24.10.2023
Business-Kommunikation als Angriffsziel
1. Teil: „Befehl und Gehorsam als Risiko“
Befehl und Gehorsam als Risiko
Autor: Oliver Schonschek
Shutterstock / VideoFlow
Die Schäden durch Business Email Compromise (BEC) sind höher als bei Ransomware. Dank KI steigt die „Erfolgsquote“ von BEC weiter an.
Kaum jemand widerspricht gerne der Geschäftsleitung oder der scheinbaren Anordnung einer Behörde. Dieses Gefühl, gehorchen zu müssen, nutzen Cyberkriminelle schon seit Jahren aus. Es ist nicht leicht, unter gefühltem Druck vernünftig zu entscheiden, und so begehen die Opfer folgenschwere Fehler, die die betroffenen Unternehmen Millionen von Euro kosten können. Die wirtschaftlichen Schäden dabei können weitaus höher sein als bei Ransomware. Prominente Beispiele für betrügerische E-Mail-Attacken, auch Business Email Compromise (BEC) genannt, gibt es leider viele.
BKA warnt vor Mails mit Absender BKA
So warnt zum Beispiel das BKA regelmäßig, dass E-Mails vermeintlicher Polizeibehörden kursieren, in denen arglosen Bürgerinnen und Bürgern angeblich begangene Straftaten vorgeworfen werden. Gegen die Zahlung eines Geldbetrages etwa könne die/der Adressierte eine Strafverfolgung abwenden oder seine Stellungnahme zu dem Vorwurf an eine E-Mail-Adresse richten. Nicht selten sind vermeintliche Beweise als Datei der E-Mail beigefügt. Entsprechend appelliert das BKA: „Kommen Sie dieser Aufforderung nicht nach. Hier handelt es sich vermutlich um den Versuch, Ihre Daten für die Begehung weiterer Straftaten auszuspähen. Öffnen Sie auf keinen Fall das anhängige PDF-Dokument. Dieses könnte Schadsoftware enthalten und so Ihr Endgerät infizieren, um sodann weitere Straftaten zu begehen“:
Hohe Schäden durch CEO Fraud
Um möglichst hohe Erfolgsquoten zu erzielen, setzen viele BEC-Attacken auf der CEO-Ebene an, man spricht dann von CEO Fraud. Wie Europol kürzlich berichtete, hatte es ein kriminelles Netzwerk auf in Frankreich ansässige Unternehmen abgesehen. Einer der Kriminellen gab sich als CEO eines auf Metallurgie spezialisierten Unternehmens im Nordosten Frankreichs aus. Der Betrüger forderte den Buchhalter des Unternehmens auf, eine dringende und vertrauliche Überweisung von 300.000 Euro an eine Bank in Ungarn vorzunehmen. Der Betrug wurde einige Tage später aufgedeckt, als der Buchhalter, der glaubte, im Namen des CEO des Unternehmens zu handeln, versuchte, eine weitere Überweisung in Höhe von 500.000 Euro vorzunehmen. Diese wurde dann jedoch hinterfragt.
Betrugsmails werden professioneller
Früher lautete die Sicherheitsempfehlung, bei E-Mails auf Rechtschreibfehler und nicht nachvollziehbare Begründungen für Zahlungsaufforderungen zu achten. Diese Zeiten sind vorbei. Inzwischen sind die Betrugsmails in perfekter Sprache und mit viel Hintergrundwissen verfasst, sie wirken sehr realistisch und haben dadurch noch mehr kriminellen Erfolg als früher.
Möglich wird diese Raffinesse durch eine genaue Vorbereitung und zielgerichtete Ausführung, die Betrugsmail ist auf das jeweilige Opfer zugeschnitten. Leider liefern oft das betroffene Unternehmen und die Zielpersonen die für die nahezu perfekte Täuschung erforderlichen Informationen selbst, auf den Webseiten des Unternehmens und in den sozialen Netzwerken im Internet.
Als Absender verwenden die Kriminellen entweder sehr ähnlich aussehende Absenderadressen oder stellen einfach die Absenderangabe so dar, dass die Nachricht scheinbar von der oder dem CEO kommt. Erst ein genauerer Blick in die meist versteckten Kopfzeilen (Header) der Mail würde zeigen, dass die Nachricht von einem Dritten stammt.
2. Teil: „BEC wird häufiger und wandelt sich“
BEC wird häufiger und wandelt sich
Der Bericht „Defending the Enterprise: The Latest Trends and Tactics in BEC Attacks“ von Osterman Research zeigt, dass die Bedrohung durch BEC von Jahr zu Jahr zunimmt und inzwischen doppelt so hoch ist wie die Bedrohung durch Phishing im Allgemeinen. Über 93 Prozent der Unternehmen erlebten demnach in den letzten zwölf Monaten eine oder mehrere BEC-Angriffsvarianten, wobei 62 Prozent in diesem Zeitraum mit drei oder mehr Angriffsvarianten konfrontiert waren.
Die Studie zeigt zudem: Gefälschte Rechnungen, Datendiebstahl und Kontoübernahme sind die häufigsten Arten von BEC-Angriffen. Jedes fünfte Unternehmen hat in den letzten zwölf Monaten solche BEC-Angriffe erlebt. Die Angreifenden nutzen auch neue Kanäle für BEC-Angriffe. Ein erheblicher Prozentsatz der Unternehmen berichtet, dass sie häufig auf neuere Arten von BEC-Angriffen stoßen, darunter betrügerische SMS-Nachrichten (36 Prozent), Verbindungsanfragen in sozialen Medien (28 Prozent) und Telefonanrufe (22 Prozent).
Der Bericht „The Freedom to Communicate and Collaborate: Challenges in Securing an Overabundance of Tools“ der Enterprise Strategy Group (ESG) zeigt, dass auch und gerade die neuen Arbeitsformen BEC-Angriffe noch einfacher machen. Da immer mehr Unternehmen auf Remote-Arbeitsmodelle umsteigen, sind diese Organisationen nun auf zusätzliche Methoden der digitalen Kommunikation über E-Mail hinaus angewiesen. Der Umfrage zufolge nutzen 47 Prozent der Befragten sechs bis zehn Kommunikations- und Kollaborationstools parallel, wobei Videokonferenzen am häufigsten eingesetzt werden (80 Prozent), gefolgt von E-Mail (77 Prozent) und Messaging (71 Prozent).
BEC geht weit über E-Mails hinaus
Das FBI berichtet zum Beispiel von einer Zunahme von BEC-Angriffen im Zusammenhang mit der Nutzung virtueller Meeting-Plattformen. Kriminelle kompromittieren zum Beispiel die E-Mail-Adresse eines CEO und fordern Mitarbeiter auf, an einer virtuellen Sitzung teilzunehmen, bei der die Kriminellen ein Standbild des CEO einfügen und einfach behaupten, dass das Video nicht richtig funktioniert. Anschließend weisen sie die Mitarbeiter an, Geldtransfers über den Chat der virtuellen Meeting-Plattform oder in einer Folge-E-Mail zu veranlassen.
Dank immer leistungsstärkerer und leicht zugänglicher KI ist es aber auch möglich, bei den virtuellen Meetings mit „Deep Fakes“ zu arbeiten, also täuschend echt wirkenden, manipulierten Audio- oder Videoaufnahmen. Hier zeigt sich: Auch wenn in BEC das Wort E-Mail steckt, hindert das die Internetkriminellen nicht, auch über Video-Chats ihre Betrugsmaschen zu versuchen. Für die IT-Sicherheit stellt diese Flexibilität der Kriminellen eine große Herausforderung dar, denn wenn Unternehmen einen Phishing-Schutz einsetzen, dann bisher in aller Regel nicht für Video-Chats.
3. Teil: „Mehrschichtiger, intelligenter Schutz gegen die BEC-Attacken“
Mehrschichtiger, intelligenter Schutz gegen die BEC-Attacken
Die zunehmende Professionalisierung bei den Betrugsversuchen, die Unterstützung der Angriffsversuche durch missbrauchte KI und die Ausweitung der Angriffswege auf Kanäle jenseits von E-Mail machen überdeutlich, dass klassische Anti-Phishing-Filter im E-Mail-Programm kaum noch ausreichen. Die Erkennung und Abwehr von BEC-Angriffen erfordert neue Ansätze in den Security-Prozessen, -Technologien und Mitarbeiter-Schulungen. Auf dem Markt gibt es insbesondere neue Schutzlösungen, die selbst Künstliche Intelligenz nutzen, um die durch die KI der Gegenseite verbesserten Attacken abzuwenden.
Die Proofpoint Aegis Threat Protection Platform zum Beispiel ist eine KI-gestützte Plattform, die verspricht, Angriffe wie Business Email Compromise (BEC) abwehren zu können. Proofpoint hat dazu firmeneigene Verhaltensanalysen und Bedrohungsdaten für Funktionen wie Supplier Threat Protection kombiniert, die einen Einblick in Angriffe ermöglichen, bei denen es die Cyberkriminellen auf Kontoübernahmen abgesehen haben, um mit gestohlenen Identitäten die Erfolgsquote ihrer Attacken zu erhöhen.
Mit Proofpoint Supplier Threat Protection sollen Unternehmen gefährdete Lieferantenkonten erkennen, so dass Sicherheitsteams sie schnell untersuchen und reagieren können. Die Lösung überwacht dazu aktiv bekannte kompromittierte Konten von Drittanbietern. Es vereinfacht laut Anbieter die Prüfung mithilfe von Details dazu, warum das Konto mutmaßlich kompromittiert wurde und welche Mitarbeiter kürzlich mit dem fraglichen Konto kommuniziert haben. Auf diese Weise können Sicherheitsteams ihr Unternehmen gegen weit verbreitete Angriffe über Dritte wie BEC und Phishing besser verteidigen, so Prrofpoint.
Ein weiteres Beispiel: Um der aufkommenden Welle von KI-generierten E-Mail-Bedrohungen entgegenzuwirken, hat Perception Point ein neuartiges Erkennungsmodell entwickelt. Es ermöglicht, eindeutige Muster in KI-generiertem Text zu identifizieren, ein entscheidender Faktor bei der Erkennung und Abwehr von KI-basierten Bedrohungen, so der Anbieter. „Inmitten einer immer komplexer werdenden Bedrohungslandschaft besteht ein dringender Bedarf an hochmodernen Abwehrmaßnahmen gegen KI-gestützte Bedrohungen“, betont Tal Zamir, CTO von Perception Point. „Indem wir die Dynamik umkehren und KI proaktiv zur Erkennung einsetzen, können wir diese Bedrohungen verhindern, bevor sie überhaupt den Posteingang des Benutzers erreichen – ein Paradigmenwechsel im Kampf gegen BEC-Angriffe.“
Eine solche Veränderung in der Abwehr von BEC ist auch dringend notwendig: Die Zahl der Business-E-Mail-Compromise-Angriffe steigt und steigt, auch weil Angreifer auf ausgeklügelte Cybercrime-as-a-Service-Dienste zurückgreifen können, so Microsoft. Zwischen April 2022 und April 2023 entdeckte und untersuchte alleine Microsoft insgesamt 35 Millionen Kompromittierungsversuche.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Künstliche Intelligenz
Memary - Langzeitgedächtnis für autonome Agenten
Das Hauptziel ist es, autonomen Agenten die Möglichkeit zu geben, ihr Wissen über einen längeren Zeitraum hinweg zu speichern und abzurufen.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>