Cyber Signals: Neue Taktik von Cyberkriminellen macht Business-E-Mails zur Zielscheibe 

Eine Grafik mit mehreren Zeichnungen von Personen.

Cyberkriminelle nehmen immer stärker geschäftliche E-Mails ins Visier. Die Zahl der Business-E-Mail-Compromise-Angriffe (BEC) steigt – auch weil Angreifende auf ausgeklügelte Cybercrime-as-a-Service-Dienste zurückgreifen können. Zwischen April 2022 und April 2023 entdeckte und untersuchte Microsoft insgesamt 35 Millionen Kompromittierungsversuche. Das zeigt die vierte Ausgabe von Cyber Signals.  

Cyberkriminelle versuchen im zunehmenden Maße geschäftliche E-Mails zu kompromittieren. Das ist eines der zentralen Ergebnisse der vierten Ausgabe unseres Sicherheitsberichts Cyber Signals. Die Beobachtungen zeigen, dass die Zahl der Cybercrime-as-a-Service-(CaaS)-Angriffe, die auf geschäftliche E-Mails abzielten, zwischen 2019 und 2022 um 38 Prozent gestiegen ist.

Die Attacken auf geschäftliche E-Mailkonten können Organisationen hunderte Millionen Dollar im Jahr kosten. Allein 2022 nutzte das Recovery Asset Team (RAT) des FBI die Möglichkeit der Financial Fraud Kill Chain (FFKC) bei 2.838 BEC-Beschwerden, die inländische Transaktionen mit einem potenziellen Verlust von mehr als 590 Millionen US-Dollar betrafen. Die FFKC hilft dabei, schnell verdächtige Transaktionen zu identifizieren und zu stoppen. 

Die BEC-Angriffe stechen im Bereich Cyberkriminalität besonders hervor, weil sie auf Social Engineering und die Kunst der Täuschung setzen. Zwischen April 2022 und April 2023 entdeckte und untersuchte die Microsoft Threat Intelligence insgesamt 35 Millionen BEC-Versuche – im Durchschnitt 156.000 Versuche pro Tag. 

Bedrohungsakteure können auf sehr unterschiedliche Weise versuchen, geschäftliche E-Mails zu kompromittieren – und dabei unter anderem Telefonanrufe, Text-Nachrichten, E-Mails oder Social-Media-Aktivitäten nutzen. Auch Authentifizierungsanfragen zu fälschen und sich als andere Personen oder Unternehmen auszugeben, gehört zu den üblichen Taktiken. 

Manipulation als verbreitete Angriffsmethode

Anstatt Schwachstellen in ungepatchten Geräten auszunutzen, nehmen BEC-Angreifende, den täglichen E-Mail-Verkehr und andere Nachrichten in den Blick. Sie versuchen ihre Opfer zum Bereitstellen finanzieller Informationen oder zu Handlungen zu verleiten, so dass sie beispielsweise unwissentlich Gelder auf Konten von Geldkurieren überweisen und Kriminellen damit helfen, betrügerische Transfers durchzuführen.  

Im Gegensatz zu den „lauten“ Ransomware-Attacken, die mit erpresserischen Nachrichten einhergehen, spielen Angreifende, die Business-Mailadressen im Visier haben, mit dem Vertrauen der Opfer, indem sie vorgetäuschte Fristen und Dringlichkeit nutzen, um die Empfänger*innen, die möglicherweise abgelenkt oder an diese Art von dringenden Anfragen gewöhnt sind, zu einer schnellen Antwort zu bewegen. Anstatt neuartige Malware zu nutzen, haben BEC-Angreifende ihre Taktik auf Tools ausgerichtet, die das Ausmaß, die Plausibilität und die Erfolgsquote von bösartigen Nachrichten im Posteingang erhöhen.  

Microsoft beobachtet einen signifikanten Trend bei Angreifenden, die Plattformen wie BulletProftLink nutzen. Dabei handelt es sich um einen beliebten Dienst zur Erstellung bösartiger E-Mail-Kampagnen im großen Stil, der einen End-to-End-Service inklusive Vorlagen, Hosting und automatisierten Diensten für BEC-Angriffe anbietet. Angreifenden, die diesen CaaS nutzen, werden auch IP-Adressen zur Verfügung gestellt, um ihnen beim Targeting ihrer BEC-Angriffe zu helfen. 

BulletProftLinks dezentrales Gateway-Design, das die öffentlichen Internet-Computer-Blockchain-Knoten einbezieht, um Phishing- und BEC-Seiten zu hosten, schafft ein noch ausgeklügelteres und schwieriger zu zerstörendes dezentrales Webangebot. Durch die Verteilung der Infrastruktur dieser Websites über die Komplexität und das zunehmende Wachstum der öffentlichen Blockchains wird die Identifizierung dieser Websites und die Anpassung von Maßnahmen zu ihrer Bekämpfung komplexer. 

Es gab bereits mehrere öffentlichkeitswirksame Angriffe, bei denen Angreifende die IP-Adressen von Privatpersonen missbraucht haben. Daher teilt Microsoft die Sorge der Strafverfolgungsbehörden und anderer Organisationen, dass die Entwicklung noch deutlich an Fahrt aufnehmen könnte, was es wiederum schwerer macht, entsprechende Aktivitäten mit den herkömmlichen Alerts oder Benachrichtigungen zu erkennen.  

Obwohl Bedrohungsakteure spezielle Tools entwickelt haben, um BEC-Angriffe leichter durchführen zu können – dazu gehören Phishing-Kits und Listen mit verifizierten E-Mail-Adressen, die auf Geschäftsführer*innen, Finanzverantwortliche und andere spezifische Rollen abzielen –, gibt es doch Methoden, die Unternehmen einsetzen können, um Angriffen zuvorzukommen und Risiken zu verringern. 

Die BEC-Angriffe sind ein gutes Beispiel dafür, warum Cyberrisiken abteilungsübergreifend angegangen werden müssen, d. h. mit IT-, Compliance- und Cyberrisiko-Beauftragten an der Seite von Geschäftsführenden und Führungskräften, Finanzmitarbeitenden, Personalleitenden und anderen Personen, die Zugang zu Daten von Mitarbeitenden haben, wie Sozialversicherungsnummern, Steuererklärungen, Kontaktdaten und Dienstplänen.  

Empfehlungen für Maßnahmen gegen BEC-Angriffe

  • Sichere E-Mail-Lösungen nutzen: Die heutigen Cloud-Plattformen für E-Mails nutzen KI-Funktionen wie maschinelles Lernen, um den Schutz zu verbessern und bieten erweiterten Phishing-Schutz sowie eine Erkennung verdächtiger Weiterleitungen. Cloud-Apps für E-Mails und Produktivität bieten zudem die Vorteile kontinuierlicher, automatischer Software-Updates sowie ein zentrales Management der Sicherheitsrichtlinien.  
  • Sichere Identitäten: Der Schutz von Identitäten ist eine der wichtigsten Säulen im Kampf gegen BEC-Angriffe. Unternehmen sollten daher den Zugriff auf Anwendungen und Daten mithilfe von Zero Trust und automatisierter Identitätsverwaltung kontrollieren.  
  • Sichere Zahlungsplattformen: Unternehmen sollten prüfen, ob sie vom Versand der Rechnungen per E-Mail zu einem System wechseln können, das speziell für die Authentifizierung von Zahlungen entwickelt worden ist. 
  • Training der Beschäftigten: Unternehmen sollten ihre Mitarbeitenden fortlaufend darin schulen, betrügerische und bösartige E-Mails zu erkennen, z.B. wenn Domäne und E-Mail-Adressen nicht übereinstimmen. Beschäftigte sollten auf die Risiken und Kosten hingewiesen werden, die mit erfolgreichen BEC-Angriffen einhergehen. 

Den original Beitrag zum Nachlesen gibt es auf dem Security Blog. Die vierte Ausgabe von Cyber Signals lässt sich hier kostenfrei herunterladen.


Ein Beitrag von Kim Pohlmann
Communications Managerin Modern Work & Security 

Tags: , ,

Weitere Infos zu diesem Thema

24. September 2024
Microsoft Trustworthy AI: Menschliches Potenzial zu entfalten beginnt mit Vertrauen 

Wir bei Microsoft setzen uns für vertrauenswürdige KI ein und entwickeln branchenführende Technologien zur Unterstützung davon. Unser Engagement und unsere Fähigkeiten gehen Hand in Hand, um sicherzustellen, dass unsere Kunden und Entwickler*innen auf allen Ebenen geschützt sind. Aufbauend auf unserem Engagement kündigen wir nun neue Produktfunktionen an, die die Sicherheit und den Datenschutz von KI-Systemen verbessern. 

23. September 2024
Der Schutz unserer Zukunft: Fortschrittsbericht der Microsoft Secure Future Initiative (SFI)

Im November 2023 haben wir die Secure Future Initiative (SFI) ins Leben gerufen, um die Cybersicherheit für Microsoft, unsere Kunden und die Branche zu verbessern. Im Mai 2024 haben wir die Initiative erweitert, um uns auf sechs wichtige Sicherheitspfeiler zu konzentrieren, wobei wir das Feedback der Branche und unsere eigenen Erkenntnisse berücksichtigt haben. Seit Beginn der Initiative haben wir den Gegenwert von 34.000 Expert*innen für die SFI eingesetzt – damit ist es das größte Projekt in der Geschichte der Cybersicherheit. Heute stellen wir die wichtigsten Updates und Meilensteine des ersten SFI-Fortschrittsberichts vor. 

23. September 2024
Erste souveräne Cloud-Plattform für die deutsche Verwaltung auf der Zielgeraden: Delos Cloud, Microsoft und Arvato Systems schließen finale Verträge

Der Aufbau der souveränen Cloud für die deutsche Verwaltung erreicht den nächsten Meilenstein: Nachdem umfangreiche Vorarbeiten abgeschlossen sind und der technische Aufbau der Rechenzentren weit fortgeschritten ist, haben die Delos Cloud GmbH, Microsoft und Arvato Systems nun die finalen Verträge unterschrieben, die die Zusammenarbeit der Unternehmen bei der Bereitstellung der souveränen Cloud-Plattform für den öffentlichen Sektor in Deutschland regeln.

6. September 2024
Geschäftspotenzial erschließen mit den neuen 5G- und Copilot+ PCs von Surface 

Wir freuen uns, dass unsere neuen Copilot+ PCs, das Surface Pro 11. Edition und der Surface Laptop 7. Edition, ab dem 10. September für Geschäftskunden verfügbar sein werden. Ab dem 4. Oktober werden in Deutschland auch das Surface Pro 10 mit 5G sowie der Copilot+ PC Surface Pro 11. Edition mit 5G  verfügbar sein.