{"id":24133,"date":"2020-06-02T14:40:45","date_gmt":"2020-06-02T12:40:45","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24133"},"modified":"2020-06-02T14:40:45","modified_gmt":"2020-06-02T12:40:45","slug":"fighting-internal-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/fighting-internal-bec\/24133\/","title":{"rendered":"Wie man mit internen BEC-Angriffen umgeht"},"content":{"rendered":"

In den letzten Jahren ist die Anzahl der BEC-Angriffe (Business E-Mail Compromise) immer weiter gestiegen. Mit derartigen Angriffen wird die Gesch\u00e4ftskorrespondenz kompromittiert, um Finanzbetrug zu begehen, an vertrauliche Informationen zu gelangen oder den Ruf eines Unternehmens zu sch\u00e4digen. In einem unserer fr\u00fcheren Beitr\u00e4ge \u00fcber die Arten von BECs und die M\u00f6glichkeiten, wie man mit ihnen umgeht<\/a>, haben wir bereits \u00fcber E-Mail-Diebstahl gesprochen. Heute jedoch sprechen wir \u00fcber die gef\u00e4hrlichste Art von BEC-Angriffen \u2013 interner BEC. Wir haben vor kurzem eine neue Technologie zum Schutz vor dieser besonderen Bedrohung entwickelt und implementiert.<\/p>\n

Warum ein interner BEC-Angriff gef\u00e4hrlicher ist als ein externer<\/h2>\n

Interne BEC-Angriffe unterscheiden sich von anderen Angriffsszenarien dadurch, dass betr\u00fcgerische E-Mails von legitimen Adressen innerhalb eines Unternehmens verschickt werden. Mit anderen Worten: Um einen internen Angriff zu starten, muss sich ein Angreifer Zugang zum E-Mail-Konto eines Mitarbeiters verschafft haben. Das bedeutet, dass Sie sich nicht auf E-Mail-Authentifizierungsmechanismen (DKIM, SPF, DMARC) verlassen k\u00f6nnen, um einen solchen Angriff zu verhindern; auch die standardm\u00e4\u00dfigen automatischen Antiphishing- und Antispam-Tools, die nach Inkonsistenzen in Kopfzeilen oder Adressen suchen, helfen hier nicht.<\/p>\n

F\u00fcr gew\u00f6hnlich enth\u00e4lt die E-Mail einer kompromittierten Mailbox eine Aufforderung zur \u00dcberweisung von Geld (an einen Lieferanten, Auftragnehmer, Finanzamt) oder zum \u00dcbermitteln vertraulicher Daten. Das alles wird mit einigen standardm\u00e4\u00dfigen Social-Engineering Tricks<\/a> abgerundet. Die Cyberkriminellen versuchen dabei immer, den Empf\u00e4nger unter Druck zu setzen (z. B.: \u201eWenn wir die Rechnung heute nicht bezahlen, wird das Unternehmen mit einer Geldstrafe belegt!), zu bedrohen (\u201eIch habe Sie schon letzten Monat gebeten, die Zahlung zu t\u00e4tigen, worauf warten Sie noch?!\u201c), einen verbindlichen Ton anzuschlagen, der keine Vers\u00e4umnisse mehr duldet, oder andere Social-Engineering-Tricks anzuwenden. Kombiniert mit einer echten E-Mail-Adresse kann das einen sehr \u00fcberzeugenden Eindruck erwecken.<\/p>\n

Bei internen BEC-Angriffen k\u00f6nnen auch E-Mails mit Links zu gef\u00e4lschten Websites eingesetzt werden, deren URLs sich von der Adresse der Zielorganisation (oder einer anderen vertrauensw\u00fcrdigen Seite) nur um ein oder zwei Buchstaben unterscheiden (z. B. ein Gro\u00dfbuchstabe anstelle eines Kleinbuchstabens oder umgekehrt). Die Website kann ein Zahlungsformular oder einen Fragebogen enthalten, in dem vertrauliche Informationen abgefragt werden. Stellen Sie sich folgendes Szenario vor: Sie erhalten eine E-Mail von der Adresse Ihres Chefs, in der steht: \u201eSie m\u00fcssen uns auf der Konferenz XXX vertreten. Buchen Sie das Ticket bitte schnellstm\u00f6glich mit unserer Bankverbindung, damit wir einen Fr\u00fchbucherrabatt erhalten k\u00f6nnen.\u201c Zusammen mit einem Link, der aussieht wie die Website einer der wichtigsten Veranstaltung Ihrer Branche, sieht die E-Mail ziemlich \u00fcberzeugend aus. Wie stehen die Chancen, dass Sie sich die Zeit nehmen werden, jede E-Mail sorgf\u00e4ltig zu kontrollieren, wenn alles, bis hin zur E-Mail-Signatur, in Ordnung zu sein scheint?<\/p>\n

Wie kann man Unternehmen vor internen BEC-Angriffen sch\u00fctzen?<\/h2>\n

Technisch gesehen ist die E-Mail vollkommen in Ordnung, sodass die einzige M\u00f6glichkeit, eine solche F\u00e4lschung zu erkennen, darin besteht, den E-Mail-Inhalt kritisch zu beurteilen. Indem man viele solcher BEC-Nachrichten durch Algorithmen laufen l\u00e4sst, die mit k\u00fcnstlicher Intelligenz arbeiten, ist es m\u00f6glich, solche Merkmale zu identifizieren, die helfen, festzustellen, ob eine Nachricht echt oder Teil eines BEC-Angriffs ist.<\/p>\n

Gl\u00fccklicherweise (oder auch nicht) haben wir keinen Mangel an Stichproben. Unsere E-Mail-Fallen nehmen t\u00e4glich Millionen von Spam-Nachrichten auf der ganzen Welt auf. Dazu geh\u00f6rt auch eine betr\u00e4chtliche Anzahl an Phishing-E-Mails, die nat\u00fcrlich keine internen BEC-Angriffe sind, aber die gleiche Tricks anwenden und dieselben Ziele verfolgen, sodass wir sie zum Lernen einspeisen.<\/p>\n

Zu Beginn trainieren wir einen Klassifikator an dieser gro\u00dfen Menge von Stichproben, um betr\u00fcgerische Nachrichten zu identifizieren. Die n\u00e4chste Stufe des maschinellen Lernprozesses arbeitet direkt mit dem Text. Die Algorithmen suchen Begriffe zur Erkennung verd\u00e4chtiger Nachrichten heraus, auf deren Grundlage wir Heuristiken (Regeln) entwickeln, mit denen unsere Produkte Angriffe identifizieren k\u00f6nnen. Ein ganzes Ensemble von maschinell lernenden Klassifikatoren ist an diesem Prozess beteiligt.<\/p>\n

Aber das ist kein Grund, um sich zur\u00fcckzulehnen und zu entspannen. Unsere Produkte k\u00f6nnen jetzt weit mehr BEC-Angriffe erkennen als fr\u00fcher, aber nachdem ein Eindringling Zugang zum E-Mail-Konto eines Mitarbeiters erhalten hat, kann er dessen Schreibstil erlernen und versuchen, ihn bei einem einmaligen Angriff nachzuahmen. Wachsamkeit ist also nach wie vor entscheidend.<\/p>\n

Wir empfehlen Ihnen, sich lange und gr\u00fcndlich mit E-Mail Nachrichten zu befassen, in denen um eine \u00dcberweisung oder die Offenlegung vertraulicher Daten gebeten wird. F\u00fcgen Sie eine zus\u00e4tzliche Authentifizierungsebene hinzu, indem Sie den betreffenden Kollegen anrufen oder ihm (in einem vertrauensw\u00fcrdigen Dienst) eine Nachricht zukommen lassen oder pers\u00f6nlich mit ihm sprechen, um die Einzelheiten zu kl\u00e4ren.<\/p>\n

Wir verwenden die neu-generierten Heuristiken unserer neuen Anti-BEC-Technologie bereits in Kaspersky Security for Microsoft Office 365<\/a>. Bald werden sie auch in anderen L\u00f6sungen implementiert werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

BEC-Angriffe, die kompromittierte E-Mails verwenden, sind besonders gef\u00e4hrlich. Wir erkl\u00e4ren, wie wir gelernt haben, sie zu identifizieren. <\/p>\n","protected":false},"author":2598,"featured_media":24134,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3396],"class_list":{"0":"post-24133","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-bec"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fighting-internal-bec\/24133\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fighting-internal-bec\/21361\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fighting-internal-bec\/16823\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fighting-internal-bec\/22427\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fighting-internal-bec\/20566\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fighting-internal-bec\/18979\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fighting-internal-bec\/22804\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fighting-internal-bec\/21831\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fighting-internal-bec\/28476\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fighting-internal-bec\/8380\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fighting-internal-bec\/35691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fighting-internal-bec\/14965\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fighting-internal-bec\/15515\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fighting-internal-bec\/13501\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/fighting-internal-bec\/25462\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fighting-internal-bec\/22363\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fighting-internal-bec\/27640\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fighting-internal-bec\/27472\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bec\/","name":"BEC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24133"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24133\/revisions"}],"predecessor-version":[{"id":24137,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24133\/revisions\/24137"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24134"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}