12,5 Millionen E-Mail-Archivdateien frei zugänglich im Netz

4. Januar 2021

Laut Digital Shadows steigt das Angebot für Business Email Compromises (BEC) as-a-Service, wobei Finanzabteilungen verstärkt in die Schusslinie geraten

Digital Shadows entlarvt in einem neuem Report „Pst! Cybercriminals on the Outlook for Your Emails“ die unterschiedlichen Methoden bei BEC (Business Email Compromise)-Angriffen. Neben Phising-Angriffen profitieren Cyberkriminellen demnach auch von der großen Menge an öffentlich zugänglichen E-Mail-Posteingängen und Archivdateien. 

Digital Shadows entdeckte eine Vielzahl an ungeschützten E-Mail-Postfächer von Unternehmen im Netz, darunter 12,5 Millionen E-Mail-Archivdateien (.eml, .msg, .pst, .ost, .mbox), die über falsch konfigurierte rsync-, FTP-, SMB-, S3-Buckets und NAS-Laufwerke öffentlich zugänglich sind. Durch die unsachgemäße Sicherung der Archive legen Mitarbeiter und Auftragnehmer unwissentlich sensible, persönliche und finanzielle Informationen offen. So fanden die Analysten beispielsweise 27.000 Rechnungen, 7.000 Auftragsbestellungen und 21.000 Zahlungsbelege. Cyberkriminelle nutzen diese Informationen, um über gefälschte E-Mails Kunden und Mitarbeiter dazu zu bewegen, Zahlungen zu tätigen. In anderen Fällen übernehmen die Hacker die Identität des Kontoinhabers und führen von dort ihre Betrugsmaschen aus. Laut FBI beläuft sich der weltweite Schaden von BEC-Angriffe allein in den letzten fünf Jahren auf über 12 Milliarden US-Dollar. 

Vor allem Finanzabteilungen in Unternehmen stehen in der Schusslinie: Insgesamt 33.568 E-Mail-Adressen von Finanzmitarbeitern, die über Datenleaks Dritter offengelegt wurden, zirkulieren auf kriminellen Foren und werden dort zum Verkauf angeboten. Bei 83% (27.992) dieser E-Mail-Adressen sind die entsprechenden Passwörtern miterhältlich. Digital Shadows stieß zudem auf Cyberkriminelle, die gezielt geleakte Firmen-E-Mails nach gängige Buchhaltungsdomänen wie „ap@“, „ar@“, „accounting@“, „accountreceivable@“, „accountpayable@“ und „invoice@“ suchten. Diese Zugangsdaten gelten als so wertvoll, dass eine einzige Kombination aus Benutzername und Passwort bis zu 5.000 US-Dollar kostet.

Darüber hinaus stellte Digital Shadows ein floriendes Geschäft mit BEC-as-a-Service fest. Die buchbaren Hackerangriffe sind ab 150 US-Dollar erhältlich und versprechen erste Ergebnisse innerhalb von einer Woche. Alternativ bieten einige Cyberkriminelle als Austausch für den Zugang zu firmeneignenen E-Mail-Accounts auch einen prozentualen Anteil am erbeuteten Umsatz. Digital Shadows gelang es, über den Messaging-Dienst Jabber Kontakt zu einem Cyberkriminellen herzustellen, der gezielt Unternehmen in der Bauindustrie angreift und dabei Vulnerabilities in der E-Mail ausnutzt. Dabei versprach der Anbieter bei einer Zusammenarbeit 20% der erbeuteten Gesamtsumme.

„Phishing ist zwar nach wie vor ein ernstes Problem, es ist aber nicht die einzige Methode, die sich Kriminelle bei BEC-Angriffen zu Nutze machen“, erklärt Rick Holland, Chief Information Security Officer bei Digital Shadows. „Millionen von sensiblen Unternehmens, einschließlich E-Mails und Passwörter, sind längst online zu finden. Damit wird es den Cyberkriminellen leicht gemacht, ganze E-Mail-Postfächer und Buchhaltungsdaten aufzuspüren und für ihre Betrugsmaschen zu nutzen. Das Geschäft mit solchen vertraulichen Daten lohnt sich so sehr, dass Cyberkriminelle noch stärker zusammenarbeiten und aktiv nach Partnern suchen, um gezielt Unternehmen ins Visier zu nehmen.“

Gänzlich verhindern lassen sich BEC-Angriffe wohl nicht. Trotzdem können Unternehmen interne Sicherheitprozesse verschärfen, um den Zugang auf ihre Daten auf ein Minimum zu beschränken. Digital Shadows empfiehlt dabei sieben Schritte zur Risikominimierung:

1. Regelmäßige Sicherheitsschulungen, um das Bewustsein von Mitarbeitern für BEC zu schärfen.

2. Aufnahme von BEC in Notfällpläne (Incident Response) und in die Geschäftskontinuitätsplanung. 

3. Zusammenarbeit mit Anbietern von elektronischen Überweisungssystemen, um manuelle Kontrollen sowie Mehrfachauthentifizierung beim Transfer großer Beträgen einzurichten. 

4. Monitoring nach geleakten Unternehmensdaten, insbesondere mit Bezug auf Finanzabteilugnen.

5. Kontinuierliche Überprüfung des digitalen Fußabrucks der Geschäftsführung (z. B. Google Alert), um hoch-personalisierte Angriffe frühzeitig abzufangen.

6. Zuverlässige Absicherung von E-Mail-Archiven.

7. Risiken durch Dritte (z. B. Auftragnehmer, Partner) berücksichtigen, insbesonders bei der Speicherung von E-Mails auf Network Attached Storage (NAS)-Geräten. Empfohlen wird das Hinzufügen eines Passworts, das Deaktivieren von anonymen oder Gast-Zugriffen sowie sichere NAS-Geräte. 

Den vollständigen Report „Pst! Cybercriminals on the Outlook for Your Emails“ finden Sie hier zum Download.