Die Anatomie der Kompromittierung von E-Mails externer Anbieter

Langsam ausgeführte Angriffe können äußerst lohnend sein

Angriffe mittels kompromittierter Geschäfts-E-Mails (Business Email Compromise – BEC) haben sich weiterentwickelt

Phishing-Betrügereien plagen seit langem Unternehmen auf der ganzen Welt – von Spear-Phishing, das auf Mitarbeitende abzielt, bis hin zu allgemeinem Vorschussbetrug, bei dem eine kleine Gebühr im Austausch für eine größere Auszahlung verlangt wird.

Seit Kurzem steht aufgrund einer neuen Technik namens VEC (Vendor Email Compromise) für Unternehmen, die ihre Nutzer vor Betrug schützen wollen, noch mehr auf dem Spiel.

Wie Business Email Compromise (BEC)-Angriffe gibt sich der Angreifer bei VEC als vertrauenswürdiger Dritter aus und sendet eine legitim klingende, aber bösartige E-Mail an ein potenzielles Opfer. Während herkömmliche BEC-Angriffe in der Regel vorgeben, von einer vertrauenswürdigen Person innerhalb des Unternehmens zu stammen, geht VEC noch einen Schritt weiter: In diesem Fall gibt sich der Angreifer als externer Anbieter (oder als ein anderer vertrauenswürdiger Dritter) aus, um die Zielperson dazu zu bringen, betrügerische Rechnungen zu bezahlen, sensible Daten preiszugeben oder Zugang zu Unternehmensnetzwerken und -systemen zu gewähren.

Laut einer aktuellen Umfrage hatten 98 % der teilnehmenden Unternehmen bereits negative Auswirkungen durch eine Verletzung der Cybersicherheit in ihrer Lieferkette verzeichnet.Die Kosten für die Firmen sind hoch.Bei einem Angriff hat ein Hersteller der Toyota-Gruppe mehr als 37 Mio. USD durch betrügerische Zahlungsanweisungen eines böswilligen Dritten verloren.Insgesamt haben BEC-Angriffe (zu denen auch VEC-Attacken zählen) nach Angaben des FBI in den letzten fünf Jahren 43 Mrd. USD Verlust verursacht.

Aufgrund des personalisierten Charakters von VEC-Angriffen kann die Identifizierung einer bösartigen Anfrage selbst geübte Sicherheitsexperten vor große Herausforderungen stellen. Diese Attacken treten immer häufiger auf. Zum Teil ist dies auf die weltweite Verlagerung der Arbeit auf entfernte Standorte und sowie auf Cloud-basierte E-Mail-Systeme zurückzuführen, die möglicherweise nicht über native oder aktivierte Phishing-resistente Sicherheitsfunktionen verfügen.

Um diesen sich weiterentwickelnden Phishing-Methoden immer einen Schritt voraus zu sein, bedarf es einer mehrstufigen E-Mail-Sicherheitsstrategie, die verdächtige E-Mail-Erweiterungen und URL-Änderungen erkennt und kennzeichnet, Domainnamen validiert und Anfragen von Drittanbietern genauestens und konsequent prüft.

So funktioniert VEC

Die Kompromittierung von E-Mails externer Dienstleister – auch als „Kompromittierung der finanziellen Lieferkette“ bezeichnet – ist ausgefeilter und zielgerichteter als Standard-BEC-Angriffe, die nicht unbedingt auf eine Person zugeschnitten sein müssen, um erfolgreich zu sein.

Bei einer BEC-Attacke gibt sich ein Angreifer als eine bestimmte Person innerhalb eines Unternehmens aus – häufig als CEO oder eine andere Autoritätsperson. Dann sendet er Anfragen von dieser Person an mehrere Ziele innerhalb des Unternehmens.

So könnte ein Angreifer sich beispielsweise als CEO eines Unternehmens ausgeben und allgemeine Zahlungsaufforderungen an Mitarbeitende senden. Eine solche Anfrage kann zwar durchaus legitim erscheinen, lässt sich aber relativ leicht enttarnen, wenn der Mitarbeiter Rücksprache mit dem tatsächlichen CEO hält.

Im Gegensatz dazu erfordert VEC in der Regel ein besseres Verständnis der bestehenden Geschäftsbeziehungen – etwa Details zu laufenden Projekten, Budgetdaten und Pläne für finanzielle Transaktionen. Die dafür erforderliche Auskundschaftung kann Wochen oder Monate dauern. Dem Angreifer winkt allerdings potenziell ein weitaus höherer Gewinn als bei allgemeineren Angriffsmethoden, da es wesentlich länger dauern kann, bis die Zielperson den Angriff erkennt und die Zahlungen stoppt.

Sobald ein Angreifer die Zielperson davon überzeugt hat, mit ihm zu interagieren, kann er weitere schädliche Aktionen durchführen, z. B. die Bezahlung gefälschter Rechnungen verlangen, die Details von Abrechnungskonten manipulieren oder sensible Informationen über das Zielunternehmen sammeln.

In dem obigen Diagramm ist eine VEC-Angriffssequenz dargestellt, bei der der Angreifer das E-Mail-Konto eines externen Dienstleisters infiltriert, um betrügerische Zahlungsforderungen vorzunehmen.

Die Auswirkungen von VEC in der realen Welt

Bei einer Reihe von Angriffen in jüngster Zeit hat das FBI festgestellt, dass sich die Angreifer als in den USA ansässige Bauunternehmen ausgegeben haben. Diese Branche weist einen durchschnittlichen Jahresumsatz von 1,9 Bio.USD auf.Die Angreifer haben Nachforschungen zu den größten Bauunternehmen des Landes angestellt und sowohl öffentlich zugängliche als auch vertrauliche Daten über den Kundenstamm dieser Firmen gesammelt.

Dann haben sie mittels Domain-Spoofing E-Mail-Konten erstellt, von denen aus sie betrügerische Nachrichten an die anvisierten Unternehmen senden konnten. Darin wurde häufig eine Änderung der Bankverbindung gefordert. Mithilfe der VEC-Taktik, im Rahmen derer sie (anhand der zuvor gesammelten Informationen) E-Mail-Nachrichten, Rechnungsanforderungen und Änderungen bei der direkten Einzahlung auf jede Zielperson individuell zugeschnitten haben, konnten die Angreifer Unternehmen um „mehrere Hunderttausend bis Millionen USD“ betrügen.

Häufig dauerte es dem FBI zufolge „Tage oder Wochen“, bis die Opfer den Angriff überhaupt bemerkten. Die Möglichkeiten zur Wiederbeschaffung de Geldes hielten sich in Grenzen: Als ein Schulbezirk irrtümlich 840.000 USD an ein betrügerisches Bauunternehmen überwies, konnte er nur 5.000 USD zurückerlangen.

Wie man VEC-Angriffsversuche erkennt

Wie die meisten ausgefeilten Phishing-Angriffe sind auch VEC-Attacken schwer zu erkennen. Angreifer kombinieren oft mehrere Angriffsmethoden, um ihre Nachrichten authentisch erscheinen zu lassen – sei es durch das Fälschen der Domain eines seriösen externen Dienstleisters oder durch die Angabe von Details, die möglicherweise nicht öffentlich bekannt sind, als „Beweis“ der Legitimität.

Dass VEC-Angriffe in der Regel nicht entdeckt werden, hat im Wesentlichen drei Gründe:

1. Der wahre Lieferant oder Dienstleister bemerkt nicht, dass er kompromittiert wurde.

2. Die Kampagne erstreckt sich über einen längeren Zeitraum und mehrere E-Mail-Threads, wobei der größte Teil der Unterhaltung harmlos ist und keine bösartige Payload enthält.

3. Handlungsaufforderungen (z. B. zur Zahlung einer Dauerrechnung) werden nicht als verdächtig eingestuft, weil sie alltäglich und nicht dringlich erscheinen sollen.

Um VEC zu verhindern, benötigen Unternehmen einen Sicherheitspartner, der sie bei der Überprüfung eingehender E-Mails unterstützt und betrügerische Aktivitäten durchkreuzt. Einige hilfreiche Strategien zur Vorbeugung von VEC:

• Konfigurieren Sie die E-Mail-Einstellungen so, dass Phishing-Versuche erkannt und abgewehrt werden. Nutzen Sie strenge Sicherheitsprotokolle, um E-Mail-Nachrichten auf schädliche Inhalte zu scannen und gegebenenfalls entsprechend zu kennzeichnen.

  • Verwenden Sie E-Mail-Authentifizierungsprotokolle wie Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication Reporting and Conformance (DMARC), um E-Mail-Spoofing zu verhindern

  • Verwerfen Sie weniger sichere E-Mail-Protokolle wie POP, IMAP und SMTP.

  • Lassen Sie verdächtig erscheinende URLs mithilfe von Regeln des Systems zur Erkennung unerlaubten Eindringens (Intrusion Detection Systtem – IDS) kennzeichnen.

  • Verwenden Sie Multi-Faktor-Authentifizierung (MFA), um den Zugriff Dritter und Bitten um Änderungen auf Kontoebene (z. B. Zurücksetzen des Passworts) zu überprüfen.

• Prüfen Sie Transaktionsaufforderungen seitens Dritter.Überprüfen Sie alle Transaktionsinformationen und Kontodetails mit den entsprechenden Parteien, bevor Sie angeforderte Geldüberweisungen genehmigen. Darüber hinaus sollten Sie ein formelles Überprüfungs- und Genehmigungsverfahren einführen, wenn ein bestehender externer Dienstleister bzw. Lieferant seine Bankdaten geändert hat.

• Sorgen Sie dafür, dass Ihre Mitarbeitenden über neue Betrugsmaschen im Bilde sind. Zur Umgehung von Schutzmaßnahmen werden Phishing-Methoden ständig weiterentwickelt. Informieren Sie Ihre Beschäftigten regelmäßig über typische Anzeichen für gefährliche E-Mails, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern.

  • Setzen Sie die Anwendung aller von Ihrem Unternehmen zur Erkennung von E-Mail-basierten Angriffen entwickelten Abwehrmethoden und internen Verfahren durch.

  • Trainieren Sie die Nutzer, E-Mails auf typische Phishing-Elemente hin zu untersuchen, etwa Tippfehler in Domainnamen oder Hyperlinks, die Variationen echter URLs enthalten (z. B. „RealCo.com“ anstelle von „RealCompany.com“) .

  • Ermutigen Sie Ihre Mitarbeitenden zur Einhaltung von Best Practices in Sachen E-Mail: Unaufgefordert oder dringend erscheinende Anforderungen persönlicher oder finanzieller Informationen per E-Mail sollten beispielsweise nicht beantwortet werden.

VEC mit Cloudflare erkennen und verhindern

E-Mail-Sicherheit von Cloudflare schützt vor einer Vielzahl von Angriffen, einschließlich gezielter und langfristiger Versuche, E-Mails externer Lieferanten bzw. Dienstleister zu kompromittieren.Durch eine Kombination aus Webcrawling, Musteranalyse und modernsten Erkennungsverfahren durchsucht unser Produkt das Internet nach Infrastruktur von Angreifern. Außerdem analysiert es Nachrichten, um verdächtige Elemente zu identifizieren, und verhindert, dass Phishing-E-Mails das Postfach der Zielpersonen erreichen.

Dieser hochentwickelte E-Mail-Schutz wird durch das weltumspannende Netzwerk von Cloudflare unterstützt. Dieses blockiert täglich im Schnitt 209 Milliarden Cyberbedrohungen und stellt Unternehmen einzigartige Bedrohungsdaten bereit, mit denen sie gezielte Phishing-Angriffe und andere Cyberbedrohungen auf effektivere Weise herausfiltern können. Als Teil der Cloudflare Zero Trust-Plattform trägt die Lösung außerdem zu einem kontinuierlichem und umfassenden Schutz der Nutzer bei – gleichgültig, ob sich diese in der Firma oder im Homeoffice befinden.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Wie mit VEC-Angriffen Unternehmen infiltriert werden

• Die Warnzeichen für einen VEC-Angriff

• Strategien zur Erkennung und Unterbindung raffinierter Phishing-Betrügereien

Verwandte Ressourcen

• Phishing-Risikobewertung

• Webinar: Phishing und Kompromittierung von Geschäfts-E-Mails

• E-Mail-Sicherheitsbericht für 2021: Es begann mit einer Phishing-Mail

• Datenblatt: E-Mail-Sicherheit von Cloudflare