E-Mail-Sicherheit: Social Engineering auf C-Level-Niveau – Menschen als das schwächste Glied in der Sicherheitskette

h_11-12-2016_shutterstock_123255361

Angriffe mit betrügerischen Geschäfts-E-Mails (Business E-Mail Compromise, BEC) nehmen zu, bedrohen Firmendaten und verursachen erhebliche finanzielle Verluste. 

Cyberkriminelle suchen ständig nach neuen innovativen Möglichkeiten, um Unternehmen anzugreifen und Firmendaten und -gelder zu stehlen. Eine der neuesten Angriffstechniken sind Angriffe mit betrügerischen Geschäfts-E-Mails von Hochstaplern (Business E-Mail Compromise, BEC), die Mitarbeiter durch Social Engineering dazu bewegen sollen, bewusst Geld oder sensible Daten aus dem Unternehmen zu versenden. Nach Angaben des FBI sind seit 2013 bereits Verluste in Höhe von 3,1 Milliarden Dollar entstanden, wobei unsere Recherchen vermuten lassen, dass die Angriffe so weiter gehen und nicht nachlassen werden.

BEC kann jeden treffen. Der Betrug durch solche E-Mails beginnt häufig mit einer dringenden E-Mail von einem gefälschten Konto einer C-Level-Führungskraft, in der im Rahmen einer Verpflichtung zur Geheimhaltung verlangt wird, dass unverzüglich Gelder auf ein bestimmtes Konto überwiesen oder vertrauliche Informationen übermittelt werden sollen. Für gewöhnlich wirken diese E-Mails legitim; daher geht der Empfänger häufig darauf ein und der Angreifer erhält Geld oder vertrauliche Informationen. BEC-Betrugsversuche nehmen Firmen aller Größen und Branchen ins Visier. Niemand ist dagegen gefeit.

Im Unterschied zu den meisten Angriffen, bei denen Organisationen per E-Mail angegriffen werden, enthalten Hochstapler-E-Mails im Allgemeinen keine Anhänge oder Links zu infizierten Systemen. Sie werden in extrem geringer Anzahl versandt (ein oder zwei pro Organisation), sodass sie umso schwerer zu erkennen sind. Unsere Untersuchungen haben ergeben, dass knapp 50 Prozent der Hochstapler-E-Mails an den CFO eines Unternehmens gerichtet sind und 25 Prozent in der Mailbox von Personalleitern landen. Bei 30 Prozent der Hochstapler-E-Mails werden im Betreff Steuerfragen angegeben, in 21 Prozent wird dringender Handlungsbedarf genannt und in 20 Prozent wird eine Geldüberweisung verlangt.

Hier einige Beispiele für jüngste BEC-Angriffe:

  • Eine Hongkonger Niederlassung von Ubiquiti Networks Inc. zahlte über 45 Millionen Dollar an Hacker, die in betrügerischen E-Mails vorgaben, ein Lieferant zu sein.
  • Die belgische Bank Crelan verlor etwa 70 Millionen Euro durch betrügerische E-Mails.
  • Unter dem Siegel der strengsten Verschwiegenheit wurde eine Mitarbeiterin des österreichischen Luftfahrtzulieferers FACC während der Weihnachtstage angewiesen, 50 Millionen zu überweisen. Die Mail stammte allerdings nicht vom Vorstandsvorsitzenden, sondern von Internet-Betrügern
  • Internet-Betrüger haben dem Nürnberger Automobilzulieferer Leonie rund 40 Millionen Euro gestohlen. Die Täter hätten dabei »gefälschte Dokumente und Identitäten« sowie »elektronische Kommunikationswege« genutzt.

Fünf Warnsignale für einen BEC-Angriff. Da BEC-Angriffe keine bösartigen Links oder Anhänge enthalten, werden sie von Lösungen, die dafür konzipiert sind, Malware zu sperren, nicht aufgehalten. Aufgrund der Hektik im Arbeitsalltag hinterfragen viele Mitarbeiter nur selten die Echtheit von E-Mails; sie sollten jedoch auf folgende Warnsignale achten:

  • Hochrangige Führungskräfte erbitten ungewöhnliche Informationen oder veranlassen Überweisungen: Wie viele CEOs sind für Finanztransaktionen verantwortlich? Die meisten Mitarbeiter werden natürlich schnell auf eine E-Mail aus der C-Ebene reagieren, es lohnt jedoch, kurz innezuhalten und zu überlegen, ob die E-Mail-Aufforderung Sinn macht.
  • Es wird gebeten, nicht mit anderen darüber zu sprechen: Hochstapler-E-Mails verlangen häufig, dass die Anforderung vertraulich bleibt oder dass mit dem Absender nur per E-Mail kommuniziert werden soll. Doch legitime E-Mails mit einer derart sensiblen Aufforderung bestehen für gewöhnlich nicht aus einer reinen Kommunikation per E-Mail.
  • Aufforderungen, die die üblichen Kanäle umgehen: Die meisten Organisationen verfügen über Buchhaltungssysteme, in denen Rechnungen und Zahlungen verarbeitet werden müssen, ganz gleich, wie dringend die Aufforderung ist. Wenn eine leitende Führungskraft diese Kanäle mit einer E-Mail umgeht, in der etwa eine dringende Überweisung verlangt wird, sollte man misstrauisch sein.
  • Sprachliche Fehler und ungewöhnliche Datumsformate: Manche betrügerische E-Mails haben eine fehlerfreie Grammatik. Andererseits schreiben manche CEOs E-Mails mit schlechter Rechtschreibung oder Grammatik. Werden jedoch nicht ortsübliche Datumsformate (zum Beispiel Monat-Tag-Jahr in einer deutschen E-Mail) oder ein Satzbau, eine Grammatik oder eine Rechtschreibung verwendet, die darauf schließen lassen, dass die E-Mail von jemandem geschrieben wurde, der kein Muttersprachler ist, sollte dies als Alarmsignal betrachtet werden.
  • »Reply to«-E-Mail-Adressen stimmen nicht mit der Adresse des Absenders überein: Hochstapler-E-Mails erwecken häufig den Eindruck, von jemandem zu stammen, den der Empfänger kennt, kommen in Wirklichkeit aber von einem unbekannten Cyberkriminellen. Sie können auch doppelgängerische Domänen verwenden, um die Empfänger auf den ersten Blick zu täuschen.

Sieben Möglichkeiten um BEC-Angriffe zu stoppen. Es gibt eine Reihe von Möglichkeiten, wie Unternehmen BEC-Angriffe stoppen können. Aus technischer Sicht kann eine mehrschichtige Herangehensweise helfen, die Wahrscheinlichkeit drastisch zu reduzieren, dass diese Art von E-Mails erfolgreich ausgeliefert wird. Alle E-Mail-Inhalte und Metadaten müssen mit Authentisierung (DMARC, DKIM usw.), geeigneten Richtlinien und dynamischer Analyse integriert werden. Wir empfehlen Organisationen, diese Tipps zu befolgen:

  • Misstrauisch sein: Um Klärung zu bitten, die E-Mail an die IT weiterzuleiten oder einen Kollegen zu fragen ist besser, als Hunderttausende von Dollar an ein fingiertes Unternehmen in China zu überweisen.
  • Wenn Sie das Gefühl haben, dass etwas nicht stimmt, haben Sie vermutlich Recht: Ermuntern Sie die Mitarbeiter, ihren Instinkten zu vertrauen. Fragen Sie sich »Würde mich mein CEO wirklich bitten, das zu tun?« oder »Warum reicht dieser Lieferant die Rechnung nicht über unser Portal ein?«.
  • Machen Sie langsam: Die Angreifer wählen für ihre Kampagnen aus gutem Grund häufig die hektischste Zeit des Tages. Wenn ein Buchhalter mehrere Überweisungsaufforderungen schnell bearbeitet, ist es weniger wahrscheinlich, dass er eine Pause einlegt und überlegt, ob eine bestimmte Aufforderung verdächtig ist.
  • Prüfen Sie das »Reply to«-Feld: Es ist zwar jeder E-Mail-Client anders, und bei vielen ist es schwierig, das sogenannte »Reply to«-Feld zu sehen, doch klicken Sie auf »Antworten« und prüfen Sie die Antwortadresse. Ist es eine legitime interne Adresse, eine Adresse außerhalb des Unternehmens, oder sieht sie ungewöhnlich aus?
  • Prüfen Sie die Domäne: Angreifer verwenden zunehmend »Typosquatting«, sogenannte »Tippfehlerdomänen« – und Doppelgänger-Domänen, um Menschen zu täuschen, die sich gut genug auskennen, um das »Reply to«-Feld zu prüfen. Alles, was sensibel ist (wie Aufforderungen aus der Führungsetage oder Geldüberweisungen), lohnt einen zweiten Blick, um sicherzustellen, dass die Domäne korrekt ist.
  • Achten Sie auf die Nutzung von persönlichen Konten: Angreifer können gelegentlich auch ein scheinbar privates E-Mail-Konto verwenden, damit das Antwortfeld weniger verdächtig erscheint. Zum Beispiel dürften bei [Name des CEO]_persönlich@gmail.com Spamregeln oft nicht ansprechen, und die Adresse könnte legitim wirken. Die Verwendung von persönlichen Konten sollte nicht nur einen Richtlinienverstoß darstellen, sondern für die Empfänger auch ein Warnzeichen sein.
  • Einen Ablauf einhalten: Richten Sie geeignete Verfahrenskontrollen für die Arten von Transaktionen ein, auf welche die Angreifer es mittels BEC-Phishing abgesehen haben. Führen Sie Finanz- und Beschaffungskontrollen zur Authentifizierung von legitimen Aufforderungen ein. Dies kann zum Beispiel eine zweite persönliche oder telefonische Genehmigung durch einen anderen in der Organisation sein.

Diese Tipps zur Identifizierung von BEC-Angriffen dürften zwar das Risiko mindern, doch besteht immer die Möglichkeit, dass eine E-Mail geöffnet und ihr Folge geleistet wird, besonders wenn sie keine bösartigen Links oder Anhänge enthält und daher nicht von Lösungen aufgehalten wird, die nur für die Erkennung von Malware konzipiert sind. Deshalb empfehlen wir Unternehmen, ihre Mitarbeiter fortlaufend im Hinblick auf BEC-E-Mails zu schulen und fortschrittliche Bedrohungstechnologien von beispielsweise Proofpoint einzusetzen, die umfassende Funktionen für Vorbeugung, Aufdeckung und Reaktion im Falle von BEC-Angriffen anbieten, die über den reinen Malware-Schutz hinausgehen. Organisationen müssen fähig sein, Muster betrügerischer E-Mails zu erkennen und BEC-Angreifer daran zu hindern, Geld und vertrauliche Informationen zu stehlen.


autorin_monika_schauflerMonika Schaufler,
Regional Sales Director DACH,
Proofpoint
www.proofpoint.com/de 

 

 

Illustration: © Lightspring/shutterstock.com 

Neue Sicherheitsvorkehrungen zum Schutz vor gefälschten E-Mails

Whaling – Das Netz für die großen »Phishe«

Die fünf häufigsten Phishing-Köder und was man dagegen tun kann

E-Mail: Mit DANE mehr Sicherheit im Mailverkehr

Drei Sekunden für mehr E-Mail-Sicherheit

Herausforderung E-Mail-Archivierung – Rechtssicherheit und Datenschutz

Safer Internet Day 2016: Rundum-Service zum Thema E-Mail-Sicherheit

Thesen zu Sicherheitsmaßnahmen bei der E-Mail-Kommunikation

Schutz vertraulicher Daten: Phishing bedroht Unternehmen und private Internetnutzer

Phishing-Angriffe stoppen: So erkennen Sie bösartige E-Mails

Selbst erfahrene Benutzer sind anfällig für Phishing

Und immer wieder Phishing

Weitere Artikel zu

Schreiben Sie einen Kommentar