Die CEO-Betrugsmasche (Business Email Compromise - BEC) ist heutzutage eine der größten Bedrohungen aus dem Cyberspace für Unternehmen. Um diese Angriffe und deren Muster besser zu verstehen und dieser Bedrohung direkt zu begegnen, hat Proofpoint eine umfangreiche Untersuchung hinsichtlich Angriffsversuche bei über 5.000 Unternehmenskunden durchgeführt, die zwischen Juli und Dezember 2016 auf Firmen und Organisationen in den USA, Kanada, Deutschland, Frankreich und Großbritannien verübt wurden. Dabei kam heraus, dass sowohl die Zahl der Angriffe steigt als auch die Betrugsmails immer intelligenter formuliert und die Angriffe ausgeführt werden.
BEC-Angriffe enthalten dabei in der Regel keinerlei schädlichen Code, den Virenscanner erkennen und blockieren oder unschädlich machen könnten, beispielsweise in Dateianhängen oder dem Verweis auf verdächtige Webseiten. Diese Emails fordern vielmehr den Empfänger auf, Geld zu überweisen oder sensible Daten an den Absender, den Cyberkriminellen, zu versenden. Angriffe mit der CEO-Betrugsmasche sehen für den Empfänger aus wie ganz normale Emails aus dem Alltag. Die Angreifer adressieren dabei auch den ganz normalen Mitarbeiter im Unternehmen. Die Kriminellen variieren dabei permanent ihre Vorgehensweisen.
Was unsere Experten bei der Analyse herausgefunden haben:
Betrüger greifen Unternehmen aller Größen an
Auf Grund des Anstiegs der Angriffe kann wirklich jedes Unternehmen, vom Kleinunternehmen bis zum global agierenden Großkonzern unabhängig vom Herkunftsland davon ausgehen, im Fadenkreuz der BEC-Attacken zu stehen. Dieser Anstieg lag allein im Drei-Monatsvergleich Juli bis September 2016 und Oktober bis Dezember 2016 bei 45 Prozent. Bei unseren Kunden waren drei von vier Unternehmen mindestens ein Mal Ziel solcher Angriffe. Zudem ist uns bei der Analyse aufgefallen, dass zwar alle Branchen betroffen sind, der Schwerpunkt aber auf den Marktsegmenten Fertigung, Einzelhandel und dem Technologiesektor liegt. Der Grund hierfür dürfte in den doch eher komplexen Lieferketten und SaaS-Infrastrukturen dieser Branchen liegen.
Ausnutzen der „richtigen“ Mitarbeiter
Über so genanntes Social Engineering können die Betrüger heutzutage ganz genau ihre potenziellen Opfer identifizieren, mit deren Rolle im Unternehmen, je nachdem ob sie auf der Jagd nach Informationen, Wissen oder Geld sind. Ursprünglich waren die BEC-Attacken hauptsächlich auf die Beziehung zwischen CEO und CFO aus, doch dank der Analyse wissen wir, dass die Kriminellen längst andere Mitarbeiter(ebenen) ins Visier genommen haben. Sie täuschen vor, beispielsweise der CEO oder ein anderes Mitglied der Führungsebene des Unternehmens zu sein, um – je nach Ziel – unterschiedliche Mitarbeitergruppen zu entsprechenden Handlungen aufzufordern, beispielsweise das Rechnungswesen um Geld zu überweisen, die Personalabteilung für vertrauliche, persönliche Mitarbeiterdaten oder Forschung und Entwicklung, um geistiges Eigentum zu stehlen. Besonders dreist: Die Angreifer wollen Druck aufbauen, dass der betroffene Mitarbeiter nicht zögert und nutzen in sieben von zehn Fällen im Betreff Begriffe wie „dringend“ (urgent), „Zahlungsanweisung“ (payment) oder „Anfrage“ (request).
Technik der Email Betrüger: Domain Spoofing verzeichnet starken Anstieg
Domain Spoofing, also die Verschleierung der wahren Absender-Adresse durch eine andere, wird in zweidrittel aller untersuchten BEC-Angriffe eingesetzt und ist die verbreitetste Form der Vorgehensweise bei den Cyberkriminellen. Diese Emails, natürlich inklusive des Absenders, sehen für den Empfänger vertrauenswürdig aus, sind es de facto jedoch nicht. Teilweise entwickelt sich daraus sogar ein scheinbar legitimer Dialog mit dem ursprünglichen Absender. Dabei wird jedoch die Antwort-Email umgeleitet. Genauso beliebt ist, das ein falscher Name als Absender erscheint – in 37 Prozent aller Fälle sind wir darauf gestoßen. Außerdem verändern die Betrüger den sichtbaren Header der Mail. Mit diesen Tricks erscheinen BEC-Attacken für den Anwender wie echte, legitime Emails. Weitere Tricks sind vertauschte Buchstaben oder Ziffern in einer Domain, so dass sich diese auf den ersten Blick kaum von der Domain unterscheidet, die der Absender als vertrauenswürdig, vielleicht sogar als die seines Unternehmens kennt. Die gleiche Vorgehensweise kommt auch zur vorgetäuschten Kommunikation mit Geschäftspartnern zum Einsatz.
Mit Proofpoint kann man diese Herausforderungen erfolgreich begegnen
Wir von Proofpoint haben eine umfassende, mehrstufige Lösung entwickelt, um nahezu jeder BEC-Bedrohung Paroli zu bieten. Wir nutzen die DMARC-Authentifizierung als Basis, um in den digitalen Postfächern unserer Kunden alle Mails zu blockieren, die vortäuschen, von einem vertrauenswürdigen Absender zu stammen. Anti-Spoofing-Regeln und dynamische Klassifizierung beenden das Vortäuschen falscher Absender oder falscher Domains bereits beim Posteingang. Dank unserer Sicherheitsexperten können wir natürlich auch Mails identifizieren und blockieren, die sensitive Informationen, wie sie beispielsweise in Steuerformularen benötigt werden, enthalten und den Versand dieser aus dem Unternehmen verhindern. Durch den Schutz vor der CEO-Betrugsmasche schützen unsere Kunden nicht nur ihre Mitarbeiter und ihren guten Ruf, sondern tragen auch zum Schutz der Partnerunternehmen und Kunden bei.
Weitere interessante Informationen zum Thema Business Email Compromise / CEO-Betrugsmasche finden sich hier: www.proofpoint.com/bec.