Zero Trust Networks

Verborgene Risiken: Lieferkettenangriffe erkennen und abwehren

Share with your network!

Wenn Sie den Begriff „Lieferkettenrisiken“ hören, denken Sie möglicherweise an Versorgungsengpässe. Es gibt jedoch auch verborgene Risiken, die ebenso große oder eventuell noch größere finanzielle Folgen haben können.

Dazu zählen kriminelle Akteure, die Ihre vertrauenswürdigen Geschäftspartner für ihre Zwecke missbrauchen. Sobald die Angreifer Zugang zu Ihrem Unternehmen erlangt haben, erfassen sie Daten, die sie später für Erpressungsversuche oder Ransomware-Angriffe nutzen können. Häufig versuchen sie zudem, Geld mithilfe von BEC-Betrugsversuchen (Business Email Compromise) zu erbeuten.

BEC losses

Abb 1: Die 2,4 Milliarden US-Dollar bedeuten eine Zunahme der Verluste um 24,8 % in nur einem Jahr. Quelle: FBI-Bericht zu Internetkriminalität 2021.

Angriffe auf Lieferanten nehmen weiter zu. Eine aktuelle Proofpoint-Analyse von 4.600 Unternehmen ergab, dass rund 85 % von ihnen in einem einwöchigen Zeitraum (der bis zum 31. Januar 2023 dauerte) Lieferanten-E-Mail-Angriffe verzeichneten. Interessanterweise waren die Zahlen in allen Regionen, Branchen und unabhängig von der Unternehmensgröße gleich.

Sehen wir uns die Ergebnisse genauer an. Die gängigsten Taktiken bei Lieferkettenangriffen waren Phishing- oder Imposter-Angriffe (85 %). Mehr als drei Viertel der Angriffe (78 %) erfolgten äußerst gezielt, d. h. die Angreifer warfen kein weites Netz aus, sondern konzentrierten sich auf ganz bestimmte Personen (weniger als fünf Kunden erhielten die gleiche Bedrohung).

85% of threats being phishing or imposter and 78% of threats being highly targeted

Abb. 2: Anteil von Phishing- und Impostor-Bedrohungen sowie äußerst gezielten Angriffen. Quelle: Proofpoint

Hier ist eine weitere beunruhigende Erkenntnis: Von den 4.577 analysierten Unternehmen arbeiteten 96 % mit mindestens einem Lieferanten zusammen, der eine aktive Doppelgänger-Domain hatte.

Wie sehen Lieferanten-Angriffe aus – und wie können Sie Ihr Unternehmen besser davor schützen?

Bedrohungsakteure nutzen die bestehenden Finanzbeziehungen zwischen Unternehmen und ihren Lieferanten aus. Häufig vereinbaren Lieferanten Bedingungen oder Zahlungen per E-Mail. Wenn sich kriminelle Akteure zum richtigen Zeitpunkt in den E-Mail-Austausch einschalten oder eigenständig E-Mails als nachgeahmte Personen verschicken, erhöhen sie ihre Chance, Zahlungen oder Waren zu erbeuten. Dies gilt besonders, wenn sie über ein legitimes Konto kommunizieren, das kompromittiert wurde.

Common tactics used in supply chain attacks

Abb. 3: Gängige Taktiken bei Lieferkettenangriffen.

Nachfolgend sind einige Taktiken beschrieben, auf die Sie achten sollten:

  • Domain-Spoofing (oder E-Mail-Spoofing): Angreifer fälschen E-Mail-Adressen, um die Empfänger zu der Annahme zu verleiten, die Nachrichten kämen von einer vertrauenswürdigen Person oder Firma. Wenn E-Mail-Quellen von Ihrem System nicht auf Authentizität überprüft werden, kann E-Mail-Spoofing unerkannt bleiben.
  • Doppelgänger-Domains: Diese Domains sind legitimen Domains sehr ähnlich und sollen die Benutzer täuschen, die sich Adressen nicht sorgfältig ansehen. Ein krimineller Akteur könnte beispielsweise eine Doppelgänger-Domain von goodomain.com oder goodddomain.com erstellen, um Kunden von gooddomain.com ins Visier zu nehmen.
  • Display Name-Spoofing: Dies ist eine weitere Methode, mit der Angreifer vertrauenswürdige Personen imitieren. In diesem Fall wird der Anzeigename der E-Mail so verändert, sodass es aussieht, als stamme die E-Mail von einem vertrauenswürdigen Absender. Ein Konto mit einem gefälschten Anzeigenamen zu erstellen ist relativ einfach. Diese Taktik auf Mobilgeräten zu erkennen ist besonders schwer, da die meisten mobilen E-Mail-Clients nur den Anzeigenamen und nicht die gesamte From-Adresse anzeigen.
  • Kompromittierte Lieferantenkonten: Kriminelle Akteure missbrauchen kompromittierte Partner- und Lieferantenkonten für BEC-Betrug, Phishing-E-Mails und Malware-Angriffe. In der Regel kann das Sicherheitsteam nicht erkennen, welche Lieferantenkonten kompromittiert sind, und ist auf Benachrichtigungen der Partner angewiesen. Dies kann dazu führen, dass die Untersuchungen mit einem hohen manuellen und zeitlichen Aufwand verbunden sind.

Ransomware, Zahlungsaufforderungen und Weiterleitungen

Häufig wollen Angreifer Geld erbeuten, indem sie Ransomware einsetzen oder ahnungslose Opfer dazu verleiten, direkt Geld an sie zu versenden. Kriminelle Akteure verschicken betrügerische Rechnungen oder bitten um die Zahlung auf ein anderes Konto, das von ihnen kontrolliert wird.

In Anbetracht der hohen Beträge, die bei Lieferantenrechnungen anfallen, sind diese Betrügereien für die betroffenen Unternehmen oft mit den höchsten Kosten verbunden. Alle Zahlungsaufforderungen oder Änderungen bei Zahlungsweisen sollten gründlich überprüft und telefonisch bestätigt werden.

Die Bedeutung einer proaktiven Überwachung

Selbst von bestens geschulten Anwendern ist es unrealistisch zu erwarten, dass sie jeden möglichen Lieferanten-E-Mail-Angriff erkennen und verhindern. Hier kann Technologie erhebliche Vorteile bieten.

  • Proofpoint Supplier Threat Protection: Die Proofpoint-Lösung bietet dank der Überwachung von externen Parteien und Lieferanten eine zusätzliche Schutzebene, um kompromittierte Konten zu erkennen. Mittels hochentwickelter Verhaltensanalysen, künstlicher Intelligenz (KI) und Machine Learning werden kompromittierte Konten frühzeitig erkannt und entsprechende Schutzmaßnahmen ergriffen – selbst wenn die Lieferkettenangriffe noch nicht gegen Ihr Unternehmen gerichtet waren.

Notable senders

Abb. 4: Informationen über kompromittierte Konten im Proofpoint Supplier Threat Protection-Dashboard.

  • Proofpoint Domain Discover: Das Erkennungssystem führt kontinuierliche Analysen neu registrierter Domains durch und hilft Ihnen, Doppelgänger-Domains zu identifizieren und gegen die Domains vorzugehen, die von Angreifern für Betrugsversuche gegen Ihre Mitarbeiter, Kunden und Partner genutzt werden. Die von Proofpoint Domain Discover erfassten Daten können verwendet werden, um die von Ihnen ausgelösten virtuellen Stilllegungen zu unterstützen und schädliche Domains auf Blocklists zu setzen.
  • Proofpoint Nexus People Risk Explorer: Die Lösung identifiziert automatisch Ihre Lieferanten und die Domains, über die sie E-Mails an Ihre Anwender schicken. Proofpoint Nexus Supplier Risk Explorer stuft anschließend das Risiko dieser Lieferanten-Domains ein, wobei unter anderem folgende Faktoren bewertet werden:
    • An Ihr Unternehmen verschickte Bedrohungen
    • An andere Proofpoint-Kunden verschickte Bedrohungen
    • Doppelgänger-Domains der Lieferanten
    • Ob Domains kürzlich registriert wurden
    • Ob Domains über eine DMARC-Richtlinie zur E-Mail-Ablehnung verfügen

Proofpoint supplier risk explorer dashboard showing domain details risk levels

Abb. 5: Proofpoint Supplier Risk Explorer-Dashboard mit Details zu Domains und Risikostufen.

Lieferanten-Domains, die aktiv schädliche E-Mails an Ihre Anwender schicken, rücken auf der Liste ganz nach oben, sodass Ihr Sicherheitsteam seine Maßnahmen auf die riskantesten Lieferanten konzentrieren kann.

Verbessern Sie Ihren Schutz vor Lieferkettenangriffen

Lieferkettenangriffe werden zunehmend häufiger und raffinierter. Um sich davor zu schützen, muss Ihr Unternehmen in Technologien und Schulungen investieren.

Profitieren Sie von einer Partnerschaft mit einem branchenführenden Unternehmen, das die Erfahrung und Kompetenz besitzt, um die meisten Angriffe zu erkennen und zu blockieren, noch bevor sie den Posteingang der Anwender erreichen. Schulen Sie zudem Ihre Anwender darin, Nachrichten zu erkennen, die nicht blockiert werden.

Die Proofpoint Threat Protection-Plattform unterstützt Sie bei der Verbesserung von Schutzmaßnahmen vor Lieferkettenangriffen und umfasst Proofpoint Advanced Threat Protection, Proofpoint Security Awareness Training, Proofpoint Email Fraud Defense und Proofpoint Supplier Threat Protection.