Lösungen und Services

Business Email Compromise – die neuen Taktiken der Angreifer

Mobile Messaging-Apps und soziale Medien erfreuen sich seit Langem einer wachsenden Beliebtheit und sind im Laufe der letzten zehn Jahre zu unseren bevorzugten Plattformen für die private Kommunikation geworden. Im Gegensatz dazu ist in der Arbeitswelt bislang kein derartiger Trend zu beobachten, da die berufliche Kommunikation weiterhin schwerpunktmäßig per E-Mail erfolgt. Dies gilt unter anderem für die Zusammenarbeit im Team1 sowie die Interaktion mit Marken und Services, bei der E-Mails beispielsweise für die Zurücksetzung von Passwörtern oder die Zustellung von Statusmeldungen zu Paketlieferungen genutzt werden. Daher ist es nicht überraschend, dass kriminelle Angreifer ständig neue Methoden für diesen Angriffsvektor entwickeln.

Das Repertoire an E-Mail-basierten Angriffen ist äußerst vielfältig und wird im Minutentakt um neue Varianten erweitert. Es reicht von mit raffinierter Ransomware gespickten Nachrichten bis hin zum sorgfältig geplanten Einsatz gefälschter Identitäten für BEC (Business Email Compromise), CEO-Fraud und gezielte Phishing-Kampagnen.

Dabei finden die Cyberkriminellen immer wieder neue Tricks, um die Empfänger zum Öffnen schädlicher E-Mails zu bewegen und dadurch den Diebstahl von Geldmitteln oder Daten zu ermöglichen.

Laut unserem kürzlich veröffentlichen Email Threat Report war bei den Angriffen mit gefälschten Identitäten – wie CEO-Fraud oder Business Email Compromise (BEC) – im ersten Quartal 2019 ein stetiger Anstieg zu verzeichnen, der sich im weiteren Verlauf des Jahres wahrscheinlich fortsetzen wird. Viele Cyberkriminelle geben sich als Mitglieder der Unternehmensführung, leitende Manager oder Repräsentanten eines Zulieferers aus, um Mitarbeiter der betroffenen Unternehmen dazu zu bewegen, betrügerische Überweisungen vorzunehmen oder vertrauliche Informationen preiszugeben. Derartige Angriffe können Milliardensummen kosten und gravierende Imageschäden nach sich ziehen.

Abbildung 1: Bei Angriffen mit gefälschten Identitäten war im 1. Quartal 2019 ein steigender Trend zu beobachten.

Abbildung 1: Bei Angriffen mit gefälschten Identitäten war im 1. Quartal 2019 ein steigender Trend zu beobachten.

Der Bericht zeigte außerdem, dass die Zahl der Phishing-Angriffe im ersten Quartal 2019 um 17% höher lag als im vierten Quartal 2018.

Abbildung 2: Die am häufigsten bei Phishing-Angriffen missbrauchten Marken2, 1. Quartal 2019

Abbildung 2: Die am häufigsten bei Phishing-Angriffen missbrauchten Marken2, 1. Quartal 2019

Auffällig ist hier die zunehmende Konzentration der Angreiferaktivitäten auf Microsoft Office 365 und OneDrive (eine Komponente der Officesuite von Microsoft). Dieses Vorgehen dient in vielen Fällen der Erbeutung der Zugangsdaten für berufliche genutzte Konten, die dann als Einfallstor verwendet werden.

Haben sich die Angreifer einmal Zugriff auf das Nutzerkonto eines Mitarbeiters verschafft, können sie von dort aus Nachrichten versenden, die wegen der echten E-Mail-Adresse vertrauenswürdig und legitim erscheinen. Das bietet ihnen die Möglichkeit zur: 

  • Verbreitung von Malware im Unternehmen
  • Durchführung von Spear-Phishing-Angriffen auf andere Nutzer mit erweiterten Zugriffsrechten
  • Vorbereitung weiterer betrügerischer Aktivitäten wie CEO-Fraud oder Business Email Compromise
  • Ausweitung der kriminellen Aktivitäten auf Kunden und Partnerunternehmen
  • Ausspähung der Unternehmensinfrastruktur
  • Infiltration weiterer Bereiche der IT-Umgebung über VPN und andere Cloudservices

All dies beginnt oft mit einer vermeintlich harmlosen Aufforderung zur Bestätigung von Anmeldedaten, der ahnungslose Nutzer Folge leisten, weil sie die entsprechende Phishing-E-Mail für eine legitime Nachricht des Supportteams eines von ihrem Unternehmen genehmigten Onlinedienstes halten. Dabei fälschen die Angreifer neben der E-Mail-Adresse des Absenders auch Branding und Design, um ihre Opfer dazu zu verleiten, vertrauliche Informationen wie Passwörter für Office 365, Dropbox, Slack und andere SaaS-Anwendungen preiszugeben. Ist diese erste Hürde genommen, können sich Hacker leicht Zugang zum Netzwerk erlangen und sich weiter in der Unternehmensinfrastruktur ausbreiten.

Die folgende Abbildung zeigt eine zu diesem Zweck erstellte Phishing-E-Mail:

Abbildung 3: Beispiel für eine gefälschte E-Mail mit dem Branding von Microsoft Office 365

Abbildung 3: Beispiel für eine gefälschte E-Mail mit dem Branding von Microsoft Office 365

Abbildung 4: Von FireEye Email Security erstellter URL-Screenshot einer gefälschten Landing-Page für Microsoft Office 365

Abbildung 4: Von FireEye Email Security erstellter URL-Screenshot einer gefälschten Landing-Page für Microsoft Office 365

Neue Taktiken erfordern effektive Sicherheitslösungen

IT-Profis wissen genau, wie effektiv Phishing-Angriffe sind, und legen daher großen Wert auf leistungsstarke Lösungen für E-Mail-Sicherheit. Allerdings ist in diesem Zusammenhang zu beachten, dass die in Phishing-E-Mails eingebetteten schädlichen URLs möglicherweise unentdeckt bleiben, wenn die entsprechenden Websites erst nach der Ankunft der Nachricht aktiviert und zur Verbreitung von Malware genutzt werden. Beispielsweise könnten die Angreifer dafür sorgen, dass eine von ihnen betriebene Phishing-Website nur während der Geschäftszeiten zugänglich ist und die entsprechende URL den Rest des Tages über lediglich zu einer leeren HTML-Seite führt.

Hier erweist sich FireEye Email Security - Server Edition als äußerst hilfreich. Die Lösung setzt eine Kombination aus signaturbasierten Erkennungsmechanismen, modernen Analysefunktionen und maschinellem Lernen ein, um Phishing-Angriffe und schädliche E-Mails zu identifizieren. Dadurch werden IT-Administratoren unter anderem in die Lage versetzt, die über eingebettete URLs verlinkten Websites jederzeit und umgehend visuell zu inspizieren.

Das in FireEye Email Security enthaltene Tool PhishVision erfasst und speichert Screenshots der Anmeldeseiten und anderer Webseiten legitimer, aber häufig missbrauchter Marken und vergleicht sie mithilfe von Deep-Learning-Verfahren mit den in E-Mails enthaltenen URLs. Dies ermöglicht die erfolgreiche Aufdeckung von Phishing-Angriffen, bei denen gefälschte Markenlogos und -designs zur Täuschung der Empfänger eingesetzt werden.

Abbildung 5: Gefälschte Outlook-Anmeldeseite

Abbildung 5: Gefälschte Outlook-Anmeldeseite

Abbildung 6: Beispiel für eine OneDrive-Phishing-Website

Abbildung 6: Beispiel für eine OneDrive-Phishing-Website

Die URL-Screenshot-Funktion der FireEye-Lösung zeigt auf einen Blick, wie die für einen Phishing-Angriff verwendeten schädlichen Websites auf dem Bildschirm der Empfänger erscheinen. Damit können sich Analysten schnell ein Bild davon machen, wie überzeugend eine gefälschte Landing-Page ist bzw. wie wahrscheinlich Nutzer zur Eingabe ihrer Zugangsdaten verleitet werden. Außerdem eignen sich die erstellten Aufnahmen als Bildmaterial für Berichte oder Sicherheitsschulungen.

Vor allem aber unterstützen derartige Analysen IT-Teams bei der Eindämmung akuter Risiken. Zum einen können die gewonnen Erkenntnisse als Grundlage für gezielte Gegenmaßnahmen dienen, zum anderen lässt sich durch einen Abgleich mit Daten aus anderen Sicherheitslösungen schnell ermitteln, ob der Angriff erfolgreich war und welche Auswirkungen er auf das betroffene Unternehmen hat. Das verkürzt die zur Erkennung und Reaktion benötigte Zeit, sodass IT-Notfallteams eventuelle Schäden begrenzen und künftige Angriffe präventiv verhindern können.

Abbildung 7: Nach Kategorien geordnete Übersicht über die eingegangenen Warnmeldungen – mit Funktionen zur schnellen Analyse

Abbildung 7: Nach Kategorien geordnete Übersicht über die eingegangenen Warnmeldungen – mit Funktionen zur schnellen Analyse

Zusätzlich stellt FireEye eine nach Kategorien geordnete Übersicht über die eingegangenen Warnmeldungen bereit, in der Bedrohungen mit hoher Priorität genauer unter die Lupe genommen werden können. So lassen sich beispielsweise – wie in Abbildung 7 dargestellt – detaillierte Informationen zu nachträglich erkannten Angriffen (Retroactive Alerts) oder unbekannten Bedrohungen (Not Seen Before) abrufen.

Im Einzelnen erhalten IT-Administratoren neben genauen Angaben zum Verlauf und Schweregrad eines Angriffs sowie den Taktiken, Techniken und Prozessen der Angreifer auch forensische Analysen der Aktivitäten im Netzwerk und auf den Endpunkten.

Diese Informationen können dann in andere Sicherheitslösungen von FireEye eingespeist und als Grundlage für automatisierte Gegenmaßnahmen genutzt werden. Dadurch wird es unter anderem möglich, bereits eingegangene E-Mails umgehend zu isolieren, wenn die in ihnen verlinkten Phishing-Websites aktiviert werden. Im Durchschnitt dauert die Verifizierung einer eingegangenen Warnmeldung mit FireEye nur vier Minuten, während andere Lösungen hierfür mehr als zwei Stunden benötigen.3 Das erleichtert die beschleunigte Einleitung von Abwehrmaßnahmen, steigert die Effizienz der Sicherheitsprozesse und minimiert die durch Sicherheitsverletzungen verursachten Schäden.

Empfehlungen

Neue Methoden und Kniffe der Cyberkriminellen stellen eine große Bedrohung für moderne Unternehmen dar. Daher sind IT-Manager dringend dazu aufgerufen,  leistungsstarke Lösungen zur Verhinderung von E-Mail-basierten Angriffen zu implementieren. Im Folgenden haben wir eine Liste empfehlenswerter Maßnahmen für Sie zusammengestellt:

  • Implementieren Sie Verfahren zur Multi-Faktor-Authentifizierung. Durch die Hinzufügung ergänzender Kontrollmechanismen können Sie viele Hackereinbrüche verhindern, auch wenn die Angreifer bereits Zugangsdaten erbeutet haben.
  • Führen Sie regelmäßige Schulungen zur Sensibilisierung der Nutzer durch. Dabei können echte, von den Sicherheitssystemen abgefangene Phishing-E-Mails als Anschauungsmaterial dienen.
  • Implementieren Sie leistungsstarke Sicherheitslösungen wie FireEye Email Security Cloud Edition oder Server Edition. Sehen Sie sich die Online-Demo unserer sicheren E-Mail-Gateways an, um Genaueres über die zahlreichen Vorteile dieser Lösung zu erfahren.
  • Sorgen Sie für eine genaue Überwachung von sensiblen Systemen wie Active Directory oder Office 365, sodass unerwünschte Aktivitäten umgehend erkannt werden. Sehen Sie sich die Online-Demo unserer cloudbasierten Sicherheitsplattform FireEye Helix an, um sich näher über die Vorteile einer zentralisierten Monitoring-Infrastruktur zu informieren.

[1] Why Email Remains The Top Enterprise Collaboration Tool, David Roe – CMS Wire

[2] In generischen Phishing- und Spam-E-Mails wird keine Marke erwähnt.

[3] FireEye-Whitepaper – Der unangenehme Kompromiss in der Cybersicherheit: Die Kosten für die Bewältigung der Warnungsflut gegenüber den Kosten für das Risikomanagement