CEO Fraud, Spear Phishing oder Business E-Mail Compromise (BEC) – Der Versuch von Hacker*innen, sich als vermeintlich vertrauenswürdige Absender*innen auszugeben und sich so Zugriff auf Firmennetze zu verschaffen oder Beschäftigte durch Täuschungen zu Fehlverhalten zu verleiten, kennt viele Namen und Formen. Microsoft arbeitet stetig daran, Cyberkriminalität mit innovativen Sicherheitslösungen zu bekämpfen und wurde dafür von Forrester als führend im Bereich Enterprise E-Mail Security ausgezeichnet. Was eine BEC-Kampagne ist und wie wir für die Sicherheit unserer Kund*innen sorgen, zeigen wir im Beitrag.
Unternehmen sind heute mit dynamischen Bedrohungsszenarien und immer wieder neuen Herausforderungen in einer hybriden Arbeitswelt konfrontiert. Die E-Mail stellt dabei einen primären Angriffsvektor für Cyberkriminalität dar – und die Bedrohung nimmt zu: So registrieren unsere Sicherheitsexpert*innen aus dem Microsoft 365 Defender Threat Intelligence Team momentan eine Zunahme von E-Mail-Betrugsversuchen.
Um das Risiko dieser Bedrohungen zu minimieren, entwickeln wir unsere Lösungen und Produkte stetig weiter. Dafür wurden wir vom Marktforschungsinstitut Forrester in der Studie The Forrester Wave™ zu Enterprise Email Security mit einer der höchsten Punktzahlen in der Kategorie Strategie ausgezeichnet. Der Forrester Wave-Bericht bewertet das Angebot verschiedener Anbieter an E-Mail-Sicherheitslösungen für Unternehmen. Unsere Lösung Microsoft Defender für Office 365 erhielt die höchstmögliche Punktzahl u.a. in den Kriterien Incident Response, Threat Intelligence und Integration von Endpoint- und Endpoint Detection and Response (EDR). Hier gibt es gesamten Bericht.
Was ist ein BEC-Betrugsversuch?
Die Zeiten, in denen Phishing-E-Mails Nutzer*innen in gebrochenem Deutsch und mit dubiosen Begründungen zu Barüberweisungen verleiten wollten, sind weitestgehend vorbei . Moderne Angreifer*innen tarnen sich heute als vertrauenswürdige Absender*innen oder Vorgesetzte und ahmen ihren Stil fast perfekt nach. Ein Beispiel: Stellt euch vor, ihr erhaltet eine E-Mail eurer Teamleiterin mit der Bitte, für einen Kollegen einen Gutschein zu dessen Geburtstag zu kaufen. Kein Problem, ihr klickt auf den Link in der Nachricht und kauft den Gutschein. Wenn ihr eure Chefin das nächste Mal trefft, erzählt ihr von dem Kauf – und erntet einen verständnislosen Blick. Erst jetzt wird euch bewusst, dass irgendwas daran nicht stimmt. Eure Chefin hat keinen Gutschein bestellt, dieser ist aber bereits bezahlt. So läuft ein klassischer BEC-Betrug ab.
Business E-Mail Compromise ist eine Spielart des Phishings, das auf Unternehmen abzielt, um Geld oder wichtige Informationen zu stehlen. Die E-Mails wirken authentisch – die oder der Absender*in stimmt, der Text ist fehlerfrei verfasst, kein Grund also, misstrauisch zu werden.
BEC-Kampagnen werden von langer Hand vorbereitet
Aber was so harmlos und schlicht daherkommt, ist Teil von sorgfältig geplanten Kampagnen von Cyberkriminellen. Sie identifizieren potenzielle Opfer und spähen sie gezielt über Methoden wie Social Engineering aus. Dabei helfen ihnen zum Beispiel Social-Media-Aktivitäten von Unternehmen, „Über uns“-Seiten auf der Website oder Namensbeiträge auf dem Firmenblog. All das liefert die Informationen, die Angreifer*innen für authentische Nachrichten an ihre potenziellen Opfer benötigen.
In der E-Mail selbst tarnen sich die Absender*innen und verschleiern zudem in den Reply to-Headern auch die Server, von denen die Nachricht tatsächlich stammt und an die Antworten geschickt werden. Um sich zu verstecken, verwenden Angreifer*innen häufig Domänen mit Tippfehlern („microsfot.com“). Das sieht bei flüchtigem Hinsehen authentisch aus, kommt tatsächlich aber von extra für solche Betrugskampagnen angemieteten Domains.
Unsere Sicherheitsexpert*innen von Microsoft haben bei ihren Analysen bis zu 120 solcher Tippfehler-Domänen gefunden, die tatsächlich existierenden Domains ähneln und erst wenige Tage vor groß angelegten BEC-Kampagnen registriert wurden. Jede dieser Domänen verwendet einen eindeutigen Registriernamen und eine ebenso einzigartige E-Mail-Adresse bei kostenlosen E-Mail-Anbietern. Das erschwert es, solche falschen Domänen zu erkennen und zuzuordnen.
Das klingt nach viel Aufwand, um jemanden in einem Unternehmen zu einem Klick zu verführen? Für das Jahr 2020 beziffert das Internet Crime Compliant Center (IC3) des FBI die Verluste durch BEC-Angriffe allein in den USA auf rund 1,8 Milliarden US-Dollar – bei einer registrierten Zahl von 19.369 gemeldeten Versuchen. Zudem zielen viele BEC-Attacken nicht auf kleinere Summen, sondern haben es auf wesentlich größere Transaktionen abgesehen, beispielsweise auf das Abfangen und Umleiten von Überweisungen. All das macht BEC-Betrügereien zu einem lukrativen Geschäft.
BEC-Kampagnen: So schützt ihr euch
Unsere Sicherheitsexpert*innen arbeiten kontinuierlich daran, BEC- und Spear-Phishing-Kampagnen rechtzeitig zu entdecken und davor zu warnen. Aber auch die Anwender*innen und IT-Administrator*innen in Unternehmen können aktiv zum Schutz ihrer Netzwerke beitragen – über den Microsoft Defender für Office 365.
- Der Microsoft Defender bietet zum Beispiel Kampagnenansichten, über die Phishing-Angriffe identifiziert und kategorisiert werden können.
- Zudem ermöglicht der Defender, in Office 365 Antiphishing-Richtlinien zu definieren, um das Spoofing, also das Tarnen von E-Mail-Adressen, zu erkennen und zu unterbinden. Das gleiche Ziel verfolgt die Funktion E-Mail-Authentifizierung im Defender für Office 365. Mit der Spoof-Intelligence-Technologie schützt Microsoft schließlich gezielt auch Exchange Online gegen Angriffe über gefälschte E-Mail-Identitäten.
- Eine der wichtigsten Maßnahmen für die Bekämpfung von BEC- und anderen Spear-Phishing-Kampagnen ist, die Aufmerksamkeit der Mitarbeiter*innen für solche Angriffsszenarien zu schärfen. Auch dabei unterstützt der Defender für Office 365 – mit integrierten Tipps für sicheres Verhalten beim Empfangen und Versenden von E-Mails. Das Angriffssimulationstraining des Defender hilft dabei, mögliche Szenarien von BEC-Attacken gezielt zu trainieren.
Sicherheit ist ein fortlaufender Prozess
Der Kampf gegen solche und andere Bedrohungen ist ein anhaltender Wettlauf: Auch Cyberkriminelle entwickeln ihre Methoden weiter und streben permanent danach, unsere Schutzmechanismen auszuhebeln. Microsoft verfügt über qualifizierte Teams von Wissenschaftler*innen und Expert*innen, die diese Bedrohungen analysieren und dieses Wissen mit den täglich vielen Billionen Signalen abgleichen, die uns aus dem laufenden Betrieb unserer Anwendungen vorliegen. Unsere Analyst*innen nutzen diese Signale, um Akteur*innen, Infrastrukturen und Techniken zu identifizieren, die bei Phishing- und BEC-Angriffen aktiv sind und verwendet werden. Ihre Erkenntnisse fließen in Sicherheitslösungen wie den Defender für Office 365 ein, so dass wir aktuellen und künftigen Bedrohungen immer einen Schritt voraus sein können.
Weitere Informationen zu Business E-Mail Compromise und wie Microsoft Cyberkriminelle bekämpft, gibt es in diesem englischen Beitrag von Girish Chander sowie in unserer dreiteiligen Blogserie „Business E-Mail: Umcompromised“.
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.
Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos