[datensicherheit.de, 25.09.2020] proofpoint sieht nach eigenen Angaben „einen dramatischen Anstieg im Bereich des sogenannten Payroll-Diversion-Betrugs“: Allein die bei der US-Bundespolizei gemeldeten Fälle seien zwischen Januar 2018 und Juni 2019 um 815 Prozent angestiegen. Bei dieser Betrugsform handele es sich um eine Form von Business eMail Compromise (BEC). Im Rahmen dieser Betrugsform versuchten Cyber-Kriminelle mit Hilfe ausgeklügelter Social-Engineering-Techniken Gehaltszahlungen von Unternehmen auf die Konten der Betrüger umzuleiten. Allein proofpoint blockiere täglich 35.000 derartige Cyber-Angriffe und verhindere so jeden Tag Schäden in Höhe von 2,2 Millionen US-Dollar.

Abbildung: proofpoint

proofpoint: Täglich Schäden in Höhe von 2,2 Millionen US-Dollar verhindern…

Payroll Diversion als Teil von Business eMail Compromise

BEC sei die teuerste Angriffsmethode im Bereich Cyber-Kriminalität. Eine Unterform dieses Betrugs steche jedoch bei den Zuwachsraten besonders hervor: Beim „Payroll Diversion“-Betrug habe die US-Bundespolizeibehörde FBI allein von Januar 2018 bis Juni 2019 eine Steigerung um ganze 815 Prozentpunkte beobachten – für proofpoint Anlass genug, sich dieser Betrugsform in seinem aktuellen Blog zu widmen.
„Payroll Diversion“-Betrug als Sonderform von BEC nutze ebenfalls Vorgehensweisen, die auch bei anderen Formen von BEC-Angriffen von Cyber-Kriminellen angewandt würden. Täuschung und „Social Engineering“ seien auch hierbei die Mittel der Wahl, um potenzielle Opfer davon zu überzeugen, den Angreifern Geld zu transferieren.

Payroll Diversion leitet Lohn- und Gehaltszahlungen auf Konten der Betrüger um

Im Falle dieser Sonderform zielten die Angreifer speziell auf den Lohn- und Gehaltsabrechnungsprozess eines Unternehmens oder einer Organisation ab und versuchten, legitime Lohn- und Gehaltszahlungen auf ihre eigenen Konten umzuleiten. Dies unterscheide sich insofern von anderen BEC-Betrugsformen wie dem Geschenkkarten-Betrug, „als der Mitarbeiter, für den sich die Kriminellen ausgeben, in der Regel kein VIP des Unternehmens ist“.
Betrugsversuche, bei denen es die Angreifer auf die Umleitung von Gehaltszahlungen abgesehen hätten, seien zwangsläufig sehr zielgerichtet. Um erfolgreich zu sein, müssten diese Betrüger den passenden Angestellten in der Lohnbuchhaltung korrekt identifizieren, um die nötigen Änderungen der Kontoverbindung des imitierten Mitarbeiters vornehmen zu lassen.

Angreifer müssen für Payroll Diversion viel Zeit und Energie investieren

Diese Art von Betrug beruhe in hohem Maße auf der Sammlung von Informationen. Ein erfolgreicher BEC-Angriff zur Abzweigung von Gehaltszahlungen setze nicht nur voraus, „dass die Angreifer das richtige Ziel für ihren Angriff identifizieren, sondern sie müssen auch glaubwürdig unter Beweis stellen, dass sie mit dem Prozess der Gehaltsabrechnung vertraut sind“.
Beides erfordere, dass die Angreifer viel Zeit und Energie investierten, „um an die nötigen Informationen zu gelangen, bevor sie ihren Angriff starten“. Leider könnten diese Art von Informationen häufig mittels öffentlich zugänglicher Quellen wie Unternehmenswebsite oder alternativ über LinkedIn, XING oder teilweise auch andere Soziale Netzwerke gesammelt werden.

E-Mail als Dreh- und Angelpunkt von Betrug per Payroll Diversion

Dreh- und Angelpunkt von Betrug per „Payroll Diversion“ sei wie bei anderen Betrugsformen des BEC vor allem die E-Mail als Kommunikationskanal: „Indem hier die Identität des betreffenden Mitarbeiters (des Gehaltsempfängers) imitiert wird, um die Finanzabteilung zu täuschen, können sich die Cyber-Kriminellen bedeckt halten“.
Je nach Raffinesse der Täter könne es auch vorkommen, „dass diese auch auf sekundäre Finanzkontrollen der Unternehmen vorbereitet sind und entsprechende Ausreden parat haben, um eine Verifizierung der Kontoänderung durch den entsprechenden Mitarbeiter zu umgehen“.

Payroll Diversion: Betrüger neigen dazu, Angriffe meist in der zweiten oder vierten Woche eines Monats zu verüben

Sobald die Kontoänderung aus Sicht des Angreifers erfolgreich vollzogen worden sei, könne es jedoch bis zu zwei Wochen dauern, bis die Änderungen wirksam würden. Angesichts dieser möglichen Verzögerung von zwei Wochen verwundere es nicht, dass die Cyber-Kriminellen hinter „Payroll Diversion“-Betrug dazu neigten, ihre Angriffe meist in der zweiten oder vierten Woche eines Monats zu verüben.
Zum besseren Schutz gegen diese Art von Betrug sei es entscheidend, „dass die eingesetzten Sicherheitslösungen in der Lage sind, nicht nur eine begrenzte Liste von Führungskräften vor betrügerischen E-Mails zu schützen“. Vielmehr müssten die Security-Lösungen auch alle anderen Mitarbeiter mit einschließen und sie vor einem Missbrauch ihrer Identität sowie vor gefährlichen E-Mails schützen.

Weitere Informationen zum Thema:

proofpoint, 24.09.2020
Understanding BEC Scams: Payroll Diversion

datensicherheit.de, 20.02.2020
proofpoint-Untersuchung zu fehlenden DMARC-Einträge bei IATA-Fluggesellschaften

[datensicherheit.de, 03.06.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. sieht aktuell einen Trend, dass Cyberkriminelle versuchen, Mitarbeiter im Home-Office zu täuschen und auszunutzen, um falsche Überweisungen ausführen zu lassen. BEC nennt sich das kriminelle Vorgehen. Der FBI Internet Crime Report 2019 hat gezeigt, dass allein in den Vereinigten Staaten von Amerika 1,7 Milliarden Dollar durch BEC gestohlen wurden.

Business Email Compromise bei Hackern beliebt

Der Begriff ‚BEC‘ steht für ‚Business Email Compromise‘ und beschreibt eine bestimmte Masche, die sich aktuell bei Hackern großer Beliebtheit erfreut. Dabei verschaffen sich die Angreifer geschickt Zugang zu den Mail-Konten von Entscheidungsträgern einer Firma oder deren Zulieferern. Sobald sie diesen haben, beginnen sie damit, den E-Mail-Verkehr zu lesen, die Prozesse zu verstehen und die Mitarbeiter auszuspionieren. Ziel des Ganzen ist eine Hochstapelei: Die Hacker wollen so viel Wissen über die innere Struktur und Kommunikations-Weise des Unternehmens erlangen, dass sie in der Lage sind, sich als Entscheidungsträger – CEO oder CFO – auszugeben und die Mitarbeiter mit betrügerischen, aber geschickt gefälschten, Nachrichten zu täuschen. Gelingt ihnen das, veranlassen sie angeblich autorisierte Überweisungen auf ihre eigenen Konten und digitalen Geldbeutel (Wallets) oder leiten angewiesene Überweisungen dorthin um. Wie viel Geld eine Gruppe mit dieser Masche im Alleingang stehlen kann, hat Check Point bereits anhand eines vom Research-Team enttarnten Falles gezeigt.

Aktuelle Situation erleichtert die Durchführung

Die aktuelle Situation, mit vielen Mitarbeitern im Home-Office, erleichtert die Durchführung dieser Masche erheblich. Arbeitsanweisungen, Absprachen und Kundenkontakt – fast alle Kommunikation findet aktuell ausschließlich digital statt. Hat ein Angreifer dann zusätzlich die Zugangsdaten zu dem Konto eines hochrangigen Mitarbeiters, wie einem CEO oder CFO gestohlen, stehen der erfolgreichen Attacke nur wenige Hürden im Weg. Umso wichtiger ist es, BEC erst gar nicht zu ermöglichen und Mitarbeiter dahingehend zu schulen.

Christine Schönig, Check Point Software, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH meint: „Wir befinden uns mitten in einem Paradigmenwechsel der Hacker-Aktivitäten: Die Kriminellen nutzen die Vorteile aus, dass viele von uns derzeit zu Hause arbeiten. Wir sehen die BEC-Betrügereien als Teil dieses Trends. Jedes Unternehmen und jede Organisation, die dafür bekannt ist, große Geldsummen zu transferieren, sollte sich bewusst machen, dass es ein Hauptziel dieser Betrugsart ist. Wenn Mitarbeiter zu Hause arbeiten und vor allem auf den E-Mail-Verkehr angewiesen sind, kann ein geschickter Angreifer jede einzelne E-Mail überwachen und manipulieren – das lohnt sich besonders bei den Mitarbeitern, die in der Lage sind, Geld zu bewegen. Wir erwarten außerdem eine Zunahme der Betrugsversuche im Jahr 2020, da Tele-Arbeit und digitale Kommunikation stark zugenommen haben – auch an inhaltlichem Wert der Nachrichten.“

Check Point empfiehlt folgende Schritte, um sich vor BEC zu schützen:

1. Aktivieren Sie die Multi-Faktor-Authentifizierung für geschäftliche E-Mail-Konten. Diese Art der Authentifizierung erfordert mehrere Informationen zur Anmeldung, wie ein Passwort und einen SMS-Code. Die
2. Implementierung der Multi-Faktor-Authentifizierung erschwert es Cyberkriminellen, Zugang zu den E-Mails der Mitarbeiter zu erhalten.
3. Öffnen Sie keine E-Mails von unbekannten Parteien. Wenn Sie dies tun, klicken Sie nicht auf Links oder öffnen Anhänge, da diese oft Malware enthalten, die auf Ihr Computersystem zugreift.
   Überprüfen Sie die E-Mail-Adresse des Absenders doppelt. Eine gefälschte E-Mail-Adresse hat oft eine ähnliche Endung wie die legitime E-Mail-Adresse.
4. Überprüfen Sie die Adresse immer, bevor Sie Geld oder Daten senden. Machen Sie es zum Standardverfahren für Mitarbeiter, E-Mail-Anfragen für eine telegrafische Überweisung oder vertrauliche Informationen erst von allen Verantwortlichen bestätigen zu lassen.
5. Nutzen Sie die Funktion ‚Weiterleiten‘ statt ‚Antworten‘ für Rückmeldungen bei geschäftlichen E-Mails. Beim Weiterleiten muss die korrekte E-Mail-Adresse manuell eingegeben oder aus dem internen Adressbuch ausgewählt werden. Die Weiterleitung stellt somit sicher, dass Sie die korrekte E-Mail-Adresse des vorgesehenen Empfängers verwenden.

Weitere Informationen zum Thema:

Check Point
Alles über die Nachforschung zu BEC-Betrugsversuchen

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 07.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

[datensicherheit.de, 22.07.2019] Die Gefährdungslage für Schweizer Unternehmen und Behörden in Sachen Cybersicherheit gibt weiterhin Anlass zur Sorge. Das legen Untersuchungsergebnisse von Proofpoint nahe. Wenig überraschend: Vor allem der Finanzsektor in der Schweiz ist für Cyberkriminelle ein attraktives Angriffsziel. Darüber hinaus gibt es eine Vielzahl von Bedrohungen, die auch Eidgenossen nicht verschonen.

Hacker haben es in der Schweiz oftmals auf die Log-in-Daten von Bankkunden abgesehen

Im Verlauf der Untersuchungen zur derzeitigen Bedrohungssituation in der Schweiz, stellte das US-amerikanische IT-Sicherheitsunternehmen Proofpoint fest, dass es Hacker in der Schweiz oftmals auf die Log-in-Daten von Bankkunden abgesehen haben. Das beliebteste Werkzeug der Kriminellen dafür war in jüngster Zeit die Schadsoftware Retefe. Dabei handelt es sich um einen Banking-Trojaner, der zumeist über gezippte Datei-Anhänge verbreitet wird, die mit schadhaftem JavaScript versehen wurden oder aber über präparierte Word-Attachments. Nach einer Infektion leitet Retefe den Datenverkehr der betroffenen Banken über seinen eigenen Proxy um. Neben der Schweiz war Retefe in der Vergangenheit hauptsächlich in Österreich und Schweden aktiv – im Moment ist die Schweiz nach Datenlage jedoch offenbar das exklusive Ziel der Cyberkriminellen.

Emotet vermehrt unterwegs

Aber auch andere Varianten von Schadsoftware gefährden derzeit Unternehmer und Verbraucher in der Schweiz. So konnte festgestellt werden, dass auch in der Schweiz Emotet vermehrt sein Unwesen treibt. Emotet war zunächst eine sogenannte „General-Purpose-Malware“, also eine Schadsoftware, die sich mit vielerlei Modulen bestücken ließ, je nach gewünschtem Verwendungszweck der Kriminellen – sei es ein Banking-Trojaner, ein Information Stealer oder ein anderer Malware-Typ. In den letzten Jahren entwickelte sich Emotet allerdings von einem Banking-Trojaner hin zu einem eigenständigen Botnet, das vielen anderen Malware-Varianten den Rang abläuft. TA542 (Threat Actor 542), die Gruppe von Cyberkriminellen hinter Emotet, verbreitet die Schadsoftware seit Anfang 2019 in Abermillionen von E-Mails, die vor allem auf den Gesundheits- und Fertigungssektor abzielen.

Ein weiterer Schädling, der die Schweiz derzeit heimsucht ist der Loader Smoke. Smoke ist ein modularer Malware-Downloader, der erstmals 2011 beobachtet wurde und gewöhnlich von russischen Cyberkriminellen bei Angriffen auf Unternehmen wie auch einzelne Nutzer verwendet wird. Verkauft wird die Malware von einer Einzelperson, die sich hinter dem Decknamen „SmokeLdr“ verbirgt und angibt, nur an russische Akteure der Black-Hat-Szene zu verkaufen. Abhängig davon, welche Module erworben werden, bietet Smoke mannigfaltige Möglichkeiten für die Hacker. Zu diesen Möglichkeiten zählen beispielsweise optionale Fähigkeiten wie ein Password Stealer, DNS-Hijackings, Key-Logging sowie die Durchführung von DDoS-Attacken (Distributed Denial of Service). Bei Angriffen in der Schweiz lädt Smoke laut der Analysen von Proofpoint jedoch nach kurzer Zeit hauptsächlich den Banking-Trojaner Retefe nach.

 Top-Unternehmen schützen sich besser gegen Business Email Compromise

Doch es gibt auch erfreuliche Nachrichten: Wie Proofpoint feststellen konnte, unternahmen schweizerische Top-Unternehmen in den vergangenen sechs Monaten weitere Schritte, um sich besser gegen die sogenannte Chef-Masche beziehungsweise BEC (Business Email Compromise) zu schützen. Zu diesem Zweck implementierten insgesamt 17 der 20 im SMI gelisteten führenden Unternehmen der Schweiz den herstellerunabhängigen DMARC-Standard. Vor einem halben Jahr verfügten von den untersuchten Firmen lediglich 12 über einen DMARC-Eintrag. Dies entspricht einer Steigerungsrate von 25 Prozent und hilft den betreffenden Unternehmen dabei, sich, ihre Mitarbeiter, Partner und Kunden vor Cyberbetrug auf Basis von Domain Spoofing zu schützen – wenngleich nur vier Unternehmen auch aktiv betrügerische Mails blockieren und somit in Gänze DMARC-konform agieren.

Der öffentliche Sektor steht dem Betrug auf Basis von Domain Spoofing hingegen nahezu ungeschützt gegenüber. Nur zwei der von den 26 Kantonen genutzten Domains verfügen über einen DMARC-Eintrag. Dieses Versäumnis steigert natürlich die Gefahr, Opfer von Cyberattacken zu werden.

Weitere Informationen zum Thema:

Proofpoint
2019: The Return of Retefe

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 12.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht

[datensicherheit.de, 05.10.2018] Digital Shadows, Anbieter von Lösungen zum digitalen Risikomanagement und Threat Intelligence, deckt in einem neuem Report „Pst! Cybercriminals on the Outlook for Your Emails“ die unterschiedlichen Methoden bei BEC (Business Email Compromise)-Angriffen auf. Neben Phising-Angriffen profitieren Cyberkriminellen demnach auch von der großen Menge an öffentlich zugänglichen E-Mail-Posteingängen und Archivdateien.

Ungeschützte E-Mail-Postfächer von Unternehmen im Netz

Digital Shadows entdeckte eine Vielzahl an ungeschützten E-Mail-Postfächer von Unternehmen im Netz, darunter 12,5 Millionen E-Mail-Archivdateien (.eml, .msg, .pst, .ost, .mbox), die über falsch konfigurierte rsync-, FTP-, SMB-, S3-Buckets und NAS-Laufwerke öffentlich zugänglich sind. Durch die unsachgemäße Sicherung der Archive legen Mitarbeiter und Auftragnehmer unwissentlich sensible, persönliche und finanzielle Informationen offen. So fanden die Analysten beispielsweise 27.000 Rechnungen, 7.000 Auftragsbestellungen und 21.000 Zahlungsbelege. Cyberkriminelle nutzen diese Informationen, um über gefälschte E-Mails Kunden und Mitarbeiter dazu zu bewegen, Zahlungen zu tätigen. In anderen Fällen übernehmen die Hacker die Identität des Kontoinhabers und führen von dort ihre Betrugsmaschen aus. Laut FBI beläuft sich der weltweite Schaden von BEC-Angriffe allein in den letzten fünf Jahren auf über 12 Milliarden US-Dollar.

Vor allem Finanzabteilungen in Unternehmen stehen in der Schusslinie: Insgesamt 33.568 E-Mail-Adressen von Finanzmitarbeitern, die über Datenleaks Dritter offengelegt wurden, zirkulieren auf kriminellen Foren und werden dort zum Verkauf angeboten. Bei 83% (27.992) dieser E-Mail-Adressen sind die entsprechenden Passwörtern miterhältlich. Digital Shadows stieß zudem auf Cyberkriminelle, die gezielt geleakte Firmen-E-Mails nach gängige Buchhaltungsdomänen wie „ap@“, „ar@“, „accounting@“, „accountreceivable@“, „accountpayable@“ und „invoice@“ suchten. Diese Zugangsdaten gelten als so wertvoll, dass eine einzige Kombination aus Benutzername und Passwort bis zu 5.000 US-Dollar kostet.

Floriendes Geschäft mit BEC-as-a-Service

Darüber hinaus lässt sich ein floriendes Geschäft mit BEC-as-a-Service feststellen. Die buchbaren Hackerangriffe sind ab 150 US-Dollar erhältlich und versprechen erste Ergebnisse innerhalb von einer Woche. Alternativ bieten einige Cyberkriminelle als Austausch für den Zugang zu firmeneignenen E-Mail-Accounts auch einen prozentualen Anteil am erbeuteten Umsatz. Digital Shadows gelang es, über den Messaging-Dienst Jabber Kontakt zu einem Cyberkriminellen herzustellen, der gezielt Unternehmen in der Bauindustrie angreift und dabei Vulnerabilities in der E-Mail ausnutzt. Dabei versprach der Anbieter bei einer Zusammenarbeit 20% der erbeuteten Gesamtsumme

„Phishing ist zwar nach wie vor ein ernstes Problem, es ist aber nicht die einzige Methode, die sich Kriminelle bei BEC-Angriffen zu Nutze machen“, erklärt Rick Holland, Chief Information Security Officer bei Digital Shadows. „Millionen von sensiblen Unternehmens, einschließlich E-Mails und Passwörter, sind längst online zu finden. Damit wird es den Cyberkriminellen leicht gemacht, ganze E-Mail-Postfächer und Buchhaltungsdaten aufzuspüren und für ihre Betrugsmaschen zu nutzen. Das Geschäft mit solchen vertraulichen Daten lohnt sich so sehr, dass Cyberkriminelle noch stärker zusammenarbeiten und aktiv nach Partnern suchen, um gezielt Unternehmen ins Visier zu nehmen.“

Gänzlich verhindern lassen sich BEC-Angriffe wohl nicht. Trotzdem können Unternehmen interne Sicherheitprozesse verschärfen, um den Zugang auf ihre Daten auf ein Minimum zu beschränken. Das Unternehmen empfiehlt dabei sieben Schritte zur Risikominimierung:

1. Regelmäßige Sicherheitsschulungen, um das Bewustsein von Mitarbeitern für BEC zu schärfen.
2. Aufnahme von BEC in Notfällpläne (Incident Response) und in die Geschäftskontinuitätsplanung.
3. Zusammenarbeit mit Anbietern von elektronischen Überweisungssystemen, um manuelle Kontrollen sowie Mehrfachauthentifizierung beim Transfer großer Beträgen einzurichten.
4. Monitoring nach geleakten Unternehmensdaten, insbesondere mit Bezug auf Finanzabteilugnen.
5. Kontinuierliche Überprüfung des digitalen Fußabrucks der Geschäftsführung (z. B. Google Alert), um hoch-personalisierte Angriffe frühzeitig abzufangen.
6. Zuverlässige Absicherung von E-Mail-Archiven.
7. Risiken durch Dritte (z. B. Auftragnehmer, Partner) berücksichtigen, insbesonders bei der Speicherung von E-Mails auf Network Attached Storage (NAS)-Geräten. Empfohlen wird das Hinzufügen eines Passworts, das Deaktivieren von anonymen oder Gast-Zugriffen sowie sichere NAS-Geräte.

Weitere Informationen zum Thema:

Digital Shadows
Business Email Compromise Research Report „Pst! Cybercriminals on the Outlook for Your Emails“

datensicherheit.de, 08.09.2018
Security-Systeme: Business Email Compromise-Angriffe schwer erkennbar

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

[datensicherheit.de, 08.09.2018] Rund 60 Prozent der Business Email Compromise (BEC)-Angriffe beinhalten keinen Phishing-Link und sind damit besonders schwer für E-Mail-Security-Systeme zu erkennen, so das Ergebnis einer aktuellen Barracuda Umfrage unter weltweit 3.000 zufällig ausgewählten Angriffen. Zudem stehen nicht nur Führungskräfte und klassisch gefährdete Mitarbeiter wie HR- und Finanzpersonal, sondern potenziell alle Mitarbeiter eines Unternehmens im Visier der BEC-Betrüger. Dies ergab eine Stichprobe von BEC-Angriffen auf 50 weltweit zufällig ausgewählte Unternehmen.

Business Email Compromise ist eine der häufigsten Cyber-Betrugsarten. Hierbei versuchen Cyberkriminelle Zugang zu einem Geschäfts-E-Mail-Konto zu erhalten, um die Identität des eigentlichen Kontoinhabers zu missbrauchen und damit das Unternehmen, Mitarbeiter oder Kunden zu täuschen und zu betrügen. Oft haben Angreifer es auf Mitarbeiter mit Zugang zu Finanz- oder Lohndaten und anderen personenbezogenen Daten abgesehen.

Das Barracuda Sentinel-Team hat die Methoden von BEC-Betrügern anhand von weltweit 3.000 zufällig ausgewählten BEC-Angriffen analysiert. Barracuda Sentinel ist ein Cloud-Service, der von einer Mehrebenen-KI-Engine unterstützt wird. Diese deckt unter anderem BEC-Exploits auf, blockt diese und erkennt, welche Mitarbeiter das höchste Gefährdungsrisiko haben.

Die Auswertung ergab, dass nahezu die Hälfte der Betrugsmails (46,9 Prozent) darauf abzielte, Opfer dazu zu bringen, eine Banküberweisung auszuführen. 40 Prozent (40,1) der Angriffe forderten den Empfänger auf, einen bösartigen Link anzuklicken, 12 Prozent (12,2) bauten Kontakt zur Zielperson auf, beispielsweise durch die Anfrage, ob das Opfer für eine dringende Aufgabe verfügbar sei; in der Mehrzahl der Fälle folgte nach erstem E-Mail-Wechsel ebenfalls die Bitte um eine Überweisung. Damit beinhalteten etwa 60 Prozent der BEC-Angriffe keinen bösartigen Link, sondern waren reine Text-E-Mails. Diese betrügerischen Nachrichten sind für viele E-Mail-Security-Lösungen besonders schwer zu erkennen, da sie zudem oft von legitimen E-Mail-Konten aus versendet werden.

Beispiele von BEC-Angriffen mittel reiner Text-E-Mails

Angriff auf alle: Nur Schutz klassisch gefährdeter Mitarbeiter reicht nicht

Zusätzlich hat Barracuda eine Stichprobe von BEC-Angriffen auf 50 weltweit zufällig ausgewählte Unternehmen untersucht, um sowohl gestohlene Identitäten als auch Angriffsopfer zu klassifizieren. Eine große Anzahl (43 Prozent) der gefälschten Absender waren CEOs – die am häufigsten gestohlenen Identitäten (48,1 Prozent) waren jedoch überhaupt keine klassisch gefährdeten Mitarbeiter wie Führungskräfte, Finanz- oder HR-Personal. Gleiches gilt für die Opfer eines BEC-Angriffs (53,7 Prozent). Nur Führungskräfte und gefährdete Abteilungen zu schützen, reicht daher nicht aus, um sich gegen BEC-Betrug zu wappnen. Cyberkriminelle nehmen alle Mitarbeiter ins Visier.

Sicherheitsmaßnahmen gegen BEC-Betrug

• Überweisungen sollten niemals ohne interne Rücksprache erfolgen, wenn die einzige Kontaktinformationen eine potenziell betrügerische E-Mail ist.
• Da die Rolle des CEO zum häufigsten Identitätsdiebstahl gehört, sollten Benutzer besondere Vorsicht walten lassen, wenn sie E-Mails von diesem Konto empfangen. Falls es ungewöhnlich ist, vom Geschäftsführer eine Anfrage zu erhalten, sollte der Mitarbeiter deren Legitimität überprüfen, bevor er Maßnahmen ergreift.
• Unternehmen sollten ein Trainingsprogramm implementieren, das ihre Mitarbeiter kontinuierlich schult, BEC-Angriffe und andere E-Mail-Betrugsmaschen zu erkennen.
• Weiterhin sollten Unternehmen eine E-Mail-Security-Lösung einsetzen, die Phishing-, Spear-Phishing- und Cyberbetrugs-Angriffe, die Grundlage für einen erfolgreichen BEC-Betrug sind, automatisch stoppt.

Weitere Informationen zum Thema:

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

datensicherheit.de, 02.07.2011
Barracuda Networks: Drei Trends als Ursache der Zunahme von Web-Attacken

[datensicherheit.de, 12.12.2016] 2016 schien praktisch jede Woche ein neues Hoch bei Locky Ransomware -Kampagnen erreicht zu werden. Diese Kampagnen zielen auf hunderte Millionen potenzielle Opfer weltweit ab und stellen somit sicher, dass auch bei niedrigen Zustellquoten viele Tausend Nachrichten dennoch ihre Ziele erreichen. Dadurch erhöht sich auch deren Risiko das Anbieter von Sicherheitslösungen sowie Analysten deren neue Vorgehensweisen und Payloads beobachten und analysieren können. Auch Exploit-Kit Täter mussten feststellen, dass trotz des Einsatzes von immer ausgeklügelteren Verschleierungstechniken, große Volumen neben vielen Treffern auch viele Risiken mit sich bringen können.

Intelligentere Bedrohungen werden die Angriffs-Volumen reduzieren

Proofpoint erwartet für 2017, dass daher Klein das neue Groß sein wird. Raffinierte Angreifer werden zu kleineren und gezielteren Kampagnen zurückkehren, um ihre Malwaredaten zu übertragen. E-Mail-Kampagnen mit hohem Volumen wird es weiterhin geben, doch sie werden auf „Massen“-Payloads begrenzt sein, wie z.B. gezippte ausführbare Dateien (inklusive JavaScript), die gängige Ransomware-Varianten verbreiten. Kleinere und auf spezifische Zielgruppen ausgerichtete Kampagnen werden hingegen immer häufiger und immer raffinierter. Exploit-Kits werden dem neuesten Trend weiter folgen und in immer kleineren Volumen aktiv werden. Dabei werden sie ihre Angriffe auf Regionen konzentrieren, in denen es weniger wahrscheinlich ist, dass ihre Aktivitäten von Sicherheits-Analysten und Anbietern beobachtet werden.

Bösartige Makros sind endlich am Ende

Letztes Jahr wurde von Proofpoint vorhergesagt, dass die hochvolumigen Kampagnen mit bösartigen Makros aus dem Jahr 2015 bis Mitte 2016 allmählich zurückgehen werden. Diese Prognose trat weitgehend auch so ein: während der massiven Kampagnen, die dem Ausfall des Necurs Botnets im Juni folgten, hatten Kampagnen mit JavaScript und anderen gezippten Anhängen, die Locky (unterstützt durch Dridex-Akteure) verteilten, bereits Dokumentenanhänge mit bösartigen Makros weitgehend verdrängt. Dennoch wurden bösartige Makros nach wie vor großflächig in kleineren, stärker zielgerichteten Kampagnen genutzt, um Banking-Trojaner wie Dridex, Ursnif, Vawtrak, und – in der zweiten Jahreshälfte 2016 – eine große Anzahl verschiedener Payloads, von Keyloggers und RATs bis zu Downloaders und Information Stealers, zu verbreiten. Ständige Aktualisierungen bei den Malware-Sandbox- Evasionstechniken hielten diese am Leben, aber wir erwarten, dass bis April 2017 auch diese Maßnahmen nicht mehr ausreichen werden, um diese Kampagnen so effizient durchzuführen, dass sie rentabel sind. Gezippte JavaScript-Attacken (js, wsf, hta, vbs) werden weiterhin aktiv sein, allerdings mit denselben niedrigen Stellenwert wie gezippte ausführbare Dateien. Gleichzeitig werden Cyberkriminelle weiterhin versuchen, automatisierte Pishing-Attacken in größeren personalisierten Kampagnen zu verbessern und auszudehnen. Um hier die Glaubwürdigkeit ihrer Mitteilungen zu erhöhen, werden mehr Identifikationsmerkmale und persönliche Details hinzugefügt.. Es ist unwahrscheinlich, dass exploitausgerichtete Attacken wieder bedeutend werden (siehe nächster Abschnitt). Stattdessen werden sich die Angreifer noch intensiver auf das Social Engineering als zentralen Teil der Infektionskette konzentrieren. Anwender sollen dazu verleitet werden auf eingebettete ausführbare Makros in Dokumenten zu klicken und bösartige Payloads zu installieren, die als legitime Anwendungen in Anhängen getarnt sind oder als Links zu bekannten Hosting- und Filesharing-Diensten oder als bekannte Teile der Windows- Benutzerumgebung.

Exploit-Kits werden zu „Human-Kits“

Wie der Name schone sagt werden Exploit Kits aus frei verfügbaren und hoch effektiven Exploits erstellt, welche auf die Computer der potenziellen Opfer ausgerichtet sind. Aus dieser Perspektive stellt die ständige Verringerung der vergangenen Jahre, sowohl bei der Gesamtanzahl bekanntgewordener Schwachstellen, und noch wichtiger, bei veröffentlichten Exploits welche auf diese abzielen, ein Risiko für dieses Businessmodell der Cyberkriminellen dar.

Da neue und auch ausnutzbare Schwachstellen immer knapper werden, Unternehmen und Anwender immer konsequenter patchen und verbesserte Browser- und Betriebssystemsicherheit dazu führen das Angreifer Exploits kombinieren müssen, kann man den Rückgang im Laufe des Jahres 2016 zumindest teilweise als Akzeptanz der neuen Situation seitens der Bedrohungsakteure interpretieren: Exploits haben eine kürzere effektive Lebenszeit und sind als Mittel zum Verteilen von Malware immer weniger zuverlässig. Es konnte bereits ein ähnlicher Weckruf im Jahr 2015 bei den E-Mails beobachten werden, als Attacken, basierend auf Social-Engineering mit Dokumentenanhängen mit bösartigen Makros, die exploitgesteuerten PDF- und Office-Dokumente weitgehend ersetzten.

Für 2017 erwarten das Unternehmen, dass die Exploit-Kits eine ähnliche Weiterentwicklung durch zunehmenden Fokus auf Social Engineering durchlaufen: hochgradig versierte Gruppen, inklusive derer, die Exploit Kits und Malvertising nutzen, werden sich weniger auf Exploits konzentrieren und mehr Anstrengung auf das Austricksen von Menschen verwenden. Exploit- Kits werden zu „Human-Kits“, indem sie ein umfangreiches Toolset von Techniken verwenden um den Nutzer dazu zu bringen seinen eigenen Computer mit einer bösartigen Schadsoftware zu infizieren. Nutzer werden mit Malvertising, Clickbait oder durch sehr überzeugende individualisierte E-Mails, wie jene, die wir in den „personalisierten“ E-Mail-Kampagnen des Jahres 2016 beobachten konnten, geködert. Trotzdem werden Exploit-Kits nicht verschwinden. Stattdessen werden sie sich gezielter auf Kunden in Bereichen konzentrieren welche traditionell langsamer mit ihren Patches sind und wo die Überwachung durch Security Analysten weniger intensiv ist. Neue EK-Akteure werden weiterhin mit Funktionen auf den Markt kommen, die ihnen die Möglichkeit geben, den größtmöglichen Gewinn aus bestehenden Schwachstellen zu ziehen, ganz gleich, ob dies veröffentlichte oder Zero-Day-Schwachstellen sind.

BEC wird sich weiter entwickeln und die großen Verluste setzen sich fort

Seit Mitte 2015 sind betrügerische Geschäftsmails (Business Email Compromise – BEC) zu einer der Haupt-Bedrohungen für Unternehmen geworden und führten nach aktuellen Schätzungen zu einem Verlust von mehr als 3 Milliarden US-Dollar. Insgesamt werden BEC-Verluste zunehmen, auch wenn einzelne Fälle großer BEC-Verluste aufgrund besserer Geschäftsabläufe und Finanzkontrolle größerer Unternehmen abnehmen. In Konzernen werden die Optimierungen in den Geschäftsabläufen die beträchtlichen Einzelverluste von 2015 und 2016 durch mehr Kontrolle von Finanztransfers fast ausschließen. Leider werden diese Änderungen nicht überall angewandt und außerhalb der größeren Unternehmen in Nordamerika und Europa wird es nach wie vor für einzelne Personen möglich sein, diese Transfers auszuführen. In diesen Regionen mit verbesserten Kontrollen , werden kleine und mittlere Betriebe trotzdem anfällig für diese Attacken bleiben und ihr Anteil an diesen Verlusten wird wachsen. Zudem werden auch in Zukunft Saisonschwankungen bei den BEC-Attacken zu sehen sein, ganz ähnlich den „W2 request”-Kampagnen (Steuererklärungskampagnen), die zu Beginn des Jahres 2016 liefen. Diese werden jedoch relativ selten bleiben.

Angler Phishing wird komplett automatisiert

Im vergangenen Jahr hat sich das Angler Phishing, sowohl was die Streuung der Ziele als auch die Tiefe der verwendeten Social-Engineering-Techniken betrifft, ausgeweitet. Noch haben diese Attacken aber das Automationsniveau, das man in der Regel bei den Exploit- und Pishing-Toolkits sieht, nicht erreicht: 2016 findet man nach wie vor Fehler, die vom Copy and Paste herrühren, Grammatik- und Rechtschreibfehler, falsche Markennamen oder -logos in den Mails und andere gängige Fehler, die durch Menschen und ihre manuelle Arbeit verursacht werden. Für 2017 prognostizieren wir, dass die Angreifer Automatisierungen sowie auch die Verarbeitung natürlicher Sprache (Natural Language Processing, NLP) auf niedrigem Niveau anwenden werden, um ihre Angriffstechniken zu verbessern. Mit der erhöhten Automatisierung dürften die Angreifer sich auf mehr Marken und höhere Opferzahlen bei jeder Kampagne ausrichten. Die Angreifer haben bereits gezeigt, dass sie genau wissen, wann neue Produkte
auf den Markt kommen, so dass sie ihre Kampagnen zu einem Zeitpunkt starten, an dem viel Kommunikation auf Kundendienstkanälen absehbar ist. Proofpoint erwartet diesbezüglich eine Zunahme im Jahr 2017, da besser anpassbare Ressourcen verfügbar sein werden.

Die Geschwindigkeit von Attacken über die Sozialen Medien wird weiter zunehmen und neue Grenzen austesten

Das unglaubliche Wachstum von Social Media ebnete den Weg für eine ähnlich hohe Zunahme bei den Attacken in diesem Bereich. Dies ist gekoppelt mit der gleichzeitigen Evolution der Angriffe welche Social Media als Attack-Vektor verwenden. Da Attacken auf Social Media- Netzwerken eine bedeutend höhere Rendite bieten, erwarten wir eine höhere Wachstumsrate bei den Attacken im Jahr 2017. Insbesondere wird Folgendes erwartet:

• Betrug und Pishing werden im Bereich Social Media Jahresvergleich um über 100% ansteigen
• Spam im Bereich Social Media wird im Jahresvergleich um über 500% ansteigen
• Bedeutendes Wachstum bei Betrug und Fälschung durch Verwendung gefälschter Social-Media-Konten
• Bedeutendes Wachstum integrierter Betrugstechniken, die Social-Media-Konten verwenden, gefälschte mobile Apps, betrügerische Websites und Betrüger-E-Mails

Eine Social-Media-Plattform, die 2017 besonders stark im Fadenkreuz stehen wird, ist Snapchat. Snapchat ist zu einer der angesagtesten Social Networking- und Kommunikationsplattformen geworden, doch bis jetzt sind noch keine größeren und andauernden Attacken über diese Plattform gelaufen. Es ist davon auszugehen, dass 2017 entweder eine Anzahl größerer Kampagnen mit großem Erfolg laufen wird oder eine größere Sicherheitslücke der Plattform selbst offengelegt wird, wobei der entsprechende Code zum Konzeptnachweis (Proof Of Concept, POC) öffentlich gemacht wird.

Zusätzlich werden 2017 auch soziale Bezahlplattformen ziemlich sicher größeren Attacken ausgesetzt sein. Nachdem die aktuellen Social-Media-Plattformen immer fortschrittlicher werden, haben viele von ihnen (wie z.B. Facebook, Wechat, Line und andere) Bezahldienste eingeführt. Diese Dienste erhöhen ihr Transaktionsvolumen, da die wirtschaftlichen Modelle dieser Plattformen immer mehr Features bekommen. Dies wird 2017 weiter wachsen und für Hacker durch das Transaktionsvolumen interessant werden. Die Bezahlplattformen sind reif für eine gezielte Attacke, sowohl aus Sicherheitslücken- als auch Social-Engineering-Perspektive.

Mobile Gefahren: der Geist ist aus der Flasche raus

2016 stellte einen Wendepunkt für die mobile Gefahrenlandschaft in Bezug auf böswillige Klone populärer Apps dar. Die erhöhte Verwendung von Sideloading um nicht autorisierte Apps zu verteilen, sowie die Verfügbarkeit von gezielten Angriffstools für mobile Geräte lassen keinen Zweifel daran, dass Mobilgeräte – und die Menschen, die sie verwenden – bei Attacken genauso gefährdet sind wie PCs! Vielleicht sogar noch stärker, denn diese Risiken sind weiterhin noch zu wenig im Bewusstsein. 2017 werden Zero-Day-Angriffe, wie das Pegasus- Angriffskit für Mobilgeräte und dazugehörige „Trident”-Schwachstellen nicht länger auf staatlich gesponserte Akteure begrenzt sein, die Dissidenten zum Ziel haben, sondern sie werden Unternehmen und Einzelpersonen betreffen. Indem sie sich diese und andereTools zu Nutze machen, werden Cyberkriminelle zunehmend SMS- und iMessage-Systeme verwenden, um bösartige URLs zu versenden und sogar um Zero-Day-Angriffe auszuführen. Diese Attacken werden sowohl breit gefächert sein, wie Pishing nach Passwörtern von Bankkonten und Kreditkarten, als auch auf Mitarbeiter und Führungskräfte abzielen. Gleichzeitig wird die Kategorie der böswilligen und risikobehafteten Apps um betrügerische Apps erweitert werden, bei denen die Benutzer so manipuliert werden, dass sie Apps installieren, die nicht von dem Unternehmen kommen, von dem sie zu stammen scheinen. Diese Apps können dafür ausgelegt sein, mobile Geräte zu infizieren oder einfach um Geld zu machen indem sie die Marke eines Unternehmens verwenden, um Nutzer zu betrügerischen Käufen mit Kreditkarten zu verführen oder um sie auf betrügerische Werbung klicken zu lassen.

Staatlich geförderte Attacken werden zunehmen und über Hacking und Datenschutzverletzungen hinaus gehen

Die zukünftige Administration des kommenden US-Präsidenten birgt viele Unbekannte, was die US-Politik in den Bereichen vom Handel bis zur Verteidigung betrifft. Die bevorstehenden Wahlen in Frankreich und anderen europäischen Ländern haben ebenfalls das Potential, ein ähnliches Unsicherheitsniveau mit sich zu bringen. Daher erwartet Proofpoint für 2017 ein Wiederaufflammen von staatlich geförderten Cyberattacken und insbesondere ausgefeiltes, verdecktes Eindringen (auch bekannt als APT). Ziel sind alle Bereiche der US-Regierung, Angreifer sind zahlreiche Länder, inklusive erneuter Aktionen seitens der relativ ruhigen staatlich unterstützten Akteure aus China. Wie die Kampagne vom 9. November zeigt, wird E-Mail der primäre Vektor sein, wenn es um Einzelpersonen als Ziel geht, die eventuell Zugang zu Daten haben, die anderen Ländern dabei helfen können, vorab die Politik und Pläne der neuen US-amerikanischen und europäischen Regierungen zu diplomatischen und handelsrechtlichen Verhandlungen einzusehen. Zudem wird die Vielfalt der staatlich unterstützten Cyberattacken bedeutend breiter werden und über den Diebstahl von Geheimnissen und Industriespionage hinausgehen. Durch die Effektivität von Doxing, Datendiebstahl, peinlichen Veröffentlichungen und Desinformation, werden mehr Regierungen versuchen, Cyberattacken zu verwenden, um Informationen zu stehlen und Neuigkeiten in den Social-Media und anderen Nachrichtendiensten zu veröffentlichen. In vielen Ländern wurde nach Angaben von Proofpoint bereits gezeigt, dass man hier Zwietracht und Zerrüttung in diesen Staaten zu säen kann und sie diese in der Verfolgung ihrer Interessen beeinträchtigen könnten. Im Social-Media-Bereich wurden bereits staatlich gestützte Trolle verwendet, um Dissidenten und Kritikern zu schaden. Dies ist eine Praxis, die bereits in Zentral- und Osteuropa gut dokumentiert ist und die offensichtlich auch während der Monate vor der Wahl in den Vereinigten Staaten angewandt wurde. Um öffentliche Diskussionen und politische Ansichten zu beeinflussen wird dies in 2017 von einer Reihe von Staatsakteuren noch weitreichender und aggressiver zur Anwendung kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2016
Proofpoint auf der „it-sa 2016“: Neue Rechercheergebnisse zu Ransomware- und Banking-Trojanern