E-Mail-Betrüger entwickeln sich weiter: So schützen Sie sich
Inhaltsverzeichnis:
Cyberkriminelle rütteln ständig an den Türklinken von Unternehmen, doch nur wenige Angriffe sind so hinterhältig und dreist wie der Business Email Compromise (BEC). Bei diesem Social-Engineering-Angriff nutzen Angreifer E-Mails als Weg in ein Unternehmen und können so Opfer um Firmengelder betrügen.
Bei BEC-Angriffen werden häufig E-Mail-Adressen verwendet, die aussehen, als stammten sie vom eigenen Unternehmen oder einem vertrauenswürdigen Partner, beispielsweise einem Lieferanten. Diese Domänen sind oft falsch geschrieben oder verwenden unterschiedliche Zeichensätze, um Domänen zu erstellen, die zwar wie eine vertrauenswürdige Quelle aussehen, aber bösartig sind.
Aufmerksame Mitarbeiter können diese bösartigen Adressen erkennen, und E-Mail-Systeme können sie mithilfe von E-Mail-Schutztools wie dem Domain-based Message Authentication, Reporting and Conformance (DMARC)-E-Mail-Authentifizierungsprotokoll abwehren. Doch was passiert, wenn ein Angreifer eine Domäne nutzt, der jeder vertraut?
Wenn vertrauenswürdigen Quellen nicht vertraut werden kann
Cybersicherheitsunternehmen Guardz vor kurzem entdeckt Angreifer tun genau das. Am 13. März veröffentlichte es eine Analyse eines Angriffs, bei dem die Cloud-Ressourcen von Microsoft genutzt wurden, um einen BEC-Angriff überzeugender zu gestalten.
Angreifer nutzten die unternehmenseigenen Domänen und nutzten Fehlkonfigurationen der Mandanten, um legitimen Benutzern die Kontrolle zu entreißen. Sie erlangten die Kontrolle über mehrere M365-Organisationsmandanten, indem sie entweder einige übernahmen oder eigene registrierten. Die Angreifer richteten auf diesen Mandanten Administratorkonten ein und erstellten deren E-Mail-Weiterleitungsregeln.
Anschließend missbrauchen sie eine Microsoft-Funktion, die den Namen einer Organisation anzeigt, und fügen darin eine betrügerische Transaktionsbestätigung sowie eine Telefonnummer für eine Rückerstattungsanfrage ein. Dieser Phishing-Text gelangt durch das System, da herkömmliche E-Mail-Sicherheitstools den Namen der Organisation nicht auf Bedrohungen prüfen. Die E-Mail gelangt in den Posteingang des Opfers, da die Microsoft-Domäne einen guten Ruf genießt.
Wenn das Opfer die Nummer anruft, gibt sich der Angreifer als Kundendienstmitarbeiter aus und überredet ihn, Schadsoftware zu installieren oder persönliche Informationen wie seine Anmeldedaten herauszugeben.
Eine steigende Flut von BEC-Angriffen
Dieser Angriff unterstreicht das anhaltende Schreckgespenst der BEC-Angriffe, die im Laufe der Zeit eskaliert sind. Die aktuellsten (2024) Daten des FBI berichtet 55.5 Milliarden Dollar an globalen BEC-Verlusten zwischen 2013 und 2023 – ein Anstieg von fast 51 Milliarden US-Dollar im Vorjahr gemeldet.
Es ist auch nicht das erste Mal, dass BEC- und Phishing-Angriffe auf Microsoft 365-Benutzer abzielen. Im Jahr 2023 haben Forscher bekannt der rasante Anstieg von W3LL, einem Phishing-Kit, das gezielt Microsoft 365-Konten kompromittiert, indem es die Multi-Faktor-Authentifizierung umgeht.
Was Sie tun können
Der beste Ansatz zur Abwehr von BEC-Angriffen ist, wie bei den meisten anderen Cybersicherheitsmaßnahmen, ein mehrschichtiger Ansatz. Kriminelle können zwar eine Schutzebene durchbrechen, aber es ist weniger wahrscheinlich, dass sie mehrere Hürden überwinden. Sicherheits- und Kontrollrahmen wie ISO 27001 und Das Cybersecurity Framework des NISTsind gute Quellen für Maßnahmen, um Betrügern auszuweichen. Diese helfen, Schwachstellen zu identifizieren, E-Mail-Sicherheitsprotokolle zu verbessern und das Risiko von Angriffen auf der Grundlage von Anmeldeinformationen zu verringern.
Technologische Kontrollen sind oft eine nützliche Waffe gegen BEC-Betrüger. Der Einsatz von E-Mail-Sicherheitskontrollen wie DMARC ist zwar sicherer als der Verzicht darauf, aber wie Guardz betont, sind sie gegen Angriffe über vertrauenswürdige Domänen nicht wirksam.
Dasselbe gilt für die Inhaltsfilterung mithilfe eines der vielen verfügbaren E-Mail-Sicherheitstools. Zwar hätte dies die heimtückische Technik zur Einbettung von Bedrohungen, die bei dem im März gemeldeten Angriff zum Einsatz kam, nicht erkannt, dennoch ist es insgesamt eine nützliche Maßnahme. Optimal ist eine erweiterte Inhaltsanalyse, die Organisationsfelder und Metadaten berücksichtigt.
Ebenso sind bedingte Zugriffsrichtlinien eine wertvolle Möglichkeit, einige BEC-Angriffe zu stoppen, darunter die Verwendung der Multi-Faktor-Authentifizierung (MFA). Dieser Schutz, der einen zweiten Out-of-Band-Authentifizierungsmechanismus zur Bestätigung der Benutzeridentität verwendet, ist jedoch nicht absolut sicher. Reverse-Proxy-Angriffe, bei denen der Angreifer einen Zwischenserver nutzt, um die MFA-Anmeldeinformationen eines Opfers zu erbeuten, sind bekannt. Ein solcher Angriff ereignete sich 2022 und zielte auf 10,000 Organisationen ab, die M365 nutzen. Nutzen Sie also MFA, aber verlassen Sie sich nicht allein darauf.
Holen Sie Ihre Mitarbeiter an Bord
Viele Angriffe werden nicht durch technische Kontrollen, sondern durch einen aufmerksamen Mitarbeiter vereitelt, der eine ungewöhnliche Anfrage verifiziert. Die Verteilung des Schutzes auf verschiedene Bereiche Ihres Unternehmens ist eine gute Möglichkeit, das Risiko durch vielfältige Schutzmaßnahmen zu minimieren. Daher sind personelle und organisatorische Kontrollen im Kampf gegen Betrüger von entscheidender Bedeutung. Führen Sie regelmäßige Schulungen durch, um BEC-Versuche zu erkennen und ungewöhnliche Anfragen zu verifizieren.
Aus organisatorischer Sicht können Unternehmen Richtlinien implementieren, die sicherere Prozesse bei der Ausführung von risikoreichen Aufträgen – wie etwa großen Bargeldtransfers – erzwingen, auf die es BEC-Betrüger häufig abgesehen haben. Aufgabentrennung – eine spezielle Kontrolle innerhalb von ISO 27001 – ist eine hervorragende Möglichkeit zur Risikominderung, indem sichergestellt wird, dass für die Ausführung eines Hochrisikoprozesses mehrere Personen erforderlich sind.
Bei der Reaktion auf einen Angriff, der diese verschiedenen Kontrollen überwindet, ist Schnelligkeit entscheidend. Deshalb ist es ratsam, die Reaktion auf einen Vorfall bereits vor einem BEC-Angriff zu planen. Erstellen Sie Handlungsanweisungen für mutmaßliche BEC-Vorfälle, einschließlich der Koordination mit Finanzinstituten und Strafverfolgungsbehörden. Darin wird klar dargelegt, wer für welchen Teil der Reaktion verantwortlich ist und wie die Zusammenarbeit erfolgt.
Kontinuierliche Sicherheitsüberwachung – ein Grundsatz der ISO 27001 – ist auch für die E-Mail-Sicherheit von entscheidender Bedeutung. Rollen ändern sich. Mitarbeiter verlassen das Unternehmen. Um Gefahren vorzubeugen, ist es wichtig, Berechtigungen genau im Auge zu behalten und auf neue Schwachstellen zu achten.
BEC-Betrüger investieren in die Weiterentwicklung ihrer Techniken, weil sie profitabel sind. Ein einziger großer Betrug genügt, um den Aufwand zu rechtfertigen, den sie betreiben, um Führungskräfte mit finanziellen Anfragen anzusprechen. Es ist ein perfektes Beispiel für das Dilemma des Verteidigers: Ein Angreifer muss nur einmal erfolgreich sein, ein Verteidiger hingegen jedes Mal. Das sind nicht die Chancen, die wir uns wünschen, aber effektive Kontrollen helfen, sie gerechter auszubalancieren.
