Anzeige

Trojanisches Pferd

Das Thema Ransomware ist in aller Munde. Allerdings ist es E-Mail-Betrug, der aufseiten von Unternehmen die höchsten Kosten verursacht und der zugleich die größte Unbekannte darstellt.

Während beim Business Email Compromise (BEC, auch Chefmasche genannt) die Identität eines bekannten und vertrauenswürdigen E-Mail-Absenders vorgetäuscht wird, übernimmt beim Email Account Compromise (EAC) der Cyberkriminelle einen echten Account und agiert folglich aus dem Inneren eines Unternehmens heraus. Das besonders perfide an EAC-Attacken ist, dass sie auch vorhandene E-Mail-Authentifizierungskontrollen – wie DKIM oder SPF – ohne Probleme passieren, da sie tatsächlich von einem legitimen Konto stammen.

Beiden Angriffsarten ist aber gemein, dass es sich um sehr zielgerichtete Kampagnen handelt, die darauf angelegt sind, Geld, Daten oder vertrauliche Informationen zu stehlen. Diese Betrugsformen setzen auf Social Engineering und somit darauf, menschliches Verhalten auszunutzen und Mitarbeiter für ihre Zwecke einzuspannen. Hinzu kommt, dass sie für die IT-Security nur ungemein schwierig zu erkennen sind. Wenn ein Angreifer eine gut gestaltete E-Mail sendet, die keine bösartigen URLs oder Anhänge enthält, kann sie leicht durch die Abwehrmechanismen hindurch in den Posteingang eines Mitarbeiters gelangen. Dieser wird sie in den meisten Fällen für eine legitime Nachricht von einem Absender halten, den er kennt und dem er vertraut.

 

Lesen Sie hier das Interview mit Michael Heuer von Proofpoint

 

Noch schwieriger zu erkennen sind sie aber immer dann, wenn sich Cyberkriminelle die teils komplexen Lieferketten eines Unternehmens zunutze machen – was zunehmend der Fall ist. Immer häufiger zielen Angreifer im ersten Schritt auf die Lieferanten ihres eigentlichen Opfers ab – vom Anbieter für Bürobedarf über den Caterer bis hin zu Reinigungsdiensten. Wenn es ihnen gelingt, diese oft weniger gut geschützten Firmen zu kompromittieren und dort vielleicht nur eine legitime Identität zu übernehmen, besteht eine große Chance, dass ihnen Mitarbeiter im eigentlichen Ziel-Unternehmen auf den Leim gehen.

 

Attacken bleiben unentdeckt

Da Attacken innerhalb der Lieferkette oft für lange Zeit unentdeckt bleiben, bieten sie Kriminellen so die Chance, über einen längeren Zeitraum Daten mitzulesen, sich in Ruhe in den Systemen einzunisten und die Möglichkeiten zur Monetarisierung des Angriffs vollständig auszuschöpfen. Nehmen wir Solarwinds als Beispiel: Die eigentliche Kompromittierung erfolgte bereits im Frühjahr 2020 – doch bis zur Erkennung, neun Monate später, waren durch diesen einen erfolgreichen Initialangriff mehr als 18.000 Netzwerke von Unternehmen und Regierungsbehörden in Mitleidenschaft gezogen worden.

Daten von Proofpoint sprechen dagegen, dass es sich dabei um einen Einzelfall gehandelt hat. Ganz im Gegenteil: Eine im Februar 2021 durchgeführte Analyse unter 3000 Unternehmen kam zu dem Ergebnis, dass in einem nur sieben Tage umfassenden Zeitfenster ganze 98 Prozent aller Unternehmen der Stichprobe mit Cyberbedrohungen konfrontiert waren, die von der Domain eines ihrer Lieferanten stammten.

 

Blindes Vertrauen in E-Mails von Lieferanten ist äußert riskant. Quelle: Proofpoint

 

 

Phishing nach Anmeldedaten

Kompromittierte Konten sind für Cyberkriminelle besonders wertvoll. Sie nutzen deshalb die Beziehungen in der Lieferkette verstärkt mit dem Ziel, Anmeldedaten abzugreifen und noch mehr Konten zu übernehmen. In besagter Studie waren ferner 74 Prozent aller Angriffe der Kategorie Phishing/Impostor zuzuordnen. Dieses Ergebnis unterstreicht einmal mehr, dass sich Angriffe primär gegen das menschliche Verhalten richten und technische Schwachstellen eine zunehmend geringere Rolle spielen.

Darüber hinaus lässt sich feststellen, dass sich die Angreifer analog zu den Unternehmen ebenfalls der Cloud bedienen. Der Rückgriff auf Kollaborationsplattformen wie Microsoft 365, Google G-Suite und Dropbox zum Hosten oder dem Versand von Malware steigt an, und zwar in einem alarmierenden Tempo.

 

Hier geht es zum aktuellen "State of the Phish" Bericht

 

Vorsicht vor Rechnungsbetrug

Neben dem vorliegenden Vertrauensverhältnis in der Lieferkette, das Cyberkriminelle für ihre Zwecke auszunutzen versuchen, ist die Beziehung Lieferant-Kunde für kriminelle Akteure auch deshalb attraktiv, weil regelmäßig Geld fließt. Entweder wird durch die Cyberkriminellen daher versucht, eine betrügerische Rechnung als legitim darzustellen oder aber die Zahlung einer legitimen Rechnung wird auf ein vom Angreifer kontrolliertes Bankkonto umgeleitet. Wenn man bedenkt, wie viel Geld mit Lieferantenrechnungen in Verbindung steht, kann diese Art von Betrug dem betroffenen Unternehmen schnell Beträge im sechs- oder gar siebenstelligen Bereich kosten.

Sobald es Angreifern gelungen ist ein Konto zu kompromittieren, wird häufig so lange abgewartet und mitgelesen, bis eine laufende E-Mail-Konversation identifiziert wurde, die sich um eine legitime Transaktion dreht. An diesem Punkt „kapert“ der Angreifer die Unterhaltung und greift in die laufende E-Mail-Kommunikation ein. Da die Nachricht des Angreifers Teil einer bestehenden Kommunikation ist, wirkt sie für das Opfer sehr glaubwürdig. So erscheinen Aufforderungen zur Änderung von Bankverbindungen, z. B. unter dem Vorwand laufender Audits oder bedingt durch COVID-19 deutlich plausibler und werden weniger häufig in Frage gestellt. Diese Glaubwürdigkeit und das Vertrauen sind Schlüsselelemente des Social Engineerings, dessen sich Cyberkriminelle bedienen. Thread-Hijacking-Angriffe (also das Einhacken in eine laufende E-Mail-Korrespondenz) sind für den einzelnen Mitarbeiter naturgemäß sehr schwer, wenn nicht gar unmöglich zu erkennen, sodass hier technologische Gegenmaßnahmen besonders geboten und nützlich sind.

 

Die Umfrageergebnisse können Sie im "The Voice of the CISO"-Report nachlesen

 

Cyberattacken in der Lieferkette identifizieren und stoppen

Wie können IT-Sicherheitsverantwortliche vorgehen, um sich gegen Supply Chain Fraud zu schützen?

Die Angriffe selbst sind äußerst komplex und versuchen im ersten Schritt immer, menschliches Verhalten auszunutzen. Und das nicht nur im eigenen Unternehmen, sondern ebenfalls bei Zulieferern. Deshalb muss auch die Verteidigung beim Menschen ansetzen und über die eigenen Unternehmensgrenzen hinaus gehen.

Aus technologischer Sicht empfiehlt sich eine Lösung, die in der Lage ist, die Lieferanten eines Unternehmens und deren E-Mail-Versand-Domains automatisch zu identifizieren. Die Analyse der E-Mail-Kommunikation zwischen dem Zulieferer und dem Unternehmen wird dabei im Kontext umfangreicher Bedrohungsdaten bewertet. Dabei wird das Risiko anhand verschiedener Dimensionen bewertet, beispielsweise auf Basis der erkannten Bedrohungen, die von dieser Domain an das Unternehmen gesendet wurden; Bedrohungen von dieser Domain, die an anderen analysierten Secure Email Gateways auffielen; Überprüfung von Lookalike-Domains des Lieferanten; neu registrierte Domains; Vorhandensein einer DMARC-Richtlinie. 

Durch das Ranking der Risikostufe der Lieferanten-Domains können umgehend die wichtigsten Schritte und Gegenmaßnahmen definiert werden. Auf diese Weise kann das Sicherheitsteam seinen Fokus auf die Lieferanten konzentrieren, die das höchste Risiko für das Unternehmen darstellen.

Neben der Technologie gilt es zudem alle Mitarbeiter, die in der Lieferkette tätig sind, entsprechend zu schulen und sie für diese neuartigen und sich ständig verändernden Angriffsmuster zu sensibilisieren. Auch müssen entsprechende Prozesse im Unternehmen verankert werden, die helfen können, das Risiko weiter zu senken. Hier können z. B. telefonische Validierungen als Teil des Prozesses definiert werden, wann immer eine Bankverbindung geändert wird.

Das Zusammenspiel aus Technologie, Prozess und den Menschen, macht den entscheidenden Unterschied zwischen einem Betrugsversuch unter Ausnutzung der Lieferkette – und einem erfolgreichen Angriff mit allen Konsequenzen.

 

Michael Heuer, Vice President DACH
Michael Heuer
Vice President DACH, Proofpoint GmbH

Artikel zu diesem Thema

 CISO
Jul 12, 2021

Was es heißt, ein CISO im Jahr 2021 zu sein

Die Situation, mit der IT-Verantwortliche im Jahr 2020 konfrontiert wurden, war bis dato…
Michael Heuer, Proofpoint
Jul 12, 2021

Es sind vor allem die eigenen Mitarbeiter, die den Security-Verantwortlichen schlaflose Nächte bescheren

it-daily.net im Gespräch mit Michael Heuer, Area VP - Central Europe (DACH) von…

Weitere Artikel

Cyber Security

Cyberangriffe nehmen zu: Was IT-Sicherheit mit Corona-Maßnahmen gemeinsam hat

Cyberangriffe sind während der Corona-Pandemie gestiegen. Angreifer nutzen unter anderem Sicherheitsschwachstellen im Home-Office aus, warnt der Spezialist für Unternehmensresilienz CARMAO GmbH.
Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.
Cybersecurity

So gestaltet sich mehrstufiger IT-Schutz

Arbeitet man in einem kleinen Unternehmen wird eine wichtige Sache oft vergessen: Computersicherheit. Da der Fokus mehr darauf liegt, Aufträge zu bekommen und zu erfüllen, rückt das Thema IT-Schutz eher in den Hintergrund.
Insider-Threats

Insider-Threats durch übermäßige Berechtigungen

Das Knacken des Codes, das Besiegen eines Endgegners oder das Entdecken eines verlorenen Schlüssels – all das sind Möglichkeiten, in Videospielen aufzusteigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.