Trace Id is missing

Neue Taktiken verursachen einen in Anstieg betrügerischen Geschäfts-E-Mails

Herunterladen
Teilen

Cyber Signals Issue 4: Das Spiel mit dem Vertrauen

Der E-Mail-Betrug in Unternehmen nimmt weiter zu: Das Federal Bureau of Investigation (FBI) berichtet von mehr als 21.000 Beschwerden mit einem bereinigten Schaden von über 2,7 Milliarden USD. Microsoft hat beobachtet, dass Bedrohungsakteure, die sich auf die Kompromittierung von Geschäfts-E-Mails (BEC) spezialisiert haben, immer raffiniertere Taktiken anwenden. So werden beispielsweise IP-Adressen von Privatpersonen genutzt, um Angriffskampagnen als lokal generiert erscheinen zu lassen.

Diese neue Taktik hilft Kriminellen, Cybercrime-as-a-Service (CaaS) weiter zu monetarisieren, und hat die Aufmerksamkeit der Strafverfolgungsbehörden auf sich gezogen, da sie es Cyberkriminellen ermöglicht, Unmöglicher-Ortswechsel-Warnungen zu umgehen, die dazu dienen, anomale Anmeldeversuche und andere verdächtige Konten Aktivitäten zu erkennen und zu blockieren.

Wir alle sind der Cybersicherheit verpflichtet.
Die Microsoft Digital Crimes Unit hat zwischen 2019 und 2022 einen Anstieg von 38 Prozent von Cybercrime-as-a-Service festgestellt, der auf Geschäfts-E-Mails abzielt.

Einblicke in den Aufstieg des BEC-Diensts im industriellen Maßstab von BulletProftLink

Cyberkriminelle Aktivitäten rund um die Kompromittierung von Geschäfts-E-Mails nehmen zu. Microsoft beobachtet einen signifikanten Trend bei der Verwendung von Plattformen wie BulletProftLink, einer beliebten Plattform für die Erstellung bösartiger E-Mail-Kampagnen im industriellen Maßstab. BulletProftLink bietet einen End-to-End-Dienst, einschließlich Vorlagen, Hosting und automatisierten Diensten für BEC. Angreifer, die dieses CaaS nutzen, erhalten Anmeldedaten und die IP-Adresse des Opfers.

BEC-Bedrohungsakteure erwerben dann die IP-Adresse von lokalen IP-Anbietern, die mit dem Standort des Opfers übereinstimmen, und erstellen private IP-Proxys, die es den Cyberkriminellen ermöglichen, ihre Herkunft zu verschleiern. So können BEC-Angreifer, die zusätzlich zu Benutzernamen und Kennwörtern über einen lokalisierten Adressraum zur Unterstützung ihrer bösartigen Aktivitäten verfügen, ihre Bewegungen verschleiern, Unmöglicher-Ortswechsel-Flags umgehen und ein Tor zur Durchführung weiterer Angriffe öffnen. Microsoft hat beobachtet, dass Bedrohungsakteure in Asien und einem osteuropäischen Land diese Taktik am häufigsten anwenden.

Unmöglicher Ortswechsel ist eine Erkennung, die darauf hinweist, dass ein Benutzerkonto kompromittiert sein könnte. Diese Warnungen weisen auf physische Einschränkungen hin, die darauf hindeuten, dass eine Aufgabe an zwei Orten ausgeführt wird, obwohl die Zeit für den Weg von einem Ort zum anderen nicht ausreicht.

Die Spezialisierung und Konsolidierung dieses Zweigs der Internetkriminalität könnte dazu führen, dass vermehrt private IP-Adressen verwendet werden, um der Entdeckung zu entgehen. IP-Adressen von Privatpersonen, die in großem Umfang Standorten zugeordnet sind, bieten Cyberkriminellen die Möglichkeit, große Mengen an kompromittierten Anmeldedaten und Zugangskonten zu sammeln. Bedrohungsakteure verwenden IP-/Proxy-Dienste, die Händler oder andere für die Recherche verwenden könnten, um diese Angriffe auszuweiten. Ein IP-Dienstanbieter verfügt beispielsweise über 100 Millionen IP-Adressen, die jede Sekunde gedreht oder gewechselt werden können.

Während Bedrohungsakteure Phishing-as-a-Service wie Evil Proxy, Naked Pages und Caffeine nutzen, um Phishing-Kampagnen zu starten und kompromittierte Zugangsdaten zu erhalten, bietet BulletProftLink ein dezentrales Gateway-Design, das öffentliche Blockchain-Knoten von Internet Computern einschließt, um Phishing- und BEC-Seiten zu hosten, und so ein noch ausgeklügelteres dezentrales Webangebot schafft, das viel schwerer zu durchschlagen ist. Die Verteilung der Infrastruktur dieser Websites über die Komplexität und das stetige Wachstum der öffentlichen Blockchains macht ihre Identifizierung und die Umsetzung von Bekämpfungsmaßnahmen noch komplexer. Sie können zwar den Phishing-Link entfernen, aber die Inhalte bleiben online, und Cyberkriminelle kehren zurück, um einen neuen Link mit vorhandenen CaaS-Inhalten zu erstellen.

Erfolgreiche BEC-Angriffe kosten Organisation jährlich Hunderte Millionen Dollar. Im Jahr 2022 initiierte das Recovery Asset Team des FBI die Financial Fraud Kill Chain bei 2.838 BEC-Beschwerden, die inländische Transaktionen mit potenziellen Verlusten von über 590 Millionen USD betrafen.

Auch wenn die finanziellen Auswirkungen beträchtlich sind, können langfristig weitere Schäden entstehen, wie z. B. Identitätsdiebstahl, wenn personenbezogene Daten kompromittiert werden, oder der Verlust vertraulicher Daten, wenn vertrauliche Korrespondenz oder geistiges Eigentum im böswilligen E-Mail- und Nachrichtenverkehr offengelegt werden.

Phishing-E-Mail nach Typ

Das Kreisdiagramm zeigt die prozentuelle Aufschlüsselung der verschiedenen Typen von Phishing-Mails, die bei Angriffen auf Geschäfts-E-Mails verwendet wurden. Lockangebote sind mit 62,35 % am häufigsten, gefolgt von Payroll-Scam (14,87 %), Rechnungen (8,29 %), Geschenkkarten (4,87 %), Geschäftsinformationen (4,4 %) und Sonstige (5,22 %).
Die Daten stellen nur eine Momentaufnahme der BEC-Phishing-Mails nach Typ von Januar 2023 bis April 2023 dar. Mehr erfahren über dieses Bild auf Seite 4 im vollständigen Bericht

Die Hauptziele von BEC sind Führungskräfte und andere leitende Angestellte, Finanzmanager und Mitarbeitende der Personalabteilung, die Zugang zu Mitarbeiterdaten wie Sozialversicherungsnummern, Steuererklärungen oder anderen personenbezogenen Daten haben. Neue Mitarbeitende, die unbekannte E-Mail-Anfragen vielleicht nicht so leicht verifizieren können, werden ebenfalls anvisiert. Fast alle Arten von BEC-Angriffen sind auf dem Vormarsch. Zu den Top-Trends für gezielte BEC-Angriffe gehören Lockangebote, Payroll-Scams, Rechnungen, Geschenkkarten und Geschäftsinformationen.

BEC-Angriffe zeichnen sich im Bereich der Cyberverbrechen dadurch aus, dass sie auf Social Engineering und die Kunst der Täuschung setzen. Anstatt Schwachstellen in nicht gepatchten Geräten auszunutzen, versuchen BEC-Akteure, den täglichen E-Mail-Verkehr und andere Nachrichten auszunutzen, um die Opfer dazu zu verleiten, finanzielle Informationen preiszugeben oder eine direkte Handlung vorzunehmen, wie z. B. unwissentlich Geld an Money-Mule-Konten zu senden, die Kriminellen helfen, betrügerische Geldtransfers durchzuführen.

Anders als ein „lauter“ Ransomware-Angriff mit störenden Erpressungsnachrichten setzen BEC-Akteure auf ein leises Vertrauensspiel, bei dem sie mit vorgetäuschten Fristen und Dringlichkeit die Empfänger antreiben, die möglicherweise abgelenkt oder an diese Art von dringenden Anfragen gewöhnt sind. Anstatt einer neuen Schadsoftware richten BEC-Angreifer ihre Taktik auf Tools aus, die das Ausmaß, die Plausibilität und die Erfolgsquote von bösartigen Nachrichten im Posteingang verbessern.

Obwohl es bereits mehrere prominente Angriffe gab, bei denen IP-Adressen von Privatpersonen genutzt wurden, teilt Microsoft die Sorge der Strafverfolgungsbehörden und anderer Organisationen, dass sich dieser Trend schnell ausweiten kann und es immer schwieriger wird, Aktivitäten mit herkömmlichen Alarmen oder Benachrichtigungen zu erkennen.

Abweichungen bei den Anmeldeorten sind nicht per se bösartig. Ein Benutzer könnte beispielweise mit einem Laptop via einem lokalen WLAN auf Business Applications zugreifen und gleichzeitig per Smartphone oder Mobilfunknetz bei denselben Geschäftsanwendungen angemeldet sein. Aus diesem Grund können Organisation die Schwellenwerte für Unmöglicher-Ortswechsel-Flags entsprechend ihrer Risikotoleranz anpassen. Das industrielle Ausmaß von lokalisierten IP-Adressen für BEC-Angriffe schafft jedoch neue Risiken für Unternehmen, da adaptive BEC- und andere Angreifer zunehmend die Möglichkeit nutzen, bösartige E-Mails und andere Aktivitäten über Adressräume in der Nähe ihrer Ziele zu leiten.

Empfehlungen:

  • Maximieren Sie Sicherheitseinstellungen, die Ihren Posteingang sichern: Unternehmen können ihre E-Mail-Systeme so konfigurieren, dass sie Nachrichten von externen Parteien kennzeichnen. Aktivieren Sie Meldungen für E-Mail-Absender, die nicht verifiziert sind. Blockieren Sie Absender, deren Identität Sie nicht unabhängig bestätigen können, und melden Sie ihre E-Mails als Phishing oder Spam in E-Mail-Apss.
  • Bauen Sie einen starken Authentifizierungsmechanismus auf: Minimieren Sie die Angreifbarkeit von E-Mails, indem Sie die Multi-Faktor-Authentifizierung aktivieren, die neben einem Kennwort auch die Anmeldung per Code, PIN oder Fingerabdruck erfordert. Konten mit aktivierter MFA sind widerstandsfähiger gegen das Risiko kompromittierter Anmeldedaten und Brute-Force-Anmeldeversuche, unabhängig vom Adressraum, den Angreifer verwenden.
  • Schulen Sie Angestellte darin, Warnsignale zu erkennen: Informieren Sie Mitarbeitende darüber, wie sie betrügerische und andere bösartige E-Mails erkennen können, z. B. wenn Domänen und E-Mail-Adressen nicht übereinstimmen, und welche Risiken und Kosten mit erfolgreichen BEC-Angriffen verbunden sind.

Die Bekämpfung von E-Mail-Kompromittierungen in Unternehmen erfordert Wachsamkeit und Aufmerksamkeit.

Obwohl Bedrohungsakteure spezielle Tools für BEC entwickelt haben, darunter Phishing-Kits und Listen verifizierter E-Mail-Adressen, die auf C-Suite-Führungskräfte, führende Mitarbeitende in der Finanzbuchhaltung und andere spezifische Rollen abzielen, können Unternehmen Methoden einsetzen, um Angriffen zuvorzukommen und das Risiko zu mindern.

So bietet beispielsweise eine Domain-based Message Authentication, Reporting and Conformance (DMARC)-Richtlinie mit der Einstellung „ablehnen“ den stärksten Schutz vor gefälschten E-Mails, da sie sicherstellt, dass nicht authentifizierte Nachrichten noch vor der Zustellung auf dem Mailserver zurückgewiesen werden. Zusätzlich bieten DMARC-Berichte einen Mechanismus, mit dem eine Organisation auf die Quelle einer offensichtlichen Fälschung aufmerksam gemacht werden kann, Informationen, die sie normalerweise nicht erhalten würde.

Obwohl Organisationen erst seit wenigen Jahren in der Lage sind, vollständig Remote- oder hybride Arbeitsgruppen zu verwalten, ist ein Umdenken in Bezug auf das Sicherheitsbewusstsein in einer Zeit der hybriden Arbeitswelt weiterhin erforderlich. Da die Mitarbeitende mit mehr Anbietern und Auftragnehmern zusammenarbeiten und dadurch mehr E-Mails erhalten, die sie zum ersten Mal sehen, müssen Sie sich unbedingt darüber im Klaren sein, was diese Veränderungen im Arbeitsrhythmus und in der Korrespondenz für Ihre Angriffsfläche bedeuten.

BEC-Angriffe von Bedrohungsakteuren können viele Formen annehmen, einschließlich Anrufe, SMS, E-Mails oder Nachrichten in sozialen Netzwerken. Auch das Fälschen von Authentifizierungsanfragen und das Ausgeben als Person oder Unternehmen sind gängige Taktiken.

Ein guter erster Abwehrschritt ist die Stärkung von Richtlinien für die Buchhaltung, interne Kontrollen, die Lohnbuchhaltung oder die Personalabteilung, wie auf Anfragen oder Mitteilungen über Änderungen bei Zahlungsinstrumenten, Bankgeschäften oder Überweisungen zu reagieren ist. Anfragen zu ignorieren, die verdächtigerweise nicht den Richtlinien entsprechen, oder eine anfragende Partei über ihre legitime Website und Vertreter zu kontaktieren, kann Organisationen vor großen Verlusten bewahren.

BEC-Angriffe sind ein gutes Beispiel dafür, warum Cyberrisiken funktionsübergreifend angegangen werden müssen. Führungskräfte, Finanzmitarbeitende, die Personalleitung und andere Personen, die Zugang zu Mitarbeiterdaten wie Sozialversicherungsnummern, Steuererklärungen, Kontaktinformationen und Zeitplänen haben, müssen zusammen mit IT-, Compliance- und Cyberrisikobeauftragten zusammenarbeiten.

Empfehlungen:

  • Verwenden Sie eine sichere E-Mail-Lösung: Moderne E-Mail-Cloud-Plattformen nutzen KI-Funktionen wie maschinelles Lernen, um den Schutz zu verbessern, indem sie erweiterten Phishing-Schutz und die Erkennung verdächtiger Weiterleitungen hinzufügen. Cloud-Anwendungen für E-Mail und Produktivität bieten außerdem die Vorteile kontinuierlicher, automatischer Software-Updates und einer zentralen Verwaltung von Sicherheitsrichtlinien.
  • Sichern Sie Identitäten, um Ausbreitung im System zu verbieten: Der Schutz von Identitäten ist eine der wichtigsten Säulen im Kampf gegen BEC. Steuern Sie den Zugriff auf Anwendungen und Daten mit Zero Trust und automatisierter Identitätsverwaltung.
  • Verwenden Sie eine sichere Zahlungsplattform: Erwägen Sie den Umstieg von Rechnungen, die per E-Mail verschickt werden, auf ein System, das authentifizierte Zahlweisen unterstützt.
  • Halten Sie inne und überprüfen Sie Finanztransaktionen per Telefonanruf: Ein kurzes Telefonat, um sich zu vergewissern, dass etwas rechtmäßig ist, ist die Zeit wert, die man dafür aufwenden muss, anstatt einer schnellen Antwort oder eines Klicks, der zu Diebstahl führen könnte. Definieren Sie Richtlinien und Erwartungen, die Ihre Mitarbeitenden daran erinnern, dass es wichtig ist, Organisationen oder Einzelpersonen direkt zu kontaktieren – und keine Informationen aus verdächtigen Nachrichten zu verwenden –, um finanzielle und andere Anfragen zu überprüfen.

Erfahren Sie mehr über BEC und Iranische Bedrohungsakteure mit Einblicken von Simeon Kakpovi, Senior Threat Intelligence Analyst.

Momentaufnahmedaten stellen die durchschnittlichen jährlichen und täglichen BEC-Versuche dar, die von Microsoft Threat Intelligence zwischen April 2022 und April 2023 entdeckt und untersucht wurden. Eindeutige Phishing-URL-Takedowns durch die Microsoft Digital Crimes Unit fanden zwischen Mai 2022 und April 20231 statt1.

  • 35 Millionen jährlich
  • 156.000 täglich
  • 417.678 Phishing-URL-Takedowns
  1. [1]

    Methodik: Für Momentaufnahmedaten lieferten Microsoft-Plattformen wie Microsoft Defender for Office, Microsoft Threat Intelligence und Microsoft Digital Crimes Unit (DCU) anonymisierte Daten über Geräteschwachstellen sowie Daten über Aktivitäten und Trends von Bedrohungsakteuren. Darüber hinaus verwendeten Forschende Daten aus öffentlichen Quellen wie dem Federal Bureau of Investigation (FBI) 2022 Internet Crime Report und der Cybersecurity & Infrastructure Security Agency (CISA). Die Deckungsstatistik basiert auf Microsoft DCU Cybercrime-as-a-Service-Aktionen bei Geschäfts-E-Mails von 2019 bis 2022. Momentaufnahmedaten stellen bereinigte jährliche und durchschnittliche tägliche BEC-Versuche dar, die entdeckt und untersucht wurden.

Betrügerische Business-E-Mails Cyber Signals Sicherheit für Identitäten Phishing

Verwandte Artikel

Einblicke vom Experten für iranische Bedrohungsakteure Simeon Kakpovi

Simeon Kakpovi, Senior Threat Intelligence Analyst, spricht über die Ausbildung der nächsten Generation von Cyberverteidigern und die Überwindung der schieren Hartnäckigkeit iranischer Bedrohungsakteure.
Mehr erfahren

Das besondere Sicherheitsrisiko von IoT-/OT-Geräten

In unserem neuesten Bericht untersuchen wir, wie die zunehmende IoT/OT-Konnektivität zu größeren und gravierenderen Sicherheitsrisiken führt, die organisierte Bedrohungsakteure im Cyberspace ausnutzen können.
Mehr erfahren

Beschaffenheit einer modernen Angriffsfläche

Um eine immer komplexere Angriffsfläche zu bewältigen, müssen Unternehmen ihren Sicherheitsstatus umfassend ausbauen. Anhand von sechs wichtigen Angriffsflächen zeigt dieser Bericht, wie die richtige Threat Intelligence dazu beitragen kann, die eigene Verteidigungsposition zu stärken.
Mehr erfahren

Microsoft Security folgen