BEC

Wie man mit internen BEC-Angriffen umgeht

BEC-Angriffe, die kompromittierte E-Mails verwenden, sind besonders gefährlich. Wir erklären, wie wir gelernt haben, sie zu identifizieren.

Roman Dedenok
2 Jun 2020

In den letzten Jahren ist die Anzahl der BEC-Angriffe (Business E-Mail Compromise) immer weiter gestiegen. Mit derartigen Angriffen wird die Geschäftskorrespondenz kompromittiert, um Finanzbetrug zu begehen, an vertrauliche Informationen zu gelangen oder den Ruf eines Unternehmens zu schädigen. In einem unserer früheren Beiträge über die Arten von BECs und die Möglichkeiten, wie man mit ihnen umgeht, haben wir bereits über E-Mail-Diebstahl gesprochen. Heute jedoch sprechen wir über die gefährlichste Art von BEC-Angriffen – interner BEC. Wir haben vor kurzem eine neue Technologie zum Schutz vor dieser besonderen Bedrohung entwickelt und implementiert.

Warum ein interner BEC-Angriff gefährlicher ist als ein externer

Interne BEC-Angriffe unterscheiden sich von anderen Angriffsszenarien dadurch, dass betrügerische E-Mails von legitimen Adressen innerhalb eines Unternehmens verschickt werden. Mit anderen Worten: Um einen internen Angriff zu starten, muss sich ein Angreifer Zugang zum E-Mail-Konto eines Mitarbeiters verschafft haben. Das bedeutet, dass Sie sich nicht auf E-Mail-Authentifizierungsmechanismen (DKIM, SPF, DMARC) verlassen können, um einen solchen Angriff zu verhindern; auch die standardmäßigen automatischen Antiphishing- und Antispam-Tools, die nach Inkonsistenzen in Kopfzeilen oder Adressen suchen, helfen hier nicht.

Für gewöhnlich enthält die E-Mail einer kompromittierten Mailbox eine Aufforderung zur Überweisung von Geld (an einen Lieferanten, Auftragnehmer, Finanzamt) oder zum Übermitteln vertraulicher Daten. Das alles wird mit einigen standardmäßigen Social-Engineering Tricks abgerundet. Die Cyberkriminellen versuchen dabei immer, den Empfänger unter Druck zu setzen (z. B.: „Wenn wir die Rechnung heute nicht bezahlen, wird das Unternehmen mit einer Geldstrafe belegt!), zu bedrohen („Ich habe Sie schon letzten Monat gebeten, die Zahlung zu tätigen, worauf warten Sie noch?!“), einen verbindlichen Ton anzuschlagen, der keine Versäumnisse mehr duldet, oder andere Social-Engineering-Tricks anzuwenden. Kombiniert mit einer echten E-Mail-Adresse kann das einen sehr überzeugenden Eindruck erwecken.

Bei internen BEC-Angriffen können auch E-Mails mit Links zu gefälschten Websites eingesetzt werden, deren URLs sich von der Adresse der Zielorganisation (oder einer anderen vertrauenswürdigen Seite) nur um ein oder zwei Buchstaben unterscheiden (z. B. ein Großbuchstabe anstelle eines Kleinbuchstabens oder umgekehrt). Die Website kann ein Zahlungsformular oder einen Fragebogen enthalten, in dem vertrauliche Informationen abgefragt werden. Stellen Sie sich folgendes Szenario vor: Sie erhalten eine E-Mail von der Adresse Ihres Chefs, in der steht: „Sie müssen uns auf der Konferenz XXX vertreten. Buchen Sie das Ticket bitte schnellstmöglich mit unserer Bankverbindung, damit wir einen Frühbucherrabatt erhalten können.“ Zusammen mit einem Link, der aussieht wie die Website einer der wichtigsten Veranstaltung Ihrer Branche, sieht die E-Mail ziemlich überzeugend aus. Wie stehen die Chancen, dass Sie sich die Zeit nehmen werden, jede E-Mail sorgfältig zu kontrollieren, wenn alles, bis hin zur E-Mail-Signatur, in Ordnung zu sein scheint?

Wie kann man Unternehmen vor internen BEC-Angriffen schützen?

Technisch gesehen ist die E-Mail vollkommen in Ordnung, sodass die einzige Möglichkeit, eine solche Fälschung zu erkennen, darin besteht, den E-Mail-Inhalt kritisch zu beurteilen. Indem man viele solcher BEC-Nachrichten durch Algorithmen laufen lässt, die mit künstlicher Intelligenz arbeiten, ist es möglich, solche Merkmale zu identifizieren, die helfen, festzustellen, ob eine Nachricht echt oder Teil eines BEC-Angriffs ist.

Glücklicherweise (oder auch nicht) haben wir keinen Mangel an Stichproben. Unsere E-Mail-Fallen nehmen täglich Millionen von Spam-Nachrichten auf der ganzen Welt auf. Dazu gehört auch eine beträchtliche Anzahl an Phishing-E-Mails, die natürlich keine internen BEC-Angriffe sind, aber die gleiche Tricks anwenden und dieselben Ziele verfolgen, sodass wir sie zum Lernen einspeisen.

Zu Beginn trainieren wir einen Klassifikator an dieser großen Menge von Stichproben, um betrügerische Nachrichten zu identifizieren. Die nächste Stufe des maschinellen Lernprozesses arbeitet direkt mit dem Text. Die Algorithmen suchen Begriffe zur Erkennung verdächtiger Nachrichten heraus, auf deren Grundlage wir Heuristiken (Regeln) entwickeln, mit denen unsere Produkte Angriffe identifizieren können. Ein ganzes Ensemble von maschinell lernenden Klassifikatoren ist an diesem Prozess beteiligt.

Aber das ist kein Grund, um sich zurückzulehnen und zu entspannen. Unsere Produkte können jetzt weit mehr BEC-Angriffe erkennen als früher, aber nachdem ein Eindringling Zugang zum E-Mail-Konto eines Mitarbeiters erhalten hat, kann er dessen Schreibstil erlernen und versuchen, ihn bei einem einmaligen Angriff nachzuahmen. Wachsamkeit ist also nach wie vor entscheidend.

Wir empfehlen Ihnen, sich lange und gründlich mit E-Mail Nachrichten zu befassen, in denen um eine Überweisung oder die Offenlegung vertraulicher Daten gebeten wird. Fügen Sie eine zusätzliche Authentifizierungsebene hinzu, indem Sie den betreffenden Kollegen anrufen oder ihm (in einem vertrauenswürdigen Dienst) eine Nachricht zukommen lassen oder persönlich mit ihm sprechen, um die Einzelheiten zu klären.

Wir verwenden die neu-generierten Heuristiken unserer neuen Anti-BEC-Technologie bereits in Kaspersky Security for Microsoft Office 365. Bald werden sie auch in anderen Lösungen implementiert werden.

Wie man bei Videospielen sicher sparen kann

Die Gefahren von raubkopierten Spielen, Aktivierungscodes von Graumarktseiten und gebrauchsfertigen Konten aus offiziellen Stores.

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Wie man mit internen BEC-Angriffen umgeht

Warum ein interner BEC-Angriff gefährlicher ist als ein externer

Wie kann man Unternehmen vor internen BEC-Angriffen schützen?

Zählpixel im Auftrag der Cyberkriminalität

So gehen Sie mit BEC-Angriffen um

Wie man bei Videospielen sicher sparen kann

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie