigentliche Motivation darstellt, trotz aller Versuche der Anbieter, sich als barmherzige Samariter darzustellen, die bereit sind, jungen Kriminellen zu helfen, die mit dieser Art von Betrug möglicherweise noch nicht vertraut sind.

unemployment-fraud-in-criminal-underground-8-1.png

Figure 8: Underground forum member discussing how to apply for fraudulent claims in Washington and Massachusetts

unemployment-fraud-in-criminal-underground-9-1.png

Figure 9: Underground member requesting a fake ID to commit Massachusetts unemployment fraud

Zielgerichtete Bekämpfung und Zuordnung von Arbeitslosenbetrug

Im Mai 2020 veröffentlichten Forscher des Sicherheitsunternehmens Agari ihre Erkenntnisse zu einer nigerianischen Cyberkriminellengruppe mit dem Namen „Scattered Canary“, die in den gesamten USA betrügerische Arbeitslosen- und CARES-Act-Anträge stellte. Die Cyberkriminellegruppe Scattered Canary ist ein Full-Service-Unternehmen für den Angriff auf Business-E-Mails (BEC), das mit Betrügereien wie E-Mail-Identitätsdiebstahl und Phishing versucht, Unternehmen dazu zu bringen, Scheinverträge und andere gefälschte Rechnungen zu bezahlen. Basierend auf Agaris Telemetriedaten befanden sich die meisten Ziele in sieben US-Bundesstaaten: Florida, Massachusetts, North Carolina, Oklahoma, Rhode Island, Washington und Wyoming. Es wurde berichtet, dass mit Scattered Canary in Verbindung stehende Bedrohungsakteure eine Kombination aus Prepaid-Karten verwendet haben, um Zahlungen zu empfangen und Massen-E-Mail-Konten zu erstellen:

  • Insgesamt nutzte Scattered Canary mindestens 47 Prepaid-Kartenkonten von Green Dot, um die betrügerischen Zahlungen zu erhalten.

  • Scattered Canary verwendete Gmail- Konten , um auf jeder Zielwebsite Massenkonten zu erstellen. Da Google bei der Interpretation von Gmail-Adressen Punkte ignoriert, wird angenommen, dass Scattered Canary in der Lage war, Dutzende von Konten auf Websites der staatlichen Arbeitslosenbehörden und der IRS-Website für die Bearbeitung von CARES-Act-Zahlungen für Steuerzahler ohne Steuererklärung (freefilefillableforms[.]com) zu erstellen.

  • Beispiele für die Gmail-Punktformatierungsstruktur, die von Scattered Canary zum Versenden von Phishing-E-Mails zur Arbeitslosenunterstützung verwendet wird:

  • badactor2021@gmail[.]com

  • badactor202.1@gmail[.]com

  • badactor202.21@gmail[.]com

  • Durch diese Taktik konnte Scattered Canary seine Abläufe effizienter skalieren, indem die gesamte Kommunikation an ein einziges Gmail-Konto weitergeleitet wurde. Laut Agari entfällt dadurch die Notwendigkeit, für jedes auf einer Website erstellte Konto ein neues E-Mail-Konto zu erstellen und zu überwachen, was die Transaktionen letztendlich schneller und effizienter macht.

Agari berichtete, dass die gezielte Bekämpfung der staatlichen Arbeitslosenunterstützung für die Gruppe von Interesse sei, die seit Mai 2020 unter neun Identitäten gezielt die texanischen Arbeitslosensysteme ins Visier genommen hatte. Recorded Future hat zum jetzigen Zeitpunkt keine weiteren Erkenntnisse darüber, wie viele der mit Scattered Canary in Verbindung stehenden betrügerischen Ansprüche von den einzelnen Bundesstaaten ausgezahlt werden. Eine Überprüfung der auf Messaging-Plattformen hochgeladenen Videos, die Informationen zur staatlichen Arbeitslosenhilfe verkaufen, ergab jedoch eine wahrscheinliche Verbindung zu Betreibern mit Sitz in Westafrika.

  • Ein auf eine betrügerische Messaging-Plattform hochgeladenes Video zeigte, wie ein wahrscheinliches Mitglied des Kanals ein Paket von Samamiah (Shipping) Enterprise Limited erhielt, einem Versand- und Lieferunternehmen, das Waren zum Transport (von Tür zu Tür) vom Vereinigten Königreich nach Ghana annimmt. Laut Agari stammten 10 Prozent des BEC-Betrugs zwischen Mai 2019 und Juli 2020 aus Ghana.

Aus den Opferberichten, die Recorded Future vorliegen, geht hervor, dass die Antragsteller in der Regel den Namen, die Sozialversicherungsnummer und den Arbeitsort der Zielperson kannten, alle anderen Daten jedoch statisch waren. In einigen an Recorded Future gemeldeten Fällen kennen die Antragsteller den Namen, die Sozialversicherungsnummer und den Arbeitsort der Zielperson und versuchen wahrscheinlich, Führungskräfte oder vermögende Personen ins Visier zu nehmen. Dies ist eine gängige Technik bei BEC-Kampagnen, die von Bedrohungsorganisationen wie Scattered Canary orchestriert werden. Agari wurde erstmals auf diese Strategie aufmerksam, als sich die Bedrohungsorganisation in einer E-Mail, die sich an den Finanzvorstand von Agari richtete, als Führungskraft bei Agari ausgab.

Betrügerische Arbeitslosenanträge sind in den USA so weit verbreitet, dass es unwahrscheinlich ist, dass sie von einer einzelnen Bedrohungsinstanz stammen. Bedrohungsakteure wurden wahrscheinlich durch Open-Source-Berichte über die finanziellen Auswirkungen, die betrügerische Arbeitslosenanträge weiterhin haben, ermutigt.

Obwohl sich diese Berichterstattung speziell auf den im Rahmen von Closed-Source-Berichten kursierenden Arbeitslosenbetrug konzentriert, konnte auch beobachtet werden, dass einige opportunistische Akteure, die wenig Rücksicht auf die Aufrechterhaltung der Betriebssicherheit nehmen, auf herkömmlichen Social-Media-Plattformen Werbung machen. Die große Menge an Open-Source-Berichten zum Thema Arbeitslosenbetrug und die auf Millionen geschätzten Verluste haben sehr wahrscheinlich zum wachsenden Interesse und der Motivation der Bedrohungsakteure im Untergrund beigetragen.

unemployment-fraud-in-criminal-underground-10-1.jpg

Figure 10: Social media ad for unemployment methods/tutorials

Dieses Ausmaß des Interesses spiegelt sich in zahlreichen Statistiken wider, die seit Anfang Dezember 2020 sowohl auf staatlicher als auch auf lokaler Ebene veröffentlicht wurden.

  • Eine Folgeuntersuchung von KrebsOnSecurity im August 2020 bestätigte erneut, dass eine Gruppe von Betrügern wahrscheinlich sehr detaillierte persönliche und finanzielle Daten von Amerikanern über einen kostenlosen E-Mail-Dienst weitergab. Eine weitere, nicht genannte Quelle teilte KrebsOnSecurity mit, dass sie die Kommunikation der Gruppe seit mehreren Wochen überwacht und die Informationen an US-Bundes- und Landesbehörden weitergegeben habe, um deren betrügerische Aktivitäten zu unterbinden. Ähnlich wie in früheren Berichten über das Ausmaß dieser Arbeitslosenbetrugskampagnen sagte die Quelle, dass die Bedrohungsgruppe offenbar aus mehreren hundert Personen besteht, die zusammen mehrere zehn Millionen Dollar aus der Staats- und Bundeskasse der USA gestohlen haben. Dies geschah durch gefälschte Kreditanträge bei der US Small Business Administration (SBA) und durch betrügerische Arbeitslosenversicherungsansprüche gegenüber mehreren US-Bundesstaaten.

  • Dieser Zusammenhang mit gefälschten Kreditanträgen bei der US-SBA ist bemerkenswert, da er sich mit den Techniken der Scattered Canary-Operationen überschneidet, die Agari im Mai 2020 detailliert beschrieb.

  • In einer Warnung an die Gesetzgeber des Bundesstaates im Dezember 2020 schätzte die Bank of America, dass der Betrug allein im kalifornischen Arbeitslosenunterstützungssystem inzwischen einen Schaden von insgesamt 2 Milliarden Dollar verursachen könnte. Die Bank of America gab an, 640.000 Konten mit verdächtigen Aktivitäten identifiziert zu haben. Diese sollten untersucht werden, um festzustellen, ob es sich um gefälscht handelt und ob sie geschlossen werden sollten.

  • Die Gesamtzahl der in Untergrundkanälen, die sich dem Arbeitslosenbetrug widmen, registrierten Mitglieder ist gestiegen. Ein von den Analysten von Recorded Future beobachteter Kanal hatte Anfang November 2020 etwa 7.500 Mitglieder. Einen Monat später lag die Gesamtzahl der Mitglieder bei über 18.000 und die regelmäßig von einem Administrator des Kanals hochgeladenen neuen Nachrichten erzielten durchschnittlich mehrere tausend Aufrufe.

unemployment-fraud-in-criminal-underground-11-1.png

Figure 11: States referenced in unemployment fraud ads in the underground since November 2020 (Source: Recorded Future)

Abhängigkeit von Geldkurieren

Geldkuriere bleiben wahrscheinlich weiterhin ein entscheidender Bestandteil der Lieferkette des Arbeitslosenbetrugs, wie von Untergrundverkäufern betrügerischer Methoden zur Arbeitslosenunterstützung hochgeladene Bilder und Open-Source-Berichte über die Festnahme mutmaßlicher Geldkuriere im Jahr 2020 belegen. Die COVID-19-Pandemie hat die Transportunternehmen für Maultiere in diesem Jahr gezwungen, ihre Geschäftsstrategien zu ändern. Eine Meldung des USSS besagt , dass der mutmaßliche Betrügerring, der hinter diesen Anmeldungen steht, bereits über eine umfangreiche PII-Datenbank verfügte, um das Anfang des Jahres beobachtete Antragsvolumen einzureichen. Darüber hinaus teilte der USSS mit, dass das Betrügernetzwerk vermutlich aus Hunderten von Geldkurieren besteht.

Für Betrüger, die eine Ware physisch von einem Ort zum anderen transportieren müssen oder bei denen betrügerische Gelder zwischen Konten transferiert werden müssen, sind Kuriere unverzichtbar. Bei Geldwäschesystemen rekrutieren die Betrüger außerdem häufig Einzelpersonen als Empfänger von Direkteinzahlungen aus den betrügerischen Transaktionen und leiten dann den Großteil der illegalen Gelder an die Täter weiter, wobei sie einen Prozentsatz als Bezahlung für ihre Bemühungen einbehalten. Die gestiegene Zahl der Verhaftungen im ganzen Land im Zusammenhang mit betrügerischen Anträgen auf Arbeitslosenunterstützung hat auch deutlich gemacht, dass wahrscheinlich mehrere Betrüger unabhängig voneinander agieren und keinerlei direkte Verbindung zu irgendwelchen Auslandsaktivitäten haben.

  • Im September 2020 erhob der Generalstaatsanwalt von Pennsylvania (PA), Josh Shapiro, Anklage gegen 20 Häftlinge und Komplizen. Ihnen wird vorgeworfen, in drei Staatsgefängnissen in Zentral- und Ost-Pennsylvania Arbeitslosenbetrug begangen zu haben. Das Büro des Generalstaatsanwalts gab an, dass außerdem sechs einzelne Häftlinge ohne bekannte Verbindung zu einem Ring festgenommen worden seien.

  • Noch im Oktober 2020 beobachtete Posts von Anbietern auf Untergrundmarktplätzen lassen darauf schließen, dass Geldkuriere wahrscheinlich eine wesentliche Rolle bei der Unterstützung von Geschäften spielen, die auf Darknet-Quellen beworben werden.

  • Am 25. Oktober 2020 begann ein Mitglied des Forums Omerta damit, Auszahlungsdienste für betrügerische Arbeitslosenanträge in den USA zu bewerben. Der Bedrohungsakteur gab an, dass seine Geldkuriere („Bank Drops“) Arbeitslosengelder gegen einen separat ausgehandelten Prozentsatz der Banküberweisung auszahlen können.

unemployment-fraud-in-criminal-underground-12-1.png

Figure 12: Unemployment fraud 2020 arrest timeline (mainstream news sources) (Source: Recorded Future)

Gegenmaßnahmen

Ein Betrugsermittler des Bundes, der im Mai 2020 unter der Bedingung der Anonymität mit KrebsOnSecurity sprach , sagte, dass in vielen US-Bundesstaaten nicht genügend Kontrollen eingerichtet seien, um Muster zu erkennen, die dazu beitragen könnten, betrügerische Arbeitslosenanträge besser auszusortieren, wie etwa die Suche nach mehreren Anträgen mit denselben IP-Adressen oder Bankkonten. Der Ermittler stellte weiter klar, dass Betrüger in einigen US-Bundesstaaten lediglich den Namen einer Person, die Sozialversicherungsnummer und andere grundlegende Informationen angeben müssen, damit ihre Ansprüche bearbeitet werden können. Der Ermittler soll angedeutet haben, dass der Fragenkatalog zum früheren Arbeitgeber eines Antragstellers zu Authentifizierungszwecken bei einigen Behörden infolge der Pandemie gekürzt oder ganz gestrichen worden sei.

Die Bundesstaaten haben begonnen, eigene Maßnahmen zu ergreifen, um der Gefahr dieser Form betrügerischer Aktivitäten zu begegnen. Vertreter von Bundesstaaten wie Massachusetts erklärten zuvor, sie hätten mit der Umsetzung zusätzlicher Maßnahmen zur Identitätsüberprüfung begonnen, die den Auszahlungszeitraum für viele Arbeitslosenanträge vorübergehend verzögern würden. Aufgrund dieser Maßnahmen kann von bestimmten Arbeitslosenunterstützungsantragstellern die Angabe zusätzlicher Identitätsinformationen verlangt werden, um die Gültigkeit ihres Anspruchs zu überprüfen.

Organisationen, die den Verdacht haben, dass ihre Mitarbeiter Opfer von Arbeitslosenbetrug geworden sind, können Folgendes tun:

  • Leiten Sie die Informationen zu diesem Betrug an die entsprechende Stelle auf Ihrer örtlichen Staatsebene und an die USSS-Außenstelle weiter. Der USSS hat die Opfer außerdem dazu angehalten, weiterhin Kontakt zu den örtlichen Finanzinstituten aufzunehmen, um Geldkuriere und mögliche Beschlagnahmungen zu identifizieren.
  • Verwenden Sie Funktionen in Überwachungssoftware oder -anwendungen, die potenziellen Spam oder Betrug bei Zahlungen in der App kennzeichnen können und den Benutzern Textnachrichten senden, wenn ein Betrugsverdacht erkannt wird. Das Markieren potenzieller krimineller Aktivitäten mithilfe von Tools und Datensätzen zur Überprüfung der Identität eines Antragstellers kann dazu beitragen, betrügerische Aktivitäten zu stoppen, bevor sie beginnen.

Ausblick

In vielen Fällen ist der Zugriff auf die personenbezogenen Daten des Opfers die wichtigste Komponente beim Betrug im Zusammenhang mit Arbeitslosengeld oder Versicherungsansprüchen. Auf diese Art von Informationen kann auf zahlreichen Marktplätzen, in Geschäften und Foren des Darknets zu relativ niedrigen Preisen zugegriffen und sie können dort auch erworben werden, und zwar von jedem, der über genügend Wissen verfügt, um bei Undergroundquellen ein Konto einzurichten. Auf Grundlage der verfügbaren Daten ist es für uns schwierig zu ermitteln, welche dieser Betrugsarten am häufigsten vorkommen. Allerdings dürften Betrugsaktivitäten, die auf personenbezogenen Daten beruhen, nach der Veröffentlichung einiger größerer Datendumps, insbesondere solcher, die weithin bekannt und leicht zugänglich sind, weiter zunehmen.

Verwandte Nachrichten & Forschung