Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Wie aus den aktuellen Zahlen des FBIs hervorgeht, konnte in den vergangenen Monaten eine Zunahme von E-Mail-Betrug beobachtet werden. So lag die Gesamtschadenssumme bei Unternehmen, die in den letzten fünf Jahren durch Cyberkriminelle verursacht worden ist, bei über 5,3 Milliarden US-Dollar. Dies entspricht einem Anstieg von mehr als 2,3 Prozent. (Quelle: Stellungnahme des FBIs vom 04.05.2017 zum Thema Business E-Mail Compromise)

 

Und auch in Deutschland warnt das BKA vor Cyberkriminellen. Offiziell spricht das BKA von Schäden in dreistelliger Millionenhöhe. Allein im Jahr 2016 wurden rund 83.000 Vorkommnisse dieser Art bekannt (Quelle: Cybercrime Bundeslagebild 2016). Dabei handelt es sich jedoch lediglich um offizielle Zahlen. Die reale Zahl dürfte wesentlich höher liegen. Zu groß ist die Befürchtung vieler Unternehmen – aufgrund eines solchen Vorfalls – eine schlechte Außenwirkung zu erzielen.

 

Ein Business E-Mail Compromise ist durch unterschiedliche Formen gekennzeichnet. Neben der Kompromittierung eines E-Mail-Kontos eines Mitarbeiters gelangen u.a. auch Methoden wie Spear-Phishing oder CEO-Fraud zum Einsatz, wobei Letztere von den Kriminellen bevorzugt wird. Über diese Masche versuchen Angreifer, an sensible Unternehmensdaten oder Geld zu gelangen. Dabei werden Unternehmen nicht selten um Geldsummen in sechs-, sieben- oder gar achtstelliger Höhe erleichtert. So geschehen im Jahr 2016 bei einem bekannten Autoteilzulieferer mit Sitz in Nürnberg. Die beträchtliche Schadenshöhe – rund 40 Millionen Euro. (Quelle: Beitrag von Heise vom 16.08.2016)

 

Dabei ist die Vorgehensweise der Täter fast immer gleich, mit dem Unterschied, dass nicht nur auf vertrauenswürdige E-Mails gesetzt wird, sondern zunehmend auch Malware zum Einsatz gelangt. Dabei besteht der Business E-Mail Compromise nicht selten aus einer zusätzlichen Ransomware-Attacke. Im Fokus der Täter stehen, wie bereits erwähnt, primär finanzielle Ziele. Dabei sind die erbeuteten Geldsummen – je nach Angriffsmuster – unterschiedlich hoch ausgeprägt.

 

Raffiniert gestalten die Täter ihr Vorgehen. Um herauszufinden, ob ein Unternehmen erpressbar ist bzw. wie es um die Liquidität des ins Visier genommenen Unternehmens steht, erfolgt zunächst eine Lösegelderpressung über einen Ransomware-Angriff. Stellt sich diese Attacke für die Täter als lohnenswert heraus, kann im Nachgang noch ein zusätzlicher Spearphishing-Angriff erfolgen.

 

Business E-Mail Compromise – Nicht nur eine Frage der Unternehmensgröße

 

Die Täter beschränken sich bei einem Business E-Mail Compromise nicht ausschließlich auf eine bestimmte Unternehmensgröße. Dies liegt primär darin begründet, dass häufig Mitarbeiter als Angriffsziel dienen. Insgesamt betrachtet erscheint die Vorgehensweise der Täter nachvollziehbar. Denn wie der IT-Branchenverband Bitkom erst kürzlich bekannt gab, haben 60 % der Internetnutzer keine Kenntnis darüber, was polymorphe Viren überhaupt sind. (Quelle: Presseinformation von Bitkom vom 05.12.2017)

 

Und selbst 41 % der Internetnutzer, die schon einmal mit dem Thema Ransomware in Berührung gekommen sind, wissen zwar um die Gefahren, die mit einem solchen Angriff einhergehen, möchten jedoch keine aktiven Sicherheitsmaßnahmen ergreifen. Dies zeigt, dass das Wissen in Teilen sogar vorhanden ist, die Auswirkungen jedoch verharmlost werden. Schließlich glauben die meisten, dass es immer nur andere trifft und das eigene Unternehmen höchstwahrscheinlich nicht ins Visier von Cyberkriminellen gerät.

Business E-Mail Compromise

Inwieweit diese Annahme in der Praxis Bestand hat, ist letztlich aufgrund der Dunkelziffer nicht überprüfbar. Denn von den betroffenen Unternehmen gelangen kaum Informationen an die Öffentlichkeit.

 

Generell ist jedoch zu beobachten, dass die Täter äußerst professionell agieren. Es handelt sich nicht mehr nur um den technikversierten Einzeltäter, der ein paar Euro nebenher verdienen möchten. Vielmehr zeigt sich, dass die Angreifer den Bereich der Cyberkriminalität primär aus wirtschaftlichen Gründen auswählen und diesen für äußerst lukrativ halten. Dies gilt insbesondere für Business E-Mail Compromise.

 

Was zählt? Schnelligkeit!

 

Schutzmechanismen, die Unternehmen vor einem Worst Case dieser Art bewahren, gibt es. Eine Firewall oder ein Antivirenprogramm gehören allerdings nicht dazu. Besondere Angriffsformen erfordern spezielle Verteidigungsmechanismen, die in einem solchen Fall besonders schnell greifen müssen.

 

Gerade Unternehmen, die sich mit der Implementierung von Sicherheitsmechanismen dieser Art nur wenig auskennen, sollten sich überlegen, auf Managed Security Services zu setzen. IT-Sicherheit outsourcen lautet das Zauberwort – denn nur so kann das Ungleichgewicht zwischen Cyberkriminellen und Unternehmen reduziert werden.

 

Automatisierte Prozesse auf Cloud-Basis sowie eine innovative Technologie, die Unternehmen zuverlässig vor komplexen Cyberattacken schützt – solch eine Lösung bietet Hornetsecurity an. Mit Advanced Threat Protection sind wir in der Lage, Business E-Mail Compromise nachhaltig einzudämmen. So schützen wir unsere Kunden nicht nur vor CEO-Fraud, sondern auch vor Ransomware-Angriffen und Spear-Phishing-Attacken.

 

Erfahren Sie im nachfolgenden Video mehr über die Schutzmechanismen von Hornetsecurity Advanced Threat Protection:

Weiterführende Informationen:

 

  1. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Mehr erfahren.
  2. Informationen zu Managed Security Services in Unternehmen: Zur Security Automation Studie 2017.
Amazon Phishing Mails auf dem Vormarsch

Amazon Phishing Mails auf dem Vormarsch

Amazon Phishing gehört wohl zu den beliebtesten Angriffsformen, wenn es darum geht, persönliche Daten sowie sensible Informationen von Personen in Erfahrung zu bringen. Hierbei bedienen sich Cyberkriminelle ganz unterschiedlicher Methoden, wobei diese zunehmend zielgerichteter werden. Mittlerweile hat sich in Bezug auf diese spezielle Angriffsart ein neuer Begriff namens Spear Phishing etabliert.

 

Sofern die Cyberattacken auf ein Unternehmen ausgerichtet sind, werden diese insbesondere durch Spionage-Angriffe auf einzelne Mitarbeiter geplant und durchgeführt. Dabei werden die Präferenzen und Interessen von einzelnen Mitarbeitern aus Unternehmen über Wochen, zum Teil auch über Monate beobachtet, um ein entsprechendes Profil der Zielperson erstellen zu können. Dies kann zum einen durch Social Engineering oder durch Analyse des Online-Verhaltens erfolgen.

 

Demnach erfolgen die Angriffe im Bereich der Wirtschafts- und Industriespionage nicht mehr direkt auf die geschäftlichen Accounts selbst, sondern verlagern sich zunehmend in das private Umfeld des Angegriffenen. Dabei wird z.B. überprüft, ob ein Mitarbeiter des anvisierten Unternehmens einen user account bei einem Online-Händler, wie beispielsweise Ebay oder Amazon besitzt. Diese Informationen können bei Ebay über das Bewertungsprofil von Mitgliedern und bei Amazon über die Wunschliste abgegriffen werden. Dieses Einfallstor dient dem sogenannten Amazon Phishing z.B. als Wegbereiter für einen Angriff.

 

Schon allein aufgrund dieser Schwachstellen sollten Sie und Ihre Mitarbeiter als Nutzer solcher Plattformen unbedingt darauf achten, dass es sich bei dem Nutzernamen nie um Ihren realen Namen oder den Firmennamen handelt. Es empfiehlt sich, den öffentlichen Zugriff auf die Wunschlisten in den Einstellungen bei Amazon zu deaktivieren, da Sie unter Umständen dem Amazon Phishing zum Opfer fallen könnten.

 

Doch wie funktioniert Amazon Phishing konkret?

Hat der Angreifer erst einmal in Erfahrung gebracht, dass die anvisierte Person einen Amazon Account besitzt, besteht die Möglichkeit, einen Angriff in Form einer fingierten Amazon E-Mail zu initiieren. Hierbei wird versucht Login-Daten abzugreifen, in dem der Empfänger eine E-Mail mit einem Link unter dem Vorwand erhält, sein Konto zu verifizieren. Diese angebliche Notwendigkeit wird dadurch intensiviert, dass dem Empfänger mitgeteilt wird, dass eine Sperrung des Benutzerkontos erfolgt, sollte der die Verifizierung nicht vorgenommen werden.

 

Da die Inhalte als auch der Aufbau einer solchen E-Mail zumeist äußerst professionell wirken, neigen einige der Empfänger dazu, den beigefügten Link gutgläubig aufzurufen. Was die Opfer des Amazon Phishing Angriffs nicht wissen, ist, dass sie häufig auf eine gespiegelte Copycat-Webseite gelangen, die eigens dafür konstruiert wurde, über Formularfelder Zugangsdaten abzugreifen. Exemplarisch gibt das Opfer die Daten in die Formularfelder der fragwürdigen Webseite ein und erhält z.B. die Benachrichtigung, dass die Eingabe fehlerhaft war. Zu diesem Zeitpunkt hat der Cyberkriminelle bereits die Zugangsdaten für den Amazon Account in Erfahrung gebracht.

 

Ebenfalls denkbar ist eine leichte Abwandlung des Angriffs per Amazon Phishing. So wird u.a. der Empfänger einer solchen E-Mail mit bestimmten panikauslösenden Betreffzeilen irritiert. Diese könnten z.B. lauten: „3. Mahnung: Bezahlen Sie umgehend Ihre Rechnung bei Händler XY in Höhe von 120,00 Euro“ oder „Wichtige Information: Ihr Amazon Benutzerkonto wurde gesperrt!“. Diese teilweise angsteinflößende Methode durch Amazon Phishing ist recht effektiv. Fühlen sich die Empfänger solcher E-Mails unter Druck gesetzt, klicken Sie eventuell auf den beigefügten Link zu einer Webseite und geben dort ihre persönlichen Benutzerdaten preis.

 

Was passiert durch die per Amazon Phishing in Erfahrung gebrachten Daten

Leichtfertig verwendet eine Vielzahl der Internetnutzer ein und dasselbe Passwort für verschiedene Accounts. Dies bedeutet konkret, dass z.B. die Benutzerdaten, die durch einen Cyberkriminellen über Amazon Phishing in Erfahrung gebracht wurden, u.U. auch für einen Account im Firmennetzwerk Gültigkeit besitzen können. Mitarbeiter, die folglich ein universelles Passwort verwenden, gefährden letztlich nicht nur sich selbst, sondern ebenfalls auch das Unternehmen, in welchem sie tätig sind.

 

Weiterführende Informationen

  1. Schutz vor Spear Phishing
  2. Amazon Phishing Angriff melden