So gehen Sie mit BEC-Angriffen um

Weltweit werden Unternehmen regelmäßig Opfer von sogenannten BEC-Angriffen. Wir erklären die Gefahr, die dahinter steckt und wie man sich gegen sie schützt.

Cyberkriminelle sind ständig auf der Suche nach neuen Methoden, um Unternehmen anzugreifen. In den letzten Jahren haben sie vermehrt auf BEC-Angriffe (Business E-Mail Compromise) gesetzt, die auf die Unternehmenskorrespondenz abzielen.

Allein das US Internet Crime Complaint Center (IC3) meldete 2019 23.775 solcher Vorfälle an das FBIinsgesamt 3.500 Fälle mehr als im Jahr 2018; der Schaden belief sich dabei auf rund 1,7 Mrd. USD.

Was ist ein BEC-Angriff?

Ein BEC-Angriff wird als zielgerichteter Cyberangriff definiert, der folgendermaßen funktioniert:

1. Zunächst wird der Korrespondezaustausch mit einem Mitarbeiter des Unternehmens per E-Mail hergestellt oder eine bestehende Firmen-Email übernommen;
2. Danach wird das Vertrauen des Mitarbeiters gewonnen;
3. Abschließend wird zu Maßnahmen ermutigt, die sich nachteilig auf die Interessen des Unternehmens oder dessen Kunden auswirken.

Normalerweise beziehen sich die Aktionen auf die Überweisung von Geldern auf die Konten von Kriminellen oder das Senden vertraulicher Dateien, aber das muss nicht immer der Fall sein. Zum Beispiel sind unsere Experten kürzlich auf eine Anfrage gestoßen, die angeblich vom CEO eines Unternehmens stammte, in der Anweisungen zur Übermittlung von Gutscheincodes per SMS an eine bestimmte Telefonnummer erläutert wurden.

Obwohl BEC-Versuche häufig Tricks im Phishing-Stil anwenden, ist der Angriff etwas ausgefeilter, wobei zum einen auf technologisches Fachwissen und zum anderen auf Social Engineering zurückgegriffen wird. Darüber hinaus sind die verwendeten Techniken einzigartig: Die Nachrichten enthalten keine böswilligen Links oder Anhänge, aber die Angreifer versuchen, den E-Mail-Client zu täuschen und damit den Empfänger dazu zu bringen, die E-Mail als legitim zu betrachten. Social Engineering spielt hierbei die Hauptrolle.

Eine sorgfältige Erfassung der Daten über das Opfer geht normalerweise einem Angriff voraus. Der Täter nutzt diese gesammelten Daten später, um das Vertrauen des Opfers zu gewinnen. Die Korrespondenz kann aus nur zwei oder drei Nachrichten bestehen oder mehrere Monate dauern.

Erwähnenswert sind mehrstufige BEC-Angriffe, die verschiedene Szenarien und Technologien kombinieren. Zum Beispiel könnten Cyberkriminelle zuerst die Anmeldeinformationen eines normalen Arbeitnehmers mithilfe von Spear Phishing stehlen und dann einen Angriff gegen einen übergeordneten Mitarbeiter des Unternehmens starten.

Häufige BEC-Angriffsszenarien

Es gibt bereits einige BEC-Angriffsszenarien, aber Cyberkriminelle erfinden immer neue Strategien. Nach unseren Beobachtungen zufolge, lassen sich die meisten Fälle auf eine von vier Varianten reduzieren:

Nachahmung von externen Organisationen: Die Angreifer geben sich als Vertreter einer Organisation aus, mit der das Unternehmen des Empfängers zusammenarbeitet. Manchmal ist es ein echtes Unternehmen, mit dem die Firma des Opfers tatsächlich Geschäfte macht. In anderen Fällen versuchen die Cyberkriminellen, leichtgläubige oder unaufmerksame Opfer zu täuschen, indem sie vorgeben, eine Scheinfirma zu vertreten.
Anweisungen vom Chef: Hier erstellen die Cyberkriminellen eine gefälschte Nachricht im Namen eines (normalerweise hochrangigen) Managers mit technischen Tricks oder Social Engineering.
Nachricht von einem Anwalt: Die Betrüger schreiben hochrangigen Mitarbeitern (manchmal sogar an den CEO selbst) und verlangen dringend Geld oder sensible Daten unter dem Schein der Vertraulichkeit. Oft geben sie sich als Auftragnehmer aus, z. B. als externer Buchhalter, Lieferanten oder Logistikunternehmen. Die meisten Situationen, in denen eine dringende und vertrauliche Antwort erforderlich ist, sind rechtlicher Natur. Daher werden die Nachrichten normalerweise im Namen eines Anwalts oder einer Anwaltskanzlei gesendet.
• E-Mail-Diebstahl: Der Eindringling erhält Zugriff auf die E-Mail des Mitarbeiters und erteilt entweder eine Anweisung zum Überweisen von Geldern oder zum Senden von Daten oder initiiert eine E-Mail Korrespondenz mit Mitarbeitern, die dazu berechtigt sind. Diese Option ist besonders gefährlich, da der Angreifer Nachrichten im Postausgang anzeigen kann, wodurch es einfacher wird, den Kommunikationsstil des Mitarbeiters nachzuahmen.

BEC-Angriffstechniken

BEC-Angriffe entwickeln sich auch aus technologischer Sicht. Wenn sie 2013 die entführten E-Mail-Konten von CEOs oder CFOs nutzten, verlassen sie sich heute zunehmend darauf, eine andere Person durch eine Kombination aus technischer List, Social Engineering und Unaufmerksamkeit des Opfers und haben Erfolg. Hier sind die grundlegenden technischen Tricks, die sie anwenden:

Spoofing von E-Mail-Absendern: Der Betrüger fälscht die Mail-Header. Infolgedessen erscheint beispielsweise eine von betrueger@email.com gesendete E-Mail im Posteingang des Opfers als eine Nachricht von CEO@deinUnternehmen.com. Diese Methode hat viele Variationen und verschiedene Header können auf verschiedene Arten geändert werden. Die Hauptgefahr dieser Angriffsmethode besteht darin, dass nicht nur Angreifer Nachrichtenkopfzeilen manipulieren können, sondern auch legitime Absender dies aufgrund verschiedener Gründe machen.
Lookalike-Domains: Der Cyberkriminelle registriert einen Domainnamen, der dem des Opfers sehr ähnlich ist. Zum Beispiel b3ispiel.com anstelle von Beispiel.com. Als nächstes werden Nachrichten von der Adresse CEO@b3ispiel.com gesendet , in der Hoffnung, dass ein unachtsamer Mitarbeiter die gefälschte Domain nicht erkennt. Die Schwierigkeit liegt hier in der Tatsache, dass der Angreifer die gefälschte Domain wirklich besitzt, sodass Informationen über den Absender alle herkömmlichen Sicherheitsüberprüfungen bestehen.
Mailsploits: In E-Mail-Clients werden immer neue Sicherheitslücken gefunden. Sie können manchmal verwendet werden, um den Client zu zwingen, einen falschen Namen oder eine falsche Absenderadresse anzuzeigen. Glücklicherweise werden Infosec-Unternehmen schnell auf solche Sicherheitslücken aufmerksam, sodass Sicherheitslösungen ihre Verwendung verfolgen und Angriffe verhindern können.
• E-Mail-Diebstahl. Die Angreifer erhalten vollen Zugriff auf ein E-Mail-Konto, woraufhin sie Nachrichten senden können, die von echten Nachrichten kaum zu unterscheiden sind. Der einzige Weg, sich automatisch vor dieser Art von Angriff zu schützen, besteht darin, mithilfe von Tools für maschinelles Lernen die Urheberschaft der E-Mails zu bestimmen.

Fälle, denen wir begegnet sind

Wir respektieren die Vertraulichkeit unserer Kunden, daher sind die folgenden keine echten Nachrichten, sondern Beispiele, die einige gängige BEC-Möglichkeiten veranschaulichen.

Gefälschter Name

Der Angreifer versucht, Kontakt zu einem potenziellen Opfer aufzunehmen und sich als dessen Chef auszugeben. Damit der Empfänger nicht versucht, den echten leitenden Angestellten zu kontaktieren, hebt der Betrüger sowohl die Dringlichkeit der Anfrage als auch die derzeitige Nichtverfügbarkeit des Chefs über andere Kommunikationskanäle hervor:

Der Trick mit dem falschen Namen

Der Trick mit dem falschen Namen

 

Ein genauerer Blick zeigt, dass der Name des Absenders (Bob) nicht mit der tatsächlichen E-Mail-Adresse (not_bob@gmail.com)übereinstimmt. In diesem Fall hat der Angreifer nur den Namen gefälscht, der beim Öffnen der Nachricht angezeigt wird. Diese Art von Angriff ist besonders effektiv auf Mobilgeräten, auf denen standardmäßig nur der Name des Absenders und nicht dessen Adresse angezeigt wird.

Gefälschte Adresse

Der Cyberkriminelle sucht einen Mitarbeiter im Rechnungswesen auf, der berechtigt ist, Bankdaten zu ändern. Er schreibt:

Hier wird der Nachrichtenkopf so geändert, dass der Client sowohl den Namen als auch die E-Mail-Adresse des legitimen Mitarbeiters anzeigt, die E-Mail des Angreifers jedoch als Antwortadresse angegeben wird. Infolgedessen werden Antworten auf diese Nachricht an not_bob@gmail.com gesendet. Viele Clients verbergen das Antwortfeld standardmäßig, sodass diese Nachricht auch bei genauer Betrachtung echt erscheint. Theoretisch könnte ein Angriff mit einer solchen Nachricht gestoppt werden, indem SPF, DKIM und DMARC auf dem Mail-Server des Unternehmens korrekt konfiguriert werden.

Ghost Spoofing

Der Angreifer, der vorgibt, ein Manager zu sein, überzeugt den Mitarbeiter von der Notwendigkeit, mit einem falschen Anwalt zusammenzuarbeiten, der angeblich bald Kontakt aufnehmen wird:

Hier enthält das Absenderfeld nicht nur den Namen, sondern auch die gefälschte E-Mail-Adresse. Nicht die modernste Technik, aber dennoch fallen viele Menschen darauf herein, insbesondere wenn die tatsächliche Adresse nicht auf dem Bildschirm des Empfängers angezeigt wird (zum Beispiel einfach, weil sie zu lang ist).

Lookalike-Domäne

Ein anderer Cyberkrimineller versucht, einen E-Mail-Austausch mit einem Mitarbeiter des Unternehmens zu initiieren:

ALT: Der Lookalike-Domain-Trick

Dies ist ein Beispiel für die oben erwähnte Lookalike-Domain-Methode. Der Betrüger registriert zuerst einen Domainnamen, der einem vertrauenswürdigen ähnlich ist (in diesem Fall examp1e.com anstelle von example.com), und hofft dann darauf, dass der Empfänger dies nicht bemerkt.

Hochkarätige BEC-Angriffe

In einer Reihe von jüngsten Nachrichtenberichten wurden BEC-Angriffe hervorgehoben, die Unternehmen verschiedener Formen und Größen erheblichen Schaden zufügen. Hier sind einige der interessantesten:

• Ein Cyberkrimineller erstellte eine Domain, die der eines taiwanesischen Elektronikherstellers nachempfunden war, und schickte damit über einen Zeitraum von zwei Jahren Rechnungen an große Unternehmen (einschließlich Facebook und Google), wobei er 120 Millionen US-Dollar einsteckte.
• Cyberkriminelle gaben vor, eine Baufirma zu sein, und überzeugten die University of South Oregon, fast 2 Millionen US-Dollar auf Dummy-Konten zu überweisen.
• Einige Betrüger mischten sich in die Korrespondenz zwischen zwei Fußballclubs ein, indem sie eine Domain registrierten, die den Namen eines von ihnen enthielt, aber eine andere Domain-Endung hatte. Die beiden Vereine, Boca Juniors und Paris Saint-Germain, diskutierten über den Transfer eines Spielers und die Kommission für den Deal. Infolgedessen gingen fast 520.000 € an verschiedene betrügerische Konten in Mexiko.
• Toyotas europäischer Arm verlor mehr als 37 Millionen US-Dollar an Cyberkriminelle als Folge einer gefälschten Überweisungsanweisung, die ein Mitarbeiter für legitim hielt.

Umgang mit BEC-Angriffen

Cyberkriminelle wenden eine breite Palette technischer Tricks und Social-Engineering-Methoden an, um an Vertrauen zu gewinnen und Betrug zu begehen. Das Ergreifen einer Reihe wirksamer Maßnahmen kann jedoch die Bedrohung durch BEC-Angriffe minimieren:

• Richten Sie SPF ein, verwenden Sie DKIM-Signaturen und implementieren Sie eine DMARC-Richtlinie, um sich vor gefälschter interner Korrespondenz zu schützen. Theoretisch ermöglichen diese Maßnahmen auch anderen Unternehmen, im Namen Ihrer Organisation gesendete E-Mails zu authentifizieren (vorausgesetzt natürlich, dass die Unternehmen diese Technologien konfiguriert haben). Diese Methode kann sich manchmal als zu schwach erweisen (z.B. unfähig, Ghost Spoofing oder Lookalike-Domains Angriffen vorzubeugen), aber je mehr Unternehmen die Standards SPF, DKIM und DMARC benutzen, desto weniger Spielraum haben die Cyberkriminellen. Die Verwendung dieser Technologien trägt zu einer Art Herdenimmunität gegen viele Arten von böswilligen Vorgängen mit E-Mail-Headern bei.

• Trainieren Sie Mitarbeiter regelmäßig, um Social Engineering entgegenzuwirken. Eine Kombination aus Workshops und Simulationen schult Mitarbeiter, wachsam zu sein und BEC-Angriffe zu identifizieren, die andere Verteidigungsebenen durchdringen.

• Verwenden Sie Sicherheitslösungenmit spezialisierter Anti-BEC-Technologie, um viele der in diesem Beitrag beschriebenen Angriffsmethoden zu besiegen.

Die Kaspersky-Lösungen mit spezieller Inhaltsfilterung identifizieren bereits viele Arten von BEC-Angriffen. Unsere Experten entwickeln kontinuierlich Technologien, um sich weiter vor den fortschrittlichsten und anspruchsvollsten Betrügereien zu schützen.

Tipps