Wie kompromittierte E-Mail-Konten Millionen kosten können

20 Sep 2019

Für gewöhnlich werden gekaperte Konten zur Spamverteilung und Filterumgehung genutzt. Ein gehijacktes Postfach kann jedoch für sehr viel schlimmere Zwecke verwendet werden, wie zum Beispiel einen BEC-Angriff (Business E-Mail Compromise). Im vergangenen Monat wurde eine Tochtergesellschaft der Toyota Boshoku Corporation von einem solchen Angriff getroffen, der geschätzte 4 Milliarden Yen (mehr als 37 Millionen US-Dollar) Schaden verursachte.

Was ist passiert?

Dem offiziellen Statement vom 6. September sowie Kommentaren aus Newsartikeln zufolge führten unbekannte Cyberkriminelle einen BEC-Angriff auf das Unternehmen aus. Der Vorfall wird momentan noch untersucht, und bislang wurden keine weiteren Details veröffentlicht. Aus diesem Grund kann derzeit noch nicht mit 100%iger Sicherheit gesagt werden, ob ein gekapertes E-Mail-Postfach für den Angriff verantwortlich war oder ob sich die Angreifer schlichtweg als firmeninterner Angestellter ausgaben. Wir wissen jedoch, dass der finanzielle Verlust auf betrügerische Überweisungsaufträge zurückzuführen war, die ein Mitarbeiter des Unternehmens als legitim einstufte.

Kurz nach der Überweisung stellten die Sicherheitsexperten von Toyota fest, dass das Geld auf ein externes Konto überwiesen worden war – zu diesem Zeitpunkt war es allerdings bereits zu spät. Mittlerweile arbeitet das Unternehmen an einer Rückerstattung der Gelder.

Was ist ein BEC-Angriff?

Bei einem BEC-Angriff steht nicht zwangsweise das Hijacken von E-Mail-Postfächern anderer Personen im Vordergrund. Manchmal versuchen Cyberkriminelle, sich unter Verwendung von Drittanbieteradressen als leitende Angestellte oder Partner eines Unternehmens auszugeben. Der Gebrauch eines firmeninternen E-Mail-Kontos erleichtert einen solchen Angriff jedoch erheblich, denn eine E-Mail von jemandem, mit dem Sie im Normalfall auf täglicher Basis korrespondieren, lässt die Betroffenen so gut wie keinen Verdacht schöpfen.

Damit der Angriff erfolgreich ist, müssen die Cyberkriminellen über hervorragende Social-Engineering-Skills verfügen. In die Rolle einer fremden Person zu schlüpfen und jemanden davon zu überzeugen, etwas bestimmtes zu tun, ist schwieriger als vielleicht angenommen. Auch hier vereinfacht ein gekapertes Postfach die Aufgabe der Angreifer; nachdem sie den Inhalt empfangener und gesendeter E-Mail-Nachrichten genau untersucht haben, können sie den Stil und den Charakter der Person deutlich überzeugender imitieren.

Nicht immer geht es den Angreifern bei einem BEC-Angriff um die Überweisung einer bestimmten Geldsumme (letztendlich ist es keine belanglose Aufgabe, jemanden davon zu überzeugen, eine Summe in Millionenhöhe auf ein bestimmtes Konto zu überweisen). Deshalb versuchen Angreifer weitaus häufiger, über das Opfer an vertrauliche Unternehmensdaten zu gelangen.

Beispiele eines BEC-Angriffs

Der Toyota-Angriff ist keineswegs der erste Fall dieser Art. In diesem Jahr haben wir bereits mehrmals über eine cyberkriminelle Masche berichtet, die darauf ausgerichtet ist, die Konten von Unternehmensmitarbeitern zu kapern. Im Mai haben wir darüber geschrieben, wie Cyberkriminelle einen Fußballverein dazu bringen konnten, die falschen Zahlungsdaten für die deftige Ablösesumme eines Spielers zu verwenden. Im vergangenen Monat versuchten Betrüger, 2,9 Millionen US-Dollar von den öffentlichen Schulen in Portland (Oregon) zu ergattern. Und im Juli verloren die Cabarrus County Schools (North Carolina) 1,7 Millionen US-Dollar, nachdem sie falsche Anweisungen per E-Mail erhalten hatten. Die Mitarbeiter überwiesen anfangs insgesamt 2,5 Millionen US-Dollar, angeblich für den Bau einer neuen Schule, konnten später jedoch einen Teil des Geldes zurückerlangen.

So können Sie sich schützen

Um sich vor Social Engineering schützen zu können, reichen technische Mittel allein nicht aus – insbesondere dann, wenn es sich bei den Angreifern um Fachleute handelt, die Zugriff auf das E-Mail-Konto der Person haben, deren Identität sie vortäuschen möchten. Damit Sie nicht zum Opfer einer solchen Betrugsmasche werden, empfehlen wir Ihnen Folgendes:

  • Kein Mitarbeiter sollte unkontrolliert Überweisungen auf ein Drittkonto tätigen können. Legen Sie dazu einen angemessenen Prozess für den Zahlungsverkehr des Unternehmens fest. Stellen Sie sicher, dass Überweisungen, bei denen größere Geldsummen im Spiel sind, immer von mehreren, dafür zuständigen Personen autorisiert werden.
  • Erklären Sie Ihren Mitarbeitern die Grundlagen der Cybersicherheit und bringen Sie ihnen bei, skeptisch mit eingehenden E-Mails umzugehen. Unsere Security Awareness Programme können Ihnen dabei effektiv zur Seite stehen.
  • Verhindern Sie mithilfe eines angemessenen Phishing-Schutzes auf Mail-Serverebene, das Unternehmenskonten gekapert werden können. Installieren Sie dazu beispielsweise Kaspersky Endpoint Security für Business Advanced.