Doppelt so wahrscheinlich wie BEC-Angriffe

Von unserem Gastautor Klaus Gheri, VP & GM  Network Security bei Barracuda Networks

[datensicherheit.de, 11.03.2019] Cyberkriminelle haben betrügerische Sextortion-E-Mails bisher als große Spam-Kampagnen verteilt, jetzt erweitern die Angreifer ihre Taktik: Eine Analyse durch Sicherheitsforscher von Barracuda Networks ergab, dass einer von zehn Spear-Phishing-Attacken ein Sextortion-Angriff war. Damit ist es doppelt so wahrscheinlich, dass Mitarbeiter durch einen gezielten Sextortion-Angriff ins Visier genommen werden als durch Business Email-Compromise (BEC).

Bild: Barracuda Networks

Sextortion: Vorgehensweise der Angreifer

Bei einem Sextortion-Angriff geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt. Typerweise werden Bitcoins verlangt und die Wallet-Details in der Erpressungsnachricht mitgeschickt. Sextortion-Angreifer nutzen bei der Kommunikation E-Mail-Adressen und gegebenenfalls Passwörter, die bei Datenlecks gestohlen wurden. Oftmals fälschen Angreifer auch die E-Mail-Adresse durch Spoofing und geben vor, Zugang zum Konto zu haben.
Sextortion-E-Mails werden in der Regel als Teil größerer Spam-Kampagnen an Tausende von Zielpersonen gesendet, sodass die meisten durch Spam-Filtern entdeckt werden. Doch Kriminelle nutzen mittlerweile auch Social-Engineering, um traditionelle E-Mail-Sicherheitsgateways zu umgehen. Sextortion-E-Mails, die in Posteingänge gelangen, stammen meist von angesehenen Absendern und IPs. Hacker verwenden hierfür bereits kompromittierte Office 365- oder Gmail-Konten. Zudem enthalten Sextortion-E-Mails in der Regel keine bösartigen Links oder Anhänge, die von herkömmlichen Gateways erkannt werden. Angreifer haben auch begonnen, den Inhalt der E-Mails zu variieren und zu personalisieren, was es für Spamfilter schwierig macht, sie zu stoppen. Sextortion-Scams werden zudem aufgrund ihres vermeintlich peinlichen Inhalts von Opfern oft nicht gemeldet. IT-Teams sind sich dieser Angriffe deshalb häufig nicht bewusst.

Gängige Sextortion Betreffzeilen

Bild: Barracuda Networks

Es zeigte sich, dass die Mehrheit der Betreffzeilen in den untersuchten Sextortion-E-Mails eine Form von Sicherheitswarnung enthält. Mehr als ein Drittel fordert eine Passwortänderung. Angreifer geben zudem oft die E-Mail-Adresse oder das Passwort des Opfers in der Betreffzeile an, damit die Zielperson die E-Mail öffnet.

Im Folgenden einige Beispiele:

• name [at] emailaddress [dot] com wurde angegriffen. Ändern Sie Ihre Zugangsdaten.
• Ihr Konto wurde gehackt, Sie müssen es wieder freischalten.
• Ihr Konto wird von einer anderen Person genutzt.
• Ändern Sie umgehend Ihr Passwort. Ihr Konto wurde gehackt.

Gelegentlich sind Angreifer auch direkter und verwenden bedrohliche Betreffzeilen:

• Du bist mein Opfer.
• Hör mir besser zu.
• Du hast nicht viel Zeit.
• Das ist meine letzte Warnung name [at] emailadresse [dot] com

Branchen, die am stärksten von Sextortion betroffen sind

Bild: Barracuda Networks

Laut der Untersuchung ist der Bildungsbereich am häufigsten von Sextortion-Angriffen betroffen, gefolgt von Regierungsstellen und Unternehmen im Bereich Business Services. Der starke Fokus auf den Bildungsbereich ist ein kalkulierter Zug der Angreifer. Bildungseinrichtungen haben in der Regel eine große und junge Benutzerbasis. Diese verfügt meist über weniger Sicherheitsbewusstsein und weiß oft nicht, wo sie sich im Fall eines solchen Angriffs Hilfe suchen kann. Aufgrund mangelnder Erfahrung mit dieser Art Bedrohung besteht ein größeres Risiko, dass junge Menschen Opfer von Sextortion werden.

Bild: Barracuda Networks

Klaus Gheri, VP & GM  Network Security bei Barracuda Networks

Vier Möglichkeiten zum Schutz vor Sextortion

KI-basierter Schutz: Angreifer personalisieren mittlerweile ihre Sextortion-E-Mails, um E-Mail-Gateways und Spam-Filter zu umgehen. Daher ist eine gute Sicherheitslösung gegen Spear-Phishing ein Muss. Entsprechende KI-basierte Technologien analysieren und erlernen das spezifische Kommunikationsverhalten innerhalb eines Unternehmens und verfügen über integrierte Komponenten, die diese Art Angriffe erkennen.

Schutz vor Account-Übernahme: Viele Sextortion-Angriffe stammen von kompromittierten Accounts. KI-basierte Technologien können erkennen, wenn Konten gefährdet sind und greifen in Echtzeit ein, indem sie Benutzer benachrichtigen und bösartige E-Mails entfernen, die von gehackten Konten versendet werden.

Proaktive Untersuchungen: Bei Sextortion sind Mitarbeiter möglicherweise weniger als sonst bereit, den Angriff zu melden. IT-Teams sollten deshalb regelmäßig Untersuchungen von zugestellten E-Mails durchführen, um Nachrichten mit Bitten um Passwortänderungen, Sicherheitswarnungen und anderen verdächtigen Inhalten zu entdecken. Viele Sextortion-E-Mails stammen aus Ländern außerhalb Westeuropas oder Nordamerikas. Spezielle Technologien bietet interaktive Berichte über die geografische Herkunft und helfen, bösartige Nachrichten, die in Posteingängen gefunden werden, automatisch zu entfernen.

Sicherheitsschulungen: Organisationen sollten als Teil ihrer Sicherheitsschulungen Benutzer zudem umfassend über Sextortion aufklären, insbesondere wenn sie über eine große, vielfältige und junge Benutzerbasis wie im Bildungsbereich verfügen. So können Nutzer Sextortion-Angriffe erkennen und sich sicher fühlen, sie auch zu melden. Mit Phishing-Simulationstrainings können die Effektivität der Schulungen getestet und diejenigen Benutzer identifiziert werden, die am anfälligsten für Erpressungsangriffe sind.

Durch einen mehrschichtigen Ansatz aus Technologien, Best Practices und umfangreicher Aufklärung kann so das Risiko durch Sextortion-Angriffe deutlich reduziert werden.

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr

datensicherheit.de, 21.02.2019
Digital Shadows-Report: Cyber-Erpressung auf Management-Ebene

datensicherheit.de, 11.12.2018
Sextortion: Erpressung und Ransomware-Angriff

792,000 Fälle von „Sextortion“ mit 89.000 Betroffene in nur sieben Monaten entdeckt /260.000 Euro in Bitcoin als Lösegeld erpresst / Im Visier der Erpresser: Führungskräfte, Anwälte und Ärzte

[datensicherheit.de, 21.02.2019] Eine Jahresgehalt von umgerechnet 320.000 Euro Netto – damit versuchen Cyberkriminelle Komplizen für ihre digitalen Erpressungsversuche zu gewinnen. Der neue Report „A Tale of Epic Extortions – How Cybercriminals Monetize Our Online Exposure“ von Digital Shadows, Anbieter von Lösungen zum digitalen Risikomanagement, wirft einen genauen Blick auf das profitable Geschäft rund um Cyber-Erpressung. Im Visier der Erpresser stehen diesmal vor allem Führungskräfte in Unternehmen, Anwälte und Ärzte.

Eine der beliebtesten Betrugs-Masche ist „Sextortion“: Dabei behaupten Betrüger beispielsweise, die Web-Cam eines Nutzers gehackt und den letzten Besuch auf einer Porno-Webseite mitgeschnitten zu haben. Ein aktuell gültiges Passwort dient als Beweis. Um die Veröffentlichung und Weitergabe des heiklen Videos zu verhindern, sollen Betroffene schnellstmöglich ein „Schweigegeld“ an eine bestimmte Bitcoin (BEC)-Adresse einzahlen. Die Anzahl solcher Erpresser-Emails ist deutlich gestiegen. Allein in einer Stichprobe von Juli 2018 bis Februar 2019 verzeichnete das Photon Research Team von Digital Shadows 792.000 Fälle von „Sextortion“ mit insgesamt 89.000 Betroffenen. Eine Analyse der Bitcoin-Wallets im Zusammenhang mit diesen Erpressungsversuchen zeigt, dass die Kriminellen durchschnittlich 475 Euro pro Opfer erbeuten.

Ratgeberbuch zum Thema Cybererpressung für weniger als 10 Euro

Der Erfolg von Cyber-Erpressung lässt sich unter anderem auf die Vielzahl an potentiellem Erpressungsmaterial zurückführen, die auf kriminellen Foren zu finden sind. Dort stehen nicht nur geleakte Daten wie sensible Unternehmensdokumente und Login-Daten zum Verkauf, sondern auch Leitfäden und Handbücher für angehende Erpresser. Ein Ratgeberbuch zum Thema Cybererpressung kann zum Beispiel für weniger als 10 Euro bestellt werden. Anfängern wird beispielsweise empfohlen, über Dating-Portale und Chat-Foren gezielt verheiratete Männer anzusprechen, um diese anschließend mit pikanten Details ihrer Online-Affäre zu erpressen. Nach Aussage des Autors seien so pro Erpressung 300-500 Euros zu verdienen.

Das Analysten-Team von Digital Shadows entdeckte darüber hinaus ein ausgereiftes Dienstleistungsnetzwerk. Für die Mithilfe bei der Erpressung von Firmenchefs, Anwälten und Ärzten bieten kriminelle Gruppen Komplizen (z. B. aktuelle oder ehemalige Mitarbeiter, Partner, Zulieferer) ein Jahresgehalt von durchschnittlich 320.000 Euro Netto. Können die Komplizen mit internem Know-how über das Netzwerkmanagement, Penetrationstests oder Programmierung aufwarten, kann sich das Gehalt schnell verdoppeln oder verdreifachen – von 676.000 bis zu knapp unter einer Million Euro.

Bild: Digital Shadows

Report „A Tale of Epic Extortions – How Cybercriminals Monetize Our Online Exposure“

„Cyberkriminelle nehmen gezielt Personen in Führungspositionen sowie vermögende Privatpersonen ins Visier – das zeigt die wachsende Zahl an Cyber-Erpressung nur zu deutlich“, erklärt Rick Holland, CISO und Leiter des Photon Research Teams bei Digital Shadows. „Das Geschäft ist überaus einträglich. Die Analyse einer ausgewählten Anzahl von Kampagnen ergab, dass die Kriminellen über 260.000 Dollar mit Cyber-Erpressung verdienten. Um die Angriffsfläche für Erpresser möglichst gering zu halten, ist Aufklärung von Nöten und ein geschärftes Bewusstsein darüber, welche Informationen man im Netz tatsächlich preisgibt. Dies ist umso schwieriger, da die Grenzen zwischen Berufs- und Privatleben mehr und mehr verschwimmen. Erpressungsversuche von Mitarbeitern, Kunden, Partnern und Zulieferern können daher letztendlich auch Unternehmen treffen.“

Digital Shadows empfiehlt Organisationen folgende Maßnahmen:

• Gehen Sie den Forderungen nach Lösegeld nicht nach. In der Regel handelt es sich um automatisch generierte Massenkampagnen und sollten daher wie Spam behandelt und an die Behörden gemeldet werden.
• Über Plattformen wie HaveIBeenPwned lässt sich einfach überprüfen, ob persönliche Konten gehackt wurden. Insbesondere Sextortion-Emails beinhalten aktuelle Passwörter, um die Echtheit der Drohung zu belegen. Diese stammen häufig aus früheren Datenleaks und Hackerangriffen. Ist ein Konto betroffen, sollten Passwörter unverzüglich geändert und nach Möglichkeit eine Multi-Faktor-Authentifizierung eingerichtet werden.
• Entwickeln Sie ein Ransomware-Playbook. Sichern Sie regelmäßig Daten und speichern Sie sensible Dateien auf einem externen Speicherplatz außerhalb des Hauptnetzwerks. Vergessen Sie nicht, Ihre Backup- und Wiederherstellungsprozesse regelmäßig zu testen. Sind kritische Daten bereits von Angreifern verschlüsselt, ist es zu spät Fehler in der Disaster Recovery-Strategie zu identifizieren.
• Minimieren Sie Ihre potenzielle Angriffsfläche. Machen Sie Fernzugriffslösungen (z. B. Remote Desktop Protocol) nur über ein Virtual Private Network (VPN) zugänglich und deaktivieren Sie alle anderen älteren oder unnötigen Funktionen, um Ihr System gegen Angriffe zu schützen. Identifizieren Sie Ihre wichtigsten Systeme und wenden Sie Patches von Anbietern auf öffentlich bekannte Schwachstellen an.
• Wenden Sie Best Practices für Benutzerrechte an. Entfernen Sie lokale Administratorrechte, beschränken Sie die Ausführungsrechte für temporäre Dateien und Datenordner, die von Ransomware typischerweise ausgeführt werden, und legen sie eine Liste sicherer Anwendungen an (Whitelist).
• Schützen Sie E-Mail-Endnutzer. Starke Spamfilter und Beschränkungen für E-Mail-Anhänge können verhindern, dass Spam-E-Mails und Malware die E-Mail-Boxen von Mitarbeitern erreichen.

Weitere Informationen zum Thema:

Digital Shadows
A Tale of Epic Extortions – How Cybercriminals Monetize Our Online Exposure

datensicherheit.de, 05.10.2018
12,5 Millionen E-Mail-Archivdateien frei zugänglich im Netz

datensicherheit.de, 25.07.2018
ERP-Systeme: Deutlich mehr Cyberattacken