Das Thema Ransomware ist in aller Munde. Allerdings ist es E-Mail-Betrug, der aufseiten von Unternehmen die höchsten Kosten verursacht und der zugleich die größte Unbekannte darstellt.
Während beim Business Email Compromise (BEC, auch Chefmasche genannt) die Identität eines bekannten und vertrauenswürdigen E-Mail-Absenders vorgetäuscht wird, übernimmt beim Email Account Compromise (EAC) der Cyberkriminelle einen echten Account und agiert folglich aus dem Inneren eines Unternehmens heraus. Das besonders perfide an EAC-Attacken ist, dass sie auch vorhandene E-Mail-Authentifizierungskontrollen – wie DKIM oder SPF – ohne Probleme passieren, da sie tatsächlich von einem legitimen Konto stammen.
Beiden Angriffsarten ist aber gemein, dass es sich um sehr zielgerichtete Kampagnen handelt, die darauf angelegt sind, Geld, Daten oder vertrauliche Informationen zu stehlen. Diese Betrugsformen setzen auf Social Engineering und somit darauf, menschliches Verhalten auszunutzen und Mitarbeiter für ihre Zwecke einzuspannen. Hinzu kommt, dass sie für die IT-Security nur ungemein schwierig zu erkennen sind. Wenn ein Angreifer eine gut gestaltete E-Mail sendet, die keine bösartigen URLs oder Anhänge enthält, kann sie leicht durch die Abwehrmechanismen hindurch in den Posteingang eines Mitarbeiters gelangen. Dieser wird sie in den meisten Fällen für eine legitime Nachricht von einem Absender halten, den er kennt und dem er vertraut.
Lesen Sie hier das Interview mit Michael Heuer von Proofpoint
Noch schwieriger zu erkennen sind sie aber immer dann, wenn sich Cyberkriminelle die teils komplexen Lieferketten eines Unternehmens zunutze machen – was zunehmend der Fall ist. Immer häufiger zielen Angreifer im ersten Schritt auf die Lieferanten ihres eigentlichen Opfers ab – vom Anbieter für Bürobedarf über den Caterer bis hin zu Reinigungsdiensten. Wenn es ihnen gelingt, diese oft weniger gut geschützten Firmen zu kompromittieren und dort vielleicht nur eine legitime Identität zu übernehmen, besteht eine große Chance, dass ihnen Mitarbeiter im eigentlichen Ziel-Unternehmen auf den Leim gehen.
Attacken bleiben unentdeckt
Da Attacken innerhalb der Lieferkette oft für lange Zeit unentdeckt bleiben, bieten sie Kriminellen so die Chance, über einen längeren Zeitraum Daten mitzulesen, sich in Ruhe in den Systemen einzunisten und die Möglichkeiten zur Monetarisierung des Angriffs vollständig auszuschöpfen. Nehmen wir Solarwinds als Beispiel: Die eigentliche Kompromittierung erfolgte bereits im Frühjahr 2020 – doch bis zur Erkennung, neun Monate später, waren durch diesen einen erfolgreichen Initialangriff mehr als 18.000 Netzwerke von Unternehmen und Regierungsbehörden in Mitleidenschaft gezogen worden.
Daten von Proofpoint sprechen dagegen, dass es sich dabei um einen Einzelfall gehandelt hat. Ganz im Gegenteil: Eine im Februar 2021 durchgeführte Analyse unter 3000 Unternehmen kam zu dem Ergebnis, dass in einem nur sieben Tage umfassenden Zeitfenster ganze 98 Prozent aller Unternehmen der Stichprobe mit Cyberbedrohungen konfrontiert waren, die von der Domain eines ihrer Lieferanten stammten.
Blindes Vertrauen in E-Mails von Lieferanten ist äußert riskant. Quelle: Proofpoint
Phishing nach Anmeldedaten
Kompromittierte Konten sind für Cyberkriminelle besonders wertvoll. Sie nutzen deshalb die Beziehungen in der Lieferkette verstärkt mit dem Ziel, Anmeldedaten abzugreifen und noch mehr Konten zu übernehmen. In besagter Studie waren ferner 74 Prozent aller Angriffe der Kategorie Phishing/Impostor zuzuordnen. Dieses Ergebnis unterstreicht einmal mehr, dass sich Angriffe primär gegen das menschliche Verhalten richten und technische Schwachstellen eine zunehmend geringere Rolle spielen.
Darüber hinaus lässt sich feststellen, dass sich die Angreifer analog zu den Unternehmen ebenfalls der Cloud bedienen. Der Rückgriff auf Kollaborationsplattformen wie Microsoft 365, Google G-Suite und Dropbox zum Hosten oder dem Versand von Malware steigt an, und zwar in einem alarmierenden Tempo.
Hier geht es zum aktuellen “State of the Phish” Bericht
Vorsicht vor Rechnungsbetrug
Neben dem vorliegenden Vertrauensverhältnis in der Lieferkette, das Cyberkriminelle für ihre Zwecke auszunutzen versuchen, ist die Beziehung Lieferant-Kunde für kriminelle Akteure auch deshalb attraktiv, weil regelmäßig Geld fließt. Entweder wird durch die Cyberkriminellen daher versucht, eine betrügerische Rechnung als legitim darzustellen oder aber die Zahlung einer legitimen Rechnung wird auf ein vom Angreifer kontrolliertes Bankkonto umgeleitet. Wenn man bedenkt, wie viel Geld mit Lieferantenrechnungen in Verbindung steht, kann diese Art von Betrug dem betroffenen Unternehmen schnell Beträge im sechs- oder gar siebenstelligen Bereich kosten.
Sobald es Angreifern gelungen ist ein Konto zu kompromittieren, wird häufig so lange abgewartet und mitgelesen, bis eine laufende E-Mail-Konversation identifiziert wurde, die sich um eine legitime Transaktion dreht. An diesem Punkt „kapert“ der Angreifer die Unterhaltung und greift in die laufende E-Mail-Kommunikation ein. Da die Nachricht des Angreifers Teil einer bestehenden Kommunikation ist, wirkt sie für das Opfer sehr glaubwürdig. So erscheinen Aufforderungen zur Änderung von Bankverbindungen, z. B. unter dem Vorwand laufender Audits oder bedingt durch COVID-19 deutlich plausibler und werden weniger häufig in Frage gestellt. Diese Glaubwürdigkeit und das Vertrauen sind Schlüsselelemente des Social Engineerings, dessen sich Cyberkriminelle bedienen. Thread-Hijacking-Angriffe (also das Einhacken in eine laufende E-Mail-Korrespondenz) sind für den einzelnen Mitarbeiter naturgemäß sehr schwer, wenn nicht gar unmöglich zu erkennen, sodass hier technologische Gegenmaßnahmen besonders geboten und nützlich sind.
Die Umfrageergebnisse können Sie im “The Voice of the CISO”-Report nachlesen
Cyberattacken in der Lieferkette identifizieren und stoppen
Wie können IT-Sicherheitsverantwortliche vorgehen, um sich gegen Supply Chain Fraud zu schützen?
Die Angriffe selbst sind äußerst komplex und versuchen im ersten Schritt immer, menschliches Verhalten auszunutzen. Und das nicht nur im eigenen Unternehmen, sondern ebenfalls bei Zulieferern. Deshalb muss auch die Verteidigung beim Menschen ansetzen und über die eigenen Unternehmensgrenzen hinaus gehen.
Aus technologischer Sicht empfiehlt sich eine Lösung, die in der Lage ist, die Lieferanten eines Unternehmens und deren E-Mail-Versand-Domains automatisch zu identifizieren. Die Analyse der E-Mail-Kommunikation zwischen dem Zulieferer und dem Unternehmen wird dabei im Kontext umfangreicher Bedrohungsdaten bewertet. Dabei wird das Risiko anhand verschiedener Dimensionen bewertet, beispielsweise auf Basis der erkannten Bedrohungen, die von dieser Domain an das Unternehmen gesendet wurden; Bedrohungen von dieser Domain, die an anderen analysierten Secure Email Gateways auffielen; Überprüfung von Lookalike-Domains des Lieferanten; neu registrierte Domains; Vorhandensein einer DMARC-Richtlinie.
Durch das Ranking der Risikostufe der Lieferanten-Domains können umgehend die wichtigsten Schritte und Gegenmaßnahmen definiert werden. Auf diese Weise kann das Sicherheitsteam seinen Fokus auf die Lieferanten konzentrieren, die das höchste Risiko für das Unternehmen darstellen.
Neben der Technologie gilt es zudem alle Mitarbeiter, die in der Lieferkette tätig sind, entsprechend zu schulen und sie für diese neuartigen und sich ständig verändernden Angriffsmuster zu sensibilisieren. Auch müssen entsprechende Prozesse im Unternehmen verankert werden, die helfen können, das Risiko weiter zu senken. Hier können z. B. telefonische Validierungen als Teil des Prozesses definiert werden, wann immer eine Bankverbindung geändert wird.
Das Zusammenspiel aus Technologie, Prozess und den Menschen, macht den entscheidenden Unterschied zwischen einem Betrugsversuch unter Ausnutzung der Lieferkette – und einem erfolgreichen Angriff mit allen Konsequenzen.