Letztes Jahr haben Cyberkriminelle der Stadt Peterborough, New Hampshire, mit Hilfe von E-Mail-Angriffen 2,3 Millionen Dollar gestohlen. Schlimmer noch, die Verluste werden auf zwei separate Angriffe derselben kriminellen Gruppe zurückgeführt, was bedeutet, dass die Finanzverwaltung von Peterborough den Schaden hätte minimieren können, wenn sie den Fehler früher bemerkt hätte.
Aber es gibt einen Grund, warum die Behörde die Nachrichten nicht hinterfragt hat. Die E-Mails konnten nicht nur die Filter umgehen, sie erschienen auch völlig legitim. Die Nachrichten enthielten keine grammatikalischen Fehler, unbekannte Absender oder verdächtige Links, die man vielleicht mit bösartigen E-Mails assoziiert. Mit ein paar strategisch platzierten Nachrichten gaben sich die Angreifer erfolgreich als Schulbezirk und später als Bauunternehmen aus und zweigten Millionen von städtischen Geldern auf ihre eigenen Konten ab.
Die Finanzverwaltung von Peterborough war Opfer eines sehr gezielten, schwer zu entdeckenden Betrugs namens Business Email Compromise (BEC; Übernahme geschäftlicher E-Mail-Konten) geworden.
BEC ist eine Phishing-Taktik, die nicht auf bösartigen Links oder Malware beruht. Die Angriffe bestehen oft aus einer oder zwei E-Mails, in denen der Angreifer vorgibt, eine bekannte und vertrauenswürdige Person zu sein, z. B. ein Lieferant, ein Angestellter usw.. So soll der Empfänger dazu gebracht werden, Geld auf ein Konto zu überweisen, über das der Angreifer verfügt.
Aufgrund seiner gezielten Ausrichtung ist BEC nicht die häufigste Art von E-Mail-Angriffen, aber sie kann eine der verheerendsten sein. In einer Stichprobe von 31 Millionen E-Mail-basierten Bedrohungen stellte Cloudflare fest, dass BEC-Angriffe mit 1,34 % das geringste Volumen aller Angriffsarten hatten. Allerdings waren sie für geschätzte Verluste in Höhe von 354 Millionen Dollar verantwortlich, wobei die einzelnen Verluste im Durchschnitt bei etwa 1,5 Millionen Dollar lagen.
Während Angreifer immer geschickter darin werden, Vertrauen auszunutzen, sind herkömmliche E-Mail-Sicherheitsmaßnahmen nicht geeignet, BEC zu verhindern. Um sich und ihre Mitarbeitenden zu schützen, benötigen Unternehmen vielmehr moderne, proaktive Strategien. Zum Beispiel kann die präventive Identifizierung und Neutralisierung der Infrastruktur von Angreifern BEC-Angriffe blockieren, bevor sie zuschlagen. Gleichzeitig kann die Kontextanalyse Nachrichten kennzeichnen, die die Filter umgehen oder von internen, kompromittierten Konten stammen. Die Modernisierung der E-Mail-Sicherheit mit Strategien wie diesen kann Unternehmen vor diesen kostspieligen Angriffen schützen.
Herkömmliche E-Mail-Sicherheitsstrategien sind nicht für BEC-Angriffe ausgelegt und machen Unternehmen letztlich angreifbar. Zu diesen Taktiken zählen:
Integrierte Filter und sichere E-Mail-Gateways (SEGs): Integrierte E-Mail-Filter von Anbietern wie Microsoft oder Google eignen sich eher zur Erkennung von Spam als BEC-Versuchen. Sichere E-Mail-Gateways (SEGs) filtern ebenfalls verdächtige E-Mails heraus. Sie haben aber auch Schwierigkeiten, BEC zu erkennen und weisen erhebliche Überschneidungen mit den integrierten E-Mail-Funktionen auf (wodurch sie auch überflüssig sind).
E-Mail-Authentifizierung: Die Einrichtung von SPF- (Sender Policy Framework), DKIM- (DomainKeys Identified Mail) und DMARC-Einträgen (Domain-based Message Authentication Reporting and Conformance) kann helfen, E-Mail-Spoofing zu verhindern. Diese Maßnahmen wirken jedoch nicht gegen E-Mails von legitimen Konten, wie sie bei BEC üblich sind.
Die Wachsamkeit der Mitarbeitenden: Cloudflare hat festgestellt, dass 92 % der von Nutzern gemeldeten E-Mails als nicht bösartig eingestuft werden. Diese hohe Anzahl von Fehlalarmen führt zu einer Ermüdung der Sicherheitsverantwortlichen.
Die Besonderheiten von BEC-Betrug und der Schaden, den er verursacht, variieren je nach Typ, aber alle nutzen das Vertrauen aus:
Gefälschter Absender oder gefälschte Domain: Diese E-Mails benutzen eine Führungskraft als Köder. Der Angreifer fälscht entweder den Namen der Führungskraft und/oder die Domain des ins Visier genommenen Unternehmens. Dann gibt sich der Angreifer als leitender Angestellter aus und fordert einen Mitarbeitenden auf, eine Finanztransaktion durchzuführen, z. B. Geld zu überweisen oder Geschenkkarten zu kaufen.
Kompromittiertes Mitarbeiterkonto: Noch etwas raffinierter ist diese Art der internen Kontoübernahme, bei der ein kompromittiertes Mitarbeiterkonto als Einstiegspunkt verwendet wird. Der Angreifer übernimmt das Konto eines Mitarbeitenden (in der Regel durch gestohlene Passwörter), gibt sich als Mitarbeitender aus und bittet einen Kollegen (das Opfer) um Hilfe beim Abschluss einer finanziellen Transaktion.
Sich als Anbieter/Lieferant ausgeben: Bei diesem Angriff gibt sich ein Cyberkrimineller als Lieferant oder Anbieter aus, der eine Beziehung zu dem ins Visier genommene Unternehmen unterhält. Da sich der gefälschte Absender außerhalb des Unternehmens befindet, bemerken unvorsichtige Opfer die Warnzeichen möglicherweise nicht.
Kompromittierter Anbieter / infiltrierter Lieferant: Hierbei handelt es sich um die raffinierteste Art von BEC, deren Ausführung Monate dauern kann. Diese Angriffe kompromittieren zunächst einen Partner oder Lieferanten in der Supply Chain durch die Übernahme eines oder mehrerer E-Mail-Konten. Der Angreifer beobachtet unbemerkt legitime E-Mail-Gesprächsverläufe (E-Mail-Threads) und schaltet sich dann im richtigen Moment in die Konversation ein, um Zahlungsanfragen an ein vom Angreifer kontrolliertes Konto weiterzuleiten. Bei einigen dieser Angriffe auf die Supply Chain erfährt das Opfer möglicherweise erst bei einem späteren Audit, dass es einen finanziellen Schaden erlitten hat.
Alle diese Angriffsarten können bestimmte Merkmale gemeinsam haben, darunter Social Engineering und das Erzeugen von Dringlichkeit. Die Angreifer manipulieren den Empfänger, damit er ihnen nicht nur vertraut, sondern auch schnell handelt, bevor er Verdacht schöpft. Oft werden Gründe genannt, warum der Empfänger keine Folgefragen stellen sollte, bevor er die angeforderte Aufgabe erledigt hat. Eine angeblich vom Geschäftsführer stammende Angriffs-E-Mail kann beispielsweise besagen, dass er einen Flug nimmt und für einige Stunden nicht erreichbar sein wird.
Erschwerend kommt hinzu, dass die sehr gezielten Angriffe mit geringem Volumen oft die bestehenden E-Mail-Filter umgehen, die zur Datenerhebung auf ein hohes Angriffsvolumen angewiesen sind. Damit Bedrohungsrichtlinien funktionieren, benötigen E-Mail-Filter diese Daten, um zu „lernen“, dass Dinge wie Domains, IPs und Malware als verdächtig eingestuft werden sollten. Dies hilft zwar, herkömmliche Spam-Nachrichten herauszufiltern, reicht bei der Präzision von BEC-Angriffen allerdings nicht aus. Angreifer können brandneue E-Mail-Adressen erstellen, Domains fälschen oder legitime E-Mail-Konten übernehmen – alles Dinge, die von den eingebauten E-Mail-Sicherheitsfunktionen wahrscheinlich nicht erfasst würden.
Um BEC-Angriffe wirksam zu bekämpfen, sollten Unternehmen ihre Strategien an den folgenden Grundsätzen ausrichten:
Proaktive Verteidigung: Anstatt darauf zu warten, dass böswillige E-Mails im Posteingang der Mitarbeitenden landen, kann eine vorausschauende Technologie die Infrastruktur des Angreifers – wie brandneue E-Mail-Adressen oder betrügerische Domains – erkennen und den Absender präventiv blockieren. Dies kann das Risiko verringern, dass ein Mitarbeitender auf die E-Mail eines Angreifers eingeht, bevor sie entdeckt wird.
Kontextuelle Analyse: Die Technologie zur Verarbeitung natürlicher Sprache (Natural Language Processing - NLP) kann beispielsweise die Stimmung in der Nachricht analysieren, was helfen kann, „Dringlichkeit-vermittelnde“ Sprache zu erkennen. Darüber hinaus kann die Computer-Vision-Technologie dabei helfen, Phishing-Websites zu erkennen, die Angriffe häufig ergänzen. Weitere Lösungen sind die Thread-Analyse (Analyse des Gesprächsverlaufs) – die hilfreich sein kann, wenn Angreifer in einen bestehenden Gesprächsverlauf eingreifen – und die Analyse von Absenderprofilen, um festzustellen, welches Risiko sie darstellen.
Kontinuierlicher Schutz: Es reicht nicht aus, Nachrichten bei ihrem Eintreffen herauszufiltern, vor allem, weil stets einige E-Mails die Filter umgehen. Außerdem sind bösartige E-Mails oft nur ein Teil eines größeren Angriffs, so dass ein Schutz über den Posteingang hinaus wichtig ist. Wenn zum Beispiel eine bösartige E-Mail an den Filtern vorbeikommt und ein Mitarbeitender auf einen verdächtigen Link klickt, könnte die Webseite in einem isolierten Remote-Browser geladen werden, wodurch der Mitarbeitende und sein Gerät geschützt werden. Diese Art des kontinuierlichen Schutzes ist notwendig, um ganzheitlichere Sicherheitsstrategien wie Zero Trust durchzusetzen.
Multimodus-Bereitstellung: E-Mail-Sicherheitslösungen wie SEGs müssen inline eingesetzt werden, was bedeutet, dass der Mail-Exchange-Eintrag (ein DNS-Eintrag, der E-Mails an Mailserver weiterleitet) geändert werden muss. Diese Methode eignet sich am besten für externe E-Mails, da sie sich vor den Posteingang des Mitarbeitenden setzt und alle ein- und ausgehenden E-Mails überprüft. Über API bereitgestellte Lösungen sind dagegen in der Regel schneller einzurichten. Ein reiner API-Ansatz hat jedoch den Nachteil, dass er einem Angriff nicht zuvorkommt. So besteht die Gefahr, dass ein Mitarbeitender auf eine E-Mail reagiert, bevor sie neutralisiert wird. Eine Multimodus-Bereitstellung (oder eine, die eine Inline- oder API-Bereitstellung unterstützt) ist am besten, da sie Teams vor internen und externen Bedrohungen sowie vor und nach der Bereitstellung von Nachrichten schützen kann.
Zukunftssicherheit und Automatisierung: Suchen Sie nach Lösungen, die nicht auf Hardware angewiesen sind (die möglicherweise kostspielig gewartet werden muss oder im Laufe der Zeit veraltet), die Vorfallsberichte automatisch verarbeiten (was den Sicherheitsteams Zeit zurückgibt) und die keine umfangreiche manuelle Erstellung von Bedrohungsrichtlinien erfordern (was den Schutz verlangsamen und nie alle möglichen Bedrohungen vollständig berücksichtigen kann).
Eine moderne E-Mail-Sicherheitsstrategie, die auf diesen Grundsätzen aufbaut, bietet umfassenden Schutz vor BEC-Angriffen und anderen Formen von Phishing in allen Phasen des Angriffszyklus, um Unternehmensressourcen und -daten besser zu schützen.
Cloudflare bietet Cloud-native E-Mail-Sicherheit, die proaktiv die Infrastruktur von Angreifern identifiziert und gleichzeitig kontinuierlichen Schutz vor BEC und anderen Formen von E-Mail-Angriffen bietet.
Als Teil der Cloudflare Zero Trust-Plattform – die Anwendungen und das Surfen von Mitarbeitenden sichert, um Malware, Phishing und Datenverluste zu verhindern – entfernt die Integration von E-Mail-Sicherheit mit Zero Trust-Diensten implizites Vertrauen aus E-Mails, um Kunden dabei zu helfen, BEC- und Phishing-Angriffe zu stoppen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Folgende Informationen werden in diesem Artikel vermittelt:
Ursachen für die Zunahme von BEC-Angriffen
Abgrenzung zwischen BEC-Angriffen und Spam
Warum traditionelle E-Mail-Sicherheitsstrategien gegen BEC-Angriffe nichts ausrichten
Wie man E-Mail-Sicherheitsstrategien auf den neuesten Stand bringt und BEC verhindert
Erfahren Sie mehr über einen proaktiven Ansatz für E-Mail-Sicherheit mit Cloudflare.