Share
Beitragsbild zu Cyber Signals: Neue Taktik von Cyberkriminellen macht Business-E-Mails zur Zielscheibe

Cyber Signals: Neue Taktik von Cyberkriminellen macht Business-E-Mails zur Zielscheibe

Cyberkriminelle nehmen immer stärker geschäftliche E-Mails ins Visier. Die Zahl der Business-E-Mail-Compromise-Angriffe (BEC) steigt – auch weil Angreifende auf ausgeklügelte Cybercrime-as-a-Service-Dienste zurückgreifen können. Zwischen April 2022 und April 2023 entdeckte und untersuchte Microsoft insgesamt 35 Millionen Kompromittierungsversuche. Das zeigt die vierte Ausgabe von Cyber Signals.  

Cyberkriminelle versuchen im zunehmenden Maße geschäftliche E-Mails zu kompromittieren. Das ist eines der zentralen Ergebnisse der vierten Ausgabe unseres Sicherheitsberichts Cyber Signals. Die Beobachtungen zeigen, dass die Zahl der Cybercrime-as-a-Service-(CaaS)-Angriffe, die auf geschäftliche E-Mails abzielten, zwischen 2019 und 2022 um 38 Prozent gestiegen ist.

Die Attacken auf geschäftliche E-Mailkonten können Organisationen hunderte Millionen Dollar im Jahr kosten. Allein 2022 nutzte das Recovery Asset Team (RAT) des FBI die Möglichkeit der Financial Fraud Kill Chain (FFKC) bei 2.838 BEC-Beschwerden, die inländische Transaktionen mit einem potenziellen Verlust von mehr als 590 Millionen US-Dollar betrafen. Die FFKC hilft dabei, schnell verdächtige Transaktionen zu identifizieren und zu stoppen. 

Die BEC-Angriffe stechen im Bereich Cyberkriminalität besonders hervor, weil sie auf Social Engineering und die Kunst der Täuschung setzen. Zwischen April 2022 und April 2023 entdeckte und untersuchte die Microsoft Threat Intelligence insgesamt 35 Millionen BEC-Versuche – im Durchschnitt 156.000 Versuche pro Tag. 

Bedrohungsakteure können auf sehr unterschiedliche Weise versuchen, geschäftliche E-Mails zu kompromittieren – und dabei unter anderem Telefonanrufe, Text-Nachrichten, E-Mails oder Social-Media-Aktivitäten nutzen. Auch Authentifizierungsanfragen zu fälschen und sich als andere Personen oder Unternehmen auszugeben, gehört zu den üblichen Taktiken. 

Manipulation als verbreitete Angriffsmethode

Anstatt Schwachstellen in ungepatchten Geräten auszunutzen, nehmen BEC-Angreifende, den täglichen E-Mail-Verkehr und andere Nachrichten in den Blick. Sie versuchen ihre Opfer zum Bereitstellen finanzieller Informationen oder zu Handlungen zu verleiten, so dass sie beispielsweise unwissentlich Gelder auf Konten von Geldkurieren überweisen und Kriminellen damit helfen, betrügerische Transfers durchzuführen.  

Im Gegensatz zu den „lauten“ Ransomware-Attacken, die mit erpresserischen Nachrichten einhergehen, spielen Angreifende, die Business-Mailadressen im Visier haben, mit dem Vertrauen der Opfer, indem sie vorgetäuschte Fristen und Dringlichkeit nutzen, um die Empfänger, die möglicherweise abgelenkt oder an diese Art von dringenden Anfragen gewöhnt sind, zu einer schnellen Antwort zu bewegen. Anstatt neuartige Malware zu nutzen, haben BEC-Angreifende ihre Taktik auf Tools ausgerichtet, die das Ausmaß, die Plausibilität und die Erfolgsquote von bösartigen Nachrichten im Posteingang erhöhen.  

Microsoft beobachtet einen signifikanten Trend bei Angreifenden, die Plattformen wie BulletProftLink nutzen. Dabei handelt es sich um einen beliebten Dienst zur Erstellung bösartiger E-Mail-Kampagnen im großen Stil, der einen End-to-End-Service inklusive Vorlagen, Hosting und automatisierten Diensten für BEC-Angriffe anbietet. Angreifenden, die diesen CaaS nutzen, werden auch IP-Adressen zur Verfügung gestellt, um ihnen beim Targeting ihrer BEC-Angriffe zu helfen. 

BulletProftLinks dezentrales Gateway-Design, das die öffentlichen Internet-Computer-Blockchain-Knoten einbezieht, um Phishing- und BEC-Seiten zu hosten, schafft ein noch ausgeklügelteres und schwieriger zu zerstörendes dezentrales Webangebot. Durch die Verteilung der Infrastruktur dieser Websites über die Komplexität und das zunehmende Wachstum der öffentlichen Blockchains wird die Identifizierung dieser Websites und die Anpassung von Maßnahmen zu ihrer Bekämpfung komplexer. 

Es gab bereits mehrere öffentlichkeitswirksame Angriffe, bei denen Angreifende die IP-Adressen von Privatpersonen missbraucht haben. Daher teilt Microsoft die Sorge der Strafverfolgungsbehörden und anderer Organisationen, dass die Entwicklung noch deutlich an Fahrt aufnehmen könnte, was es wiederum schwerer macht, entsprechende Aktivitäten mit den herkömmlichen Alerts oder Benachrichtigungen zu erkennen.  

Obwohl Bedrohungsakteure spezielle Tools entwickelt haben, um BEC-Angriffe leichter durchführen zu können – dazu gehören Phishing-Kits und Listen mit verifizierten E-Mail-Adressen, die auf Geschäftsführer, Finanzverantwortliche und andere spezifische Rollen abzielen –, gibt es doch Methoden, die Unternehmen einsetzen können, um Angriffen zuvorzukommen und Risiken zu verringern. 

Die BEC-Angriffe sind ein gutes Beispiel dafür, warum Cyberrisiken abteilungsübergreifend angegangen werden müssen, d. h. mit IT-, Compliance- und Cyberrisiko-Beauftragten an der Seite von Geschäftsführenden und Führungskräften, Finanzmitarbeitenden, Personalleitenden und anderen Personen, die Zugang zu Daten von Mitarbeitenden haben, wie Sozialversicherungsnummern, Steuererklärungen, Kontaktdaten und Dienstplänen.  

Empfehlungen für Maßnahmen gegen BEC-Angriffe
  • Sichere E-Mail-Lösungen nutzen: Die heutigen Cloud-Plattformen für E-Mails nutzen KI-Funktionen wie maschinelles Lernen, um den Schutz zu verbessern und bieten erweiterten Phishing-Schutz sowie eine Erkennung verdächtiger Weiterleitungen. Cloud-Apps für E-Mails und Produktivität bieten zudem die Vorteile kontinuierlicher, automatischer Software-Updates sowie ein zentrales Management der Sicherheitsrichtlinien.  
  • Sichere Identitäten: Der Schutz von Identitäten ist eine der wichtigsten Säulen im Kampf gegen BEC-Angriffe. Unternehmen sollten daher den Zugriff auf Anwendungen und Daten mithilfe von Zero Trust und automatisierter Identitätsverwaltung kontrollieren.  
  • Sichere Zahlungsplattformen: Unternehmen sollten prüfen, ob sie vom Versand der Rechnungen per E-Mail zu einem System wechseln können, das speziell für die Authentifizierung von Zahlungen entwickelt worden ist. 
  • Training der Beschäftigten: Unternehmen sollten ihre Mitarbeitenden fortlaufend darin schulen, betrügerische und bösartige E-Mails zu erkennen, z.B. wenn Domäne und E-Mail-Adressen nicht übereinstimmen. Beschäftigte sollten auf die Risiken und Kosten hingewiesen werden, die mit erfolgreichen BEC-Angriffen einhergehen. 

Den original Beitrag zum Nachlesen gibt es auf dem Security Blog.

Ein Beitrag von Kim Pohlmann