Die Angriffe werden immer ausgefeilter und erfolgen in immer kürzeren Abständen, ein Anstieg von Oktober bis Dezember 2016 um 45 Prozent im Vergleich zu den drei Monaten davor. Das ist das Ergebnis einer Studie zur Entwicklung sogenannter BEC-Angriffe (Business E-Mail Compromise, CEO-Fraud, CEO-Betrug) von Proofpoint. Basis der Untersuchung ist die umfangreiche Forschung zu Angriffsversuchen bei über 5.000 Unternehmenskunden.
CEO-Fraud kostet die Industrie Milliardenbeträge [1], aber nachdem heutzutage wirklich jeder zur Kommunikation E-Mails nutzt, geht hiervon auch ein besonders hohes Risiko aus. Bei einem BEC-Angriff täuscht der Angreifer die Identität eines Managers eines Unternehmens vor und sendet ganz gezielt eine E-Mail an Mitarbeiter des Unternehmens, beispielsweise mit der Anweisung ganz dringend Geld zu überweisen oder wichtige Firmeninformationen zu versenden. Es ist ein mehrstufiger Ansatz notwendig, um sich vor allen Formen von Angriffen via CEO-Betrug zu schützen.
»Drei von vier unserer Kunden sind allein in den letzten drei Monaten des Jahres 2016 via BEC angegriffen worden«, erläutert Ryan Kalember, Senior Vice President of Cybersecurity Strategy von Proofpoint. »Dabei muss der Angreifer nur bei einem Opfer erfolgreich sein, um großen Schaden anzurichten. Das zeigt, dass rein statische Regeln als Schutz vor Cyberkriminellen längst nicht ausreichen. Zudem ändern diese permanent den Text ihrer betrügerischen E-Mails. Um sich zu schützen, müssen die Unternehmen daher eine ganze Reihe von Maßnahmen ergreifen, um nicht geschädigt zu werden. Zu diesen Maßnahmen gehören unter anderem Systeme zur Entdeckung von Angriffen, Authentifizierung der Kommunikation und die Sicherung der Daten.«
Die umfangreichen Untersuchungen von Proofpoint zu BEC-Angriffsversuchen bei mehr als 5.000 Unternehmenskunden zwischen Juli und Dezember 2016 (Kunden aus den USA, Kanada, Großbritannien, Frankreich, und Australien) zeigen deutlich, dass sogenanntes Social Engineering (hier: Menschen so zu beeinflussen, dass diese etwas im Sinne der Cyberkriminellen unternehmen) weiter steigt.
Die wichtigsten Erkenntnisse der Studie:
- Angriffe auf Basis von CEO-Betrug haben im drei-Monatsvergleich Juli – September 2016 und Oktober – Dezember 2016 um 45 Prozent zugelegt. Zweidrittel aller Angreifer konnten dabei ihre Herkunft so verschleiern, dass es für den Empfänger so aussah, als ob die Mail aus dem eigenen Unternehmen stammt (Spoofing).
- Die Cyberkriminellen greifen Unternehmen unabhängig von deren Größe an. Allerdings scheinen größere Organisationen attraktiver für die Angreifer zu sein – aufgrund der höheren Finanzmittel und der Chance wegen der Komplexität des Unternehmens nicht so schnell entdeckt zu werden, und dass obwohl diese oft sehr strenge Regeln im Umgang mit Finanzmitteln haben. Kleinere Firmen haben in vielen Fällen keine sehr strikten Regelwerke im Umgang mit Finanzmitteln implementiert und sind daher leichter verwundbar.
- Die Marktsegmente Fertigung, Einzelhandel und der Technologiesektor werden häufiger angegriffen. Diese werden regelmäßig, Monat um Monat, attackiert. Die Online-Betrüger versuchen dabei die oftmals komplexeren Lieferketten und SaaS-Infrastrukturen dieser Industrien auszunutzen.
- Obwohl nach wie vor der CEO als Absender dieser Mails vorgetäuscht wird, werden mehr und mehr andere Entscheidungsträger der Organisation angeschrieben. Waren es früher Mails des vermeintlichen CEOs an den Finanzvorstand, so steigt mittlerweile die Zahl der Mails an andere Mitarbeitergruppen, beispielsweise an das Rechnungswesen für schnelle Überweisungen, an die Personalabteilung wegen sensibler Mitarbeiterdaten oder an die Forschungs- und Entwicklungs-Abteilung, um an geistiges Eigentum zu gelangen.
- Fast Dreiviertel aller BEC-Mails enthalten Begriffe wie »Dringend« (Urgent), »Auszahlung« (Payment) oder »Anfrage« (Request) im Betreff. Die sieben beliebtesten Worte im Betreff in diesen betrügerischen Mails sind: »Auszahlung« (30 Prozent), »Anfrage« (21), »dringend« (21), »Grüße« (12), »kein Betreff« (9), »FYI« (5) und »wo bist Du?« (2).
[1] FBI. »Business Email Compromise: The 3.1 Billion Dollar Scam.« June 2016.
Weitere Informationen zum Thema BEC-Abwehr finden Sie hier: www.proofpoint.com/bec
Weitere Informationen zu Proofpoint E-Mail Fraud Defense finden Sie hier: https://www.proofpoint.com/us/products/E-Mail-fraud-defense
Um dieser schnellwachsenden Bedrohung zu begegnen, hat Proofpoint jetzt den umfassenden Schutz vor BEC mit E-Mail Fraud Defense und das Web Discover Modul von Digital Risk Defense noch einmal erweitert. Mit E-Mail Fraud Defense können Proofpoint-Kunden ihre E-Mails authentifizieren, die zweite Lösung unterstützt die Kunden dabei, gleichlautende, unseriöse Domains, die von dritter Seite registriert wurden, zu identifizieren. Diese Gleichheit im Domainnamen nutzen viele Angreifer, um die potenziellen Opfer zu täuschen.
Proofpoints E-Mail Fraud Defense-Lösung schützt Organisationen von Spoofing scheinbar sicherer Domains durch E-Mail Authentifizierung. Dazu nutzt Proofpoint ein DMARC-Reporting-Interface (Domain-based Message Authentication Reporting & Conformance) in Kombination mit den Empfehlungen der qualifiziertesten Experten aus dem Bereich Authentifizierung, um Organisationen mit E-Mail Fraud Defense dabei zu unterstützen, den rechtmäßigen E-Mailverkehr zu identifizieren, zu autorisieren, zu konfigurieren und zu authentifizieren. So können die Security-Teams in den Unternehmen entsprechende Regeln implementieren, um dem Missbrauch der Unternehmens-Domains einen Riegel vorzuschieben.
E-Mail Fraud Defense ist Teil von Proofpoints umfangreicher Anti-BEC-Lösung. Diese enthält dynamische und Regel-basierte Klassifizierung durch Proofpoint E-Mail Protection, Schutz vor Datenverlust mit Proofpoint E-Mail DLP und proaktive Entdeckung gleichlautender Domains mit Proofpoint Digital Risk Defense.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
Phishing-Abwehr: datenschutzrechtliche Bedenken – Gutachten empfiehlt Redacting
Cybersicherheit: Interne Kommunikation erweist sich oft als große Hürde
Vorhersagen zu wachsenden IT-Sicherheitsbedrohungen werden Realität
Security Trends 2017: Worauf sich Privatnutzer und Unternehmen einstellen müssen