DIE E-MAIL-BEDROHUNGS- LANDSCHAFT VERSTEHEN - F-Secure Whitepaper - Medialine AG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DIE E-MAIL- BEDROHUNGS LANDSCHAFT VERSTEHEN F-Secure Whitepaper
INHALT
1. Einleitung ............................................................................................... 3
2. Die E-Mail-Bedrohungslandschaft ..................................................... 4
Social Engineering........................................................................... 4
Phishing............................................................................................. 5
Malware............................................................................................. 6
3. Beispiele für Business E-Mail Compromises....................................... 7
Business E-Mail Compromise (BEC).............................................. 7
E-Mail Account Compromise (EAC).............................................. 9
4. Taktiken, Attacken und Trends............................................................11
Microsoft Office 365........................................................................11
COVID-19.......................................................................................... 13
5. Empfehlungen und Best Practices ..................................................... 15
1. EINLEITUNG
Es gibt viele Unternehmen, die derzeit zu kosteneffizienteren Cloud-Lösungen wechseln.
Jüngsten Untersuchungen zufolge erwartet Gartner, „dass 70 % der öffentlichen und privaten
Unternehmen bis 2021 E-Mail-Services aus der Cloud nutzen werden“.¹
Parallel dazu entwickeln sich aber auch die Methoden der Angreifer weiter. Der Wechsel von
On-premises- zu Cloud-Lösungen hat zugleich einen Wandel bei den Angriffszielen mit sich
gebracht. Der Zugriff auf das E-Mail-Konto eines Anwenders gewährt jetzt oft Zugang zu
einer breiten Palette von Services, was bedeutet, dass Angreifer unter Umständen nur einen
Zugangsdatensatz stehlen müssen, um große Wirkung zu erzielen. Dies zeigt sich darin, dass die
Zahl der Angriffe auf cloudbasierte E-Mail-Services wie Microsoft Office 365 deutlich zunimmt.²
Die Folgen erfolgreicher E-Mail-Angriffe sind vielfältig – und die meisten Malware-Programme
werden nach wie vor per E-Mail verteilt. Zu den häufigsten Bedrohungen gehören Betrugs
versuche per BEC (Business E-Mail Compromise) und EAC (E-Mail Account Compromise). Die
COVID-19-Pandemie hat ebenfalls Auswirkungen auf die E-Mail-Bedrohungslandschaft. In diesem
Zusammenhang haben wir festgestellt, dass es eine wachsende Anzahl von Angriffen mit dem
Thema Coronavirus gibt.
Wenn es darum geht, die Sicherheitsfähigkeiten eines Unternehmens zu stärken und es vor
E-Mail-Angriffen zu schützen, ist ein mehrschichtiger Ansatz von entscheidender Bedeutung.
Denn es genügt eine einzige kleine Aktion in der falschen E-Mail, um ein ganzes Unternehmen zu
gefährden.
Dieses Whitepaper behandelt die weit verbreiteten E-Mail-Sicherheitsbedrohungen, denen
Unternehmen heute begegnen, und es erklärt, wie Sie Ihr Unternehmen vor diesen Angriffen
schützen.
F-Secure Whitepaper
32. DIE E-MAIL-BEDROHUNGSLANDSCHAFT
E-Mails bergen zahlreiche Risiken. Eine winziger Handgriff in der falschen E-Mail kann dazu
führen, dass die Empfänger für Cryptomining eingespannt werden oder ihre Zugangsdaten
gestohlen werden. Es kann sogar passieren, dass ihnen plötzlich eine Menge Geld fehlt, wenn sie
auf den falschen Social-Engineering-Köder hereinfallen.
Social Engineering
Social Engineering ist eine Form der Manipulation und Täuschung, die für erfolgreiche Phishing-
Angriffe entscheidend ist. Ob ein Phishing-Angriff erfolgreich ist, hängt stark davon ab, wie gut es
dem Angreifer gelingt, sein Ziel effektiv zu täuschen, indem er es davon überzeugt, sowohl dem
Absender als auch dem Inhalt zu vertrauen.
Phishing hat das Ziel, dem Opfer möglichst viele Informationen zu entlocken. Um den Social-
Engineering-Hebel möglichst wirksam anzusetzen, wird der Angreifer detaillierte Kenntnisse der
Person oder der Zielorganisation zeigen, wobei diese Informationen häufig durch das Sammeln
von Daten via Open Source Intelligence (OSINT) gewonnen werden.
Die vermeintliche Glaubwürdigkeit beruht auf zwei entscheidenden Arten von Information:
• Wissen über die interne Struktur, die Prozesse und die Software des Unternehmens;
• Wissen über die Mitarbeiter des Unternehmens.
Die meisten Organisationen haben eine Webpräsenz, die eine Fülle von Informationen bietet.
Wissen über die interne Struktur, die Prozesse und die Software lässt sich oft leicht aus dem
ableiten, was das Unternehmen selbst veröffentlicht, etwa bei Stellenausschreibungen.
Auch über öffentliche Kanäle wie LinkedIn können Angreifer eine Menge Wissen über das
Unternehmen und seine Mitarbeiter sammeln. Je mehr Informationen über ein potenzielles Ziel
gewonnen werden, desto besser kann ein geschickter Social Engineer angreifen.
Eine typische Stellenausschreibung deckt zum Beispiel Folgendes ab:
• Prozesse: detaillierte Beschreibungen der Aufgaben und Verantwortlichkeiten einer
bestimmten Rolle;
• Struktur: Informationen darüber, wem der Mitarbeiter unterstellt ist oder wen er leitet;
• Software: gewünschte Fertigkeiten und Kenntnisse.
F-Secure Whitepaper
4Phishing
Phishing operiert im Grenzgebiet zwischen Cyberkriminalität und Social Engineering. Es ist eine
der ältesten Bedrohungen im Internet, die Strategie hackt sozusagen eine Person und nicht
ein Computersystem. Phishing geschieht je nach Reichweite des Angriffs mit unterschiedlicher
Raffinesse und Zielsetzung. Das Spektrum reicht von Anfängern und Betrügern bis hin zu
organisierter Kriminalität und ganzen Nationalstaaten.³, ⁴ Die meisten davon greifen zu Phishing,
weil es einfach, verlässlich und effektiv ist. Zu den Zielen von Phishing-Angriffen gehören
• die Beschaffung von Zugangsdaten für ein Konto, einen Server, ein Netzwerk etc.;
• die Beschaffung sensibler Informationen, etwa Finanzdaten oder personenbezogene Daten;
• die Platzierung von Schadinhalten wie Ransomware, Keyloggern oder Remote-Access-
Trojanern (RAT);
• die Überredung der Opfer zu einer Handlung, die ihnen selbst schadet, namentlich zu
Geldüberweisungen oder zur Weitergabe personenbezogener Daten.
Durch die Verbreitung von geleakten E-Mail-Adressen nimmt die Zahl der Phishing-Versuche
ständig zu, noch nie war die Menge der entdeckten Phishing-Sites so hoch wie jetzt.⁵ Phishing-
Angriffe lassen sich in zwei Kategorien sortieren: ungezielte Phishing-Angriffe und gezielte Spear-
Phishing-Angriffe.
1. Ungezielte Phishing-Angriffe 2. Gezielte Spear-Phishing-Angriffe
Ungezielte Phishing-Angriffe sollen ein Spear-Phishing-Angriffe hingegen haben
möglichst breites Publikum erreichen. Die es ganz gezielt auf eine kleine Gruppe von
Hauptziele dieser Art von Angriffen bestehen Benutzern in einem bestimmten Unternehmen
darin, die Empfänger dazu zu verleiten, abgesehen und setzen stark auf Social
auf einen Link zu klicken, einen bösartigen Engineering. Diese Art von Angriffen ist viel
Anhang zu öffnen, vertrauliche Informationen schwerer zu erkennen und zu stoppen. Sie
preiszugeben oder Geld zu überweisen. arbeiten mit einer gründlichen Kenntnis ihrer
Ziele und deren Umgebung, wie sie nur ein
Da ungezielte Angriffe meist massenhaft Insider haben sollte.
geschehen, damit eine Teilmenge davon
erfolgreich ist, können sie durch E-Mail- Im Vergleich zu ungezielten Phishing-Angriffen
Sicherheitsfilter relativ leicht identifiziert und kann selbst ein einziger erfolgreicher Spear-
abgefangen werden. Diese Filter suchen nach Phishing-Angriff viel größeren Schaden
Mustern und Angriffsanzeichen, die in der anrichten. Der anvisierte Personenkreis
Sprache, im Inhalt oder den Daten zur Domain- ist zwar kleiner, aber am Ende genügt ein
Registrierung zu finden sind. Im Großen einziger erfolgreicher Versuch, um ein ganzes
und Ganzen verlieren ungezielte Phishing- Unternehmen zu kompromittieren.
Kampagnen immer mehr an Bedeutung.
F-Secure Whitepaper
5Malware
E-Mail ist für Angreifer nach wie vor der wichtigste erste Zugriffsvektor: 94 % aller Malware wird
per E-Mail zugestellt.⁶
Früher war der direkte Versand bösartiger Binärdateien stärker verbreitet, EXE-, Java- und Flash-
Dateien wurden direkt an E-Mails angehängt, um Benutzer dazu zu verleiten, eine ausführbare
Datei zu öffnen. Seit die Präventivmaßnahmen besser geworden sind, haben die Angreifer
ihre Taktiken, Techniken und Verfahren geändert. Heutzutage wird Malware viel eher in kaum
verdächtigen Geschäftsdokumenten oder über URLs verbreitet, die üblicherweise in normalen,
legitimen E-Mail-Kommunikationen oder über andere Anwendungen versendet werden.
94%
Fast 50 % aller bösartigen Anhänge sind Office-Dokumente mit versteckten Makros, Skripten und
anderen Exploits, die bei Aktivierung zusätzliche Inhalte wie Ransomware und RAT herunterladen.
Der Rest verteilt sich auf Windows-Apps (26 %) und Sonstiges wie Archive und JS-Dateien (22 %).⁶
Anstatt eine Vielzahl von Verbrauchern anzugreifen, zielen Ransomware-Angreifer jetzt auf
Unternehmen, weil diese bessere und größere Einnahmen versprechen. Die Angreifer haben
außerdem ihre Arbeitsweise geändert, um ihre Chancen auf Lösegeld zu maximieren. Statt
sofort nach dem Einbruch Ransomware zu starten oder Daten abzugreifen, verbringen die
Angreifer einige Zeit im Firmennetzwerk, um sich so gut wie möglich festzusetzen, bevor sie
handeln. Damit soll sichergestellt werden, dass so viele Daten wie möglich exfiltriert und ein
möglichst großer Teil des Unternehmensnetzwerks verschlüsselt wird, sodass die Chance
einer Lösegeldzahlung möglichst groß wird. Das Ziel ist jedoch nicht immer finanzieller Natur,
manchmal wird Ransomware auch dazu benutzt wird, ein Datenleck zu verschleiern.
DER iNSYNQ-ANGRIFF
Im August 2019 wurde das interne Netzwerk von iNSYNQ kompromittiert, und zwar nach einem erfolgreichen
E-Mail-Phishing-Angriff, der sich gegen einen Mitarbeiter im Verkauf richtete. Nach dem Erstangriff verbrachten
die Angreifer etwa zehn Tage damit, im Netzwerk des Unternehmens herumzustöbern, bevor sie eine
Ransomware starteten und eine beträchtliche Summe Lösegeld forderten.
Quelle: https://krebsonsecurity.com/2019/08/insynq-ransom-attack-began-with-phishing-email/
F-Secure Whitepaper
63. BEISPIELE FÜR BUSINESS E-MAIL COMPROMISES
Dieses Kapitel behandelt einige der häufigsten Bedrohungen, denen Unternehmen
gegenüberstehen. Es ist wichtig, dass Sie verstehen, wie diese Angriffe funktionieren, damit Sie
Ihre E-Mail-Systeme schützen können.
Business E-Mail Compromise (BEC)
BEC-Betrug, bekannt auch als CEO Fraud, ist eine Masche, bei der sich der Angreifer als leitender
Angestellter ausgibt und versucht, den Empfänger dazu zu bringen, seine geschäftliche Funktion
zu Zwecken auszuüben, die sich dann als illegitim herausstellen, z. B. zu Banküberweisungen.
Angreifer bedienen sich dabei folgender Methoden:⁷
• E-Mail- oder Website-Spoofing (die Nachahmung einer legitimen E-Mail oder Website),
• Versenden von Spear-Phishing-E-Mails,
• Platzierung von Malware.
Nach Angaben von Europol werden die Angreifer in geradezu erschreckendem Maße
professioneller und überzeugender.⁸ BEC-Angriffe sind rasch unter die Top-Prioritäten der
europäischen Strafverfolgungsbehörden aufgerückt – und die Bedrohungslandschaft entwickelt
sich weiterhin mit enormer Geschwindigkeit.
Die meiste Malware kommt immer noch per E-Mail.²
F-Secure Whitepaper
7Vier gängige BEC-Betrugsvarianten
Vor diesen vier grundlegenden BEC-Maschen sollten Sie sich in Acht nehmen:
1. Betrug mit gefälschter Rechnung
Bei dieser Masche gibt sich der Angreifer in der Regel als vertrauenswürdiger Lieferant des
Unternehmens aus. Dabei setzen die Angreifer auf Social Engineering und gefälschte E-Mails.
Der Betrug selbst besteht in der Aufforderung, die Rechnung durch eine Überweisung auf ein
Konto der Betrüger zu begleichen, statt auf das legitime Konto des Zulieferers. Im letzten Jahr
machten Google und Facebook Schlagzeilen, weil sie Opfer eines solchen Betrugs wurden. Sie
verloren letztlich rund 100 Millionen Dollar.⁹
2. Überweisungsbetrug
Beim Überweisungsbetrug, dem CEO Fraud im engeren Sinne, gibt sich der Angreifer meist
als höhere Führungskraft (CEO, CFO oder COO) des Zielunternehmens aus, die offenbar mit
ebenso dringenden wie vertraulichen Geldangelegenheiten betraut ist. Zu dieser Masche
gehört dann die Bitte, eine Überweisung auf ein Konto durchzuführen, das der Angreifer
unter seiner Kontrolle hat, z. B. das Konto eines Mittelmanns. In manchen Fällen werden diese
Anweisungen direkt an die Finanzabteilung des Unternehmens gerichtet, verbunden mit dem
Hinweis, dass besondere Eile geboten sei.
3. Betrug mit falschem Anwalt
Bei dieser Masche wendet sich der Angreifer an Mitarbeiter oder das Zielunternehmen und
gibt sich als Anwalt der Rechtsabteilung oder einer beauftragten Anwaltskanzlei aus. Ähnlich
wie bei den oben erwähnten Betrugsvarianten geben die Angreifer oft vor, vertrauliche und
zeitkritische Angelegenheiten zu behandeln, die es erforderlich machen, dass der Mitarbeiter
Geld überweist. Die Aufforderung kann sich auf Dinge beziehen, die tatsächlich gerade im
Unternehmen stattfinden, z. B. eine Fusion oder Übernahme, was die Glaubwürdigkeit erhöht.
Der Angriff findet normalerweise gegen Ende eines Arbeitstages statt, wenn die Mitarbeiter
unkonzentrierter, anfälliger für Fehler sind und eher auf den Betrugsversuch hereinfallen.
4. Personalabteilungsbetrug
Hier gibt sich der Angreifer als jemand aus einem bestimmten Funktionsbereich des
Unternehmens aus, z. B. aus der Personalabteilung. Anders als bei den vorigen Maschen bittet
er jedoch nicht um Geld, sondern um personenbezogene Daten. Das ist für ein Unternehmen
sogar noch gefährlicher, weil diese Art Informationen im Nachgang schwere finanzielle
Verluste zur Folge haben kann oder für einen größer angelegten Angriff verwendet wird.
Die schlechte Nachricht bei BEC-Betrug ist, dass er funktioniert. Und BEC-Betrug wird noch
glaubwürdiger, wenn er von echten, aber kompromittierten E-Mail-Konten aus gestartet wird.
F-Secure Whitepaper
8Laut Internet Crime Complaint Center (IC3) gab es durch BEC-Betrug allein im Jahr 2019 Verluste in Höhe von
1,7 Milliarden Dollar. Im Folgenden finden Sie eine Liste von Vorfällen, die es in die Nachrichten geschafft haben.
Einige Beispiele für echte BEC-Fälle aus den letzten fünf Jahren:
2015 – 17 verschiedene Firmen in Dallas wurden durch einen ausgefeilten CEO Fraud um insgesamt 600.000 Dollar
betrogen. Die Aktion begann mit Spear-Phishing-E-Mails, die zur Kompromittierung von E-Mail-Konten führten.
2015 – Xoom: Ganze 30,8 Millionen Dollar verlor der Überweisungsanbieter, als sich Angreifer in einer Reihe von
gefälschten E-Mails als Mitarbeiter ausgaben und die Finanzabteilung aufforderten, Rechnungen zu begleichen.
2016 – Mattel: Der Spielzeughersteller zahlte bei einem BEC-Angriff 3 Millionen US-Dollar. Die gefälschte E-Mail
war Teil eines CEO Frauds.
2016 – Crelan: Die belgische Bank verlor durch einen CEO Fraud insgesamt 70 Millionen Euro.
2016 – FACC Operations GmbH: Auch hier handelte sich um einen CEO Fraud. Der CEO des österreichischen
Aerospace-Zulieferers, wurde entlassen, nachdem das Unternehmen 47 Millionen US-Dollar verloren hatte.
2019 ¬– Toyota: Eine Tochtergesellschaft des Toyota-Konzerns gab im September 2019 bekannt, dass sie Opfer
eines BEC-Betrugs geworden war. Der erwartete finanzielle Verlust: über 37 Millionen Dollar.
2019 – Nikkei: Ein weiterer BEC-Angriff betraf einen der größten Medienkonzerne der Welt. Er kostete das
Unternehmen im Oktober 2019 rund 29 Millionen Dollar.
E-Mail Account Compromise (EAC)
EAC ist ein komplexer Angriff, bei dem Angreifer verschiedene Taktiken, Techniken und Verfahren
einsetzen, um das E-Mail-Konto eines Benutzers zu kompromittieren und so Zugang zu seinen
legitimen Konten zu erhalten. Obwohl es Überschneidungen mit BEC gibt, liegt der Unterschied
zwischen EAC und BEC darin, ob das E-Mail-System kompromittiert wurde oder nicht:
• BEC täuscht Identität vor, hat aber Ihr E-Mail-System nicht kompromittiert.
BEC-Angreifer verwenden in der Regel Taktiken zum Identitätsbetrug wie Domain-Spoofing,
Anzeigenamen-Spoofing und nachgeahmte Domains, um ihre Ziele dazu zu bringen,
Zahlungen an Betrügerkonten zu leisten.
• EAC täuscht Identität vor und hat dazu Ihr E-Mail-System kompromittiert und verwendet
Ihr tatsächliches E-Mail-Konto.¹⁰
EAC-Angreifer übernehmen die Kontrolle über Ihr Konto und umgehen so E-Mail-Filter und
Authentifizierungskontrollen. Das eröffnet sehr effektive Möglichkeiten für Phishing-E-Mails,
intern oder an Ihre Kunden, weil die E-Mail-Adressen „vertrauenswürdig“ sind.
Sowohl EAC als auch BEC basieren in hohem Maße auf Social Engineering und sind auf
ausgewählte Adressaten ausgerichtet. Diese beiden Angriffsarten sind so eng miteinander
verbunden, dass das US Federal Bureau of Investigation (FBI) diese Taktiken seit 2017 als eine
einzige Verbrechensart erfasst.
F-Secure Whitepaper
9EAC-Angriffe, die von kompromittierten E-Mail-Konten aus gestartet werden, sind schwer
zu erkennen. Sie können auf Benutzer in der Zielorganisation oder auf externe Personen wie
Kunden und Partner abzielen. Ein EAC-Angriff stellt ein ernsthaftes Risiko für den rechtmäßigen
Inhaber des Kontos und die beteiligten Unternehmen dar, weil die Angreifer sich nicht nur
als Inhaber des Kontos ausgeben können, sondern auch vollen Zugang zu den Kontakten, zur
laufenden E-Mail-Korrespondenz und den E-Mail-Archiven des Accounts bekommen.
Das bedeutet, dass Angreifer gehackte E-Mail-Konten von Unternehmen nutzen können,
um mit diesen Informationen neue Betrugsformen zu entwickeln, die nun in hohem Maße
personalisiert und daher entsprechend effektiv sind. Sie können zum Beispiel dieses:
1. Eine groß angelegte Phishing-Kampagne vom
kompromittierten Konto aus starten. Meist
macht der „gute Ruf“ des Kontos und des
E-Mail-Servers diese Kampagnen erfolgreich.
2. Gezieltere und ausgefeiltere E-Mails an
Mitarbeiter senden, die berechtigt sind,
Rechnungen zu bezahlen, wenn der
Kontoinhaber eine leitende Funktion hat.
3. Sich in interne Konversationen über Zahlungen
einklinken und die Empfänger informieren,
dass sie diesmal das Geld auf ein anderes
Konto überweisen müssen. Und schon ist der
Diebstahl passiert.
Über 80 % der Angriffe werden durch den
Diebstahl von Zugangsdaten ermöglicht.²
Weil immer mehr Zugangsdaten gestohlen werden, die dann zum Hacken cloudbasierter E-Mail-Services und für
BEC- oder EAC-Angriffe verwendet werden, ist die Sicherung der Zugangsdaten eines Unternehmens und der
Umgang damit enorm wichtig. Unternehmen können ihr Geschäft schützen, indem sie einen mehrschichtigen
Sicherheitsansatz implementieren, einschließlich Multi-Faktor-Authentifizierung (MFA), User and Entity Behavior
Analytics (UEBA) und Passwortmanager. Ebenso wichtig sind unternehmensweite Schulungen zum Thema
Sicherheitsbewusstsein im Hinblick auf den Diebstahl von Zugangsdaten, damit die Mitarbeiter an der Erkennung
von Social-Engineering-Angriffen mitwirken können, anstatt darauf hereinzufallen. Andere Angriffsformen wie
Malware und Einbrüche ins Netzwerk erfordern wiederum andere Arten der Reaktion.
F-Secure Whitepaper
104. TAKTIKEN, ATTACKEN UND TRENDS
Angreifer sind ständig auf der Suche nach Möglichkeiten, ihr Social Engineering zu verfeinern,
um ihre Angriffe glaubwürdiger zu machen. Sie wissen um aktuelle Trends und jahreszeitliche
Themen; daran knüpfen sie ihre Angriffe. In diesem Kapitel behandeln wir an zwei Beispielen,
wie Angreifer ihre Taktiken anpassen: COVID-19 und die Migration zu Cloud-E-Mail-Services.
Microsoft Office 365
E-Mail-Lösungen, ob on premises oder aus der Cloud, sind anfällig für Phishing-Angriffe,
Zugangsdatendiebstahl und Exploits von Konfigurationsfehlern. Kriminelle verlagern einfach ihren
Schwerpunkt und passen ihre Taktik an, damit sie je nach IT-Infrastruktur des Zielunternehmens
die Daten finden und stehlen können, die sie für besonders wertvoll halten.
Jüngsten Untersuchungen von Gartner zufolge werden „70 % der öffentlichen und privaten
Unternehmen bis 2021 E-Mail-Services aus der Cloud nutzen“.¹ Schon heute steigen immer mehr
Unternehmen auf kosteneffiziente Cloud-Lösungen wie Microsoft Office 365 um.
Seit E-Mails und andere wertvolle Unternehmensdaten migriert werden, ist parallel dazu zu
beobachten, dass Angreifer zunehmend versuchen, E-Mail-Konten zu kompromittieren. Derzeit
werden über 80 % der Angriffe durch den Diebstahl von Zugangsdaten ermöglicht.²
Zu den jüngsten Beispielen gehören
• die Verbreitung von Trickbot, einem Trojaner, der Informationen stiehlt, über eine gefälschte
Website;¹¹
• eine Phishing-Kampagne, die gefälschte Warnungen versendet, um die Konten von E-Mail-
Domain-Administratoren zu übernehmen;¹⁰
• die Phishing-Kampagne, die Microsoft Sway verwendet.¹²
Microsoft Office 365 ist jedoch nicht das einzige Ziel. Ähnliche Phishing-Angriffe wurden auch bei
anderen cloudbasierten E-Mail-Services beobachtet, wie Googles Gmail und G-Suite. Eine neu
entdeckte Gruppe von Cyberkriminellen namens Exaggerated Lion nimmt sich bei BEC-Angriffen
offenbar bevorzugt G-Suite zum Ziel.¹³ Angesichts der Verbreitung von Google-Konten und
der Art und Weise, wie sie im Internet genutzt werden, um sich bei verschiedenen Websites
anzumelden, ist es keine Überraschung, dass Angreifer auch auf diesem Feld Phishing-Sites
erstellt haben.
F-Secure Whitepaper
11Die Gefahr dieser Angriffe auf Cloud-E-Mail-Services wie Microsoft Office 365 ist so ernst, dass
das FBI eine Warnung vor Bedrohungsakteuren herausgegeben hat, die Microsoft Office 365 und
Google G Suite für BEC-Angriffe missbrauchen.¹⁴
„Die Betrugsmaschen werden mit eigens entwickelten Phish-Kits gestartet, die die cloudbasierten E-Mail-Services
imitieren, um geschäftliche E-Mail-Konten zu kompromittieren und Geldtransfers anzufordern oder fehlzuleiten“, so
das FBI in einer Private Industry Notification (PIN) vom 3. März 2020.
Phishing-Kampagnen, die auf Microsoft Office 365
abzielen, nutzen oft Microsofts eigene, legitime Tools, OFFICE-365-ANGRIFFE
um ihre Angriffe durchzuführen. Der Angriff selbst Fehlgeschlagene Mail-Zustellung
kann sehr ausgefeilt und mit sehr wenig Aufwand Wenn Sie versuchen, eine E-Mail an
einen vollen oder nicht vorhandenen
glaubwürdig sein. Die Angreifer können für nur
Posteingang zu senden, erhalten Sie als
9,99 Dollar einfach Phish-Kits aus dem Dark Web kaufen. Antwort eine E-Mail, dass die Zustellung
fehlgeschlagen ist. Die Betrüger wissen,
Was diese Kampagnen so kompliziert und schwierig dass Sie eine solche Nachricht kaum
ignorieren können.¹⁵
abzufangen macht, ist die Tatsache, dass die Nachricht
und ihre Links völlig sicher sind, sodass Sicherheitsfilter Warnung vor vollem Speicher
leicht umgangen werden können. Sie verleiten das Ziel Diese Office-365-Phishing-E-Mail täuscht
ebenfalls vor, von Microsoft zu stammen.
aber dazu, schädliche Aktionen durchzuführen, die
Wenn Sie den Abonnementservice
sowohl das E-Mail-Konto als auch das Unternehmen häufig nutzen, ist es plausibel, dass Sie
gefährden (siehe im vorigen Kapitel über EAC). irgendwann an die Speichergrenzen
Ihres Kontos stoßen. Die gefälschte
E-Mail informiert Sie, dass Sie ein
Phishing-Kampagnen, die auf Microsoft Office 365
„Kontingent“ aktivieren müssen, um
abzielen, sind auch deshalb unglaublich effektiv, weil Ihre Speicherprobleme zu lösen. In
Endanwender daran gewöhnt sind, dass sie viele Wirklichkeit ist das „Kontingent“ eine
Nachrichten vom E-Mail-Service selbst erhalten. Malware.
Daher gehen sie eher sorglos mit Links, E-Mails und Aufforderung zur Reaktivierung
Benachrichtigungen um – vor allem, wenn sie aus der Office-365-Phishing-Angriffe sind
eigenen Software-Infrastruktur stammen. Schließlich so erfolgreich, weil sie Angst und
reflexartige Reaktionen auslösen.
handelt es sich um „ganz normale, erwartete und
Gefälschte Reaktivierungs
gefilterte, alltägliche E-Mails“, die vom Service kommen aufforderungen zielen genau darauf
– und nicht von einem dubiosen Prinzen aus Nigeria. ab. Sie teilen den Empfängern mit, dass
ihre Konten deaktiviert worden sind.
Bisher waren Phishing-Angriffe darauf zugeschnitten, Um die Konten zu reaktivieren, sollen
sie den beigefügten bösartigen Link
einzelne Endanwender auszutricksen. Wenn sie verwenden. Er führt zu einer gefälschten
erfolgreich sind, erhält der Angreifer Zugang zum Anmeldeseite, von der die Zugangsdaten
System und zu den Informationen, die er benötigt. an die Cyberkriminellen gehen.
Dieser Angriff beschränkt sich jedoch auf die Passwort-Aktualisierung
E-Mail des Opfers und auf die Bereiche, für die es Diese Office-365-Phishing-E-Mail
Zugriffsberechtigungen hat. Daher beobachten wir täuscht vor, von Microsoft zu stammen
derzeit eine Zunahme von gezielten Spear-Phishing- (sehen Sie das Muster?). Sie führt zu
einer gefälschten Anmeldeseite, auf der
Angriffen gegen Administratoren von Microsoft Office Benutzer ihr Passwort ändern können.
365. Im Erfolgsfall hätte der Angreifer dann volle Von dort werden die Zugangsdaten an
administrative Kontrolle über die Office-365-Domain die Betrüger gesendet.
und die Office-365-Konten des Unternehmens.
F-Secure Whitepaper
12Admin-Zugangsdaten sind für Bedrohungsakteure aus mehreren Gründen attraktiv:
• Office-365-Administratoren haben Management-Kontrolle über alle E-Mail-Konten einer
Domain. Ein kompromittiertes Admin-Konto kann den Abruf von Benutzer-E-Mails oder die
vollständige Übernahme anderer E-Mail-Konten in der Domain ermöglichen.
• Office-365-Administratoren haben meist auch mehr Rechte auf anderen Systemen des
Unternehmens. Ein kompromittiertes Admin-Konto ermöglicht potenziell weitere Angriffe,
durch Passwort-Resets oder Single-Sign-on-Systeme.
• Office-365-Administratoren können innerhalb des Unternehmens neue Konten erstellen. Mit
einem kompromittierten Admin-Konto können Angreifer das dann auch tun und Single-Sign-
on-Systeme ausnutzen oder die Reputation der kompromittierten Domain nutzen, um eine
neue Angriffswelle auszulösen.
Eines der jüngeren Beispiele für Phishing-Angriffe gegen Microsoft-Office-365-Administratoren
war eine Fake-Alert-Phishing-Kampagne.
Die gefälschten Warnhinweise waren gut
gestaltet. Das echte Office-365-Logo vermittelte
ein Gefühl von Vertrautheit inmitten der
Dringlichkeit, mit der sich das System an den
Admin wendet. Zum Beispiel mit der Nachricht,
dass die Lizenzen abgelaufen seien und eine
Reaktivierung erforderlich sei. Solche falschen
Warn-E-Mails enthalten normalerweise Links, die
den Admin auffordern, sich einzuloggen und das
Problem zu beheben. Natürlich führen die Links
zu einer Phishing-Website, auf der die Microsoft-
Zugangsdaten verlangt werden. Und voilà! Der
Angriff ist gelungen.
COVID-19
Da Menschen auf der ganzen Welt ihre Bewegungsfreiheit eingeschränkt haben, um die
Verbreitung des Coronavirus einzudämmen, sind Spammer und Phisher mit voller Kraft darauf
aus, die Online-Nachfrage nach Informationen über die Pandemie für ihre Zwecke zu nutzen.¹⁶
Seit dem COVID-19-Ausbruch haben wir bemerkt, dass es eine zunehmende Anzahl von Angriffen
mit dem Thema Coronavirus gibt, und zwar
• Malspam-Kampagnen, bei denen Angreifer Malware über Links zu Websites verbreiten, die
angeblich mehr Nachrichten und Informationen zum Coronavirus enthalten;
• Masken-Betrügereien, bei denen sich die Angreifer den weit verbreiteten Mangel an Masken
zunutze machten. Die Kriminellen lassen die Empfänger bezahlen, schicken ihnen aber keine
Masken zu.
F-Secure Whitepaper
13Vor jedem Klick genau überlegen!
In diesem Fall wissen die Cyberkriminellen, dass Sie E-Mails zum Thema COVID-19 erwarten.
Kriminelle können die Wirksamkeit ihrer Angriffe steigern, indem sie sich als Behörden
ausgeben, besondere Dringlichkeit vortäuschen und die aufgrund der aktuellen Krise weltweite
Angstsituation ausnutzen.
Bösartige Akteure können echtes Material als Köder benutzen, um Menschen zu einer riskanten
Handlung zu bewegen, z. B. dazu, auf einen Link zu klicken oder einen Anhang zu öffnen.
Eine beliebte Taktik ist das Verstecken von ausführbaren Dateien in Archiven, die als E-Mail-
Anhänge eintreffen.¹⁷ Es ist daher absolut wichtig, dass sich Benutzer den Absender einer E-Mail
ansehen und alle darin enthaltenen Links untersuchen, bevor sie tätig werden. Wenn sie nur den
geringsten Zweifel haben, sollten sie die E-Mail melden. Mitte April 2020 meldete Google, das im
Tagesdurchschnitt 18 Millionen COVID-19-Phishing-E-Mails über Gmail verschickt wurden.
Einige der jüngeren Beispiele für COVID-19-bezogene Phishing-Kampagnen greifen Institutionen
und Organisationen aus dem medizinischen Sektor an.¹⁸ Dabei verwenden die Kriminellen eine
gefälschte E-Mail-Adresse der Weltgesundheitsorganisation mit der Betreffzeile „COVID-19
supplier notice“ und hängen ein bösartiges Word-Dokument mit einer Ransomware an, die nicht
gepatchte Computer angreift. Krankenhäuser und Pflegeeinrichtungen sind in heiklen Zeiten
wie diesen extrem verwundbar, wenn sie Sorge tragen müssen, dass sie an ausreichend Material
kommen, um mit der Situation fertig zu werden. Wenn tatsächlich Leben auf dem Spiel stehen,
fällt es viel schwerer, besondere Vorsicht im Umgang mit E-Mails walten zu lassen.
MALWARE, DIE BEI DIESEN KAMPAGNEN
VERWENDET WURDE:
• Emotet and Trickbot – modulare Bedrohungen, die • Formbook – ein Infostealer, der sensible
unterschiedliche Inhalte an diverse Ziele ausliefern. Informationen des Opfers sammelt, z. B. Passwörter
Emotet war anfangs ein Banking-Trojaner, der mit und Zugangsdaten von Browsern.
neuen Funktionen wie Infostealing und Malware-
Platzierung aufgerüstet wurde. Er ist dafür bekannt, • Lokibot – ein Infostealer, der E-Mail-Zugangsdaten
dass er Trickbot nachlädt, der wiederum die und -Passwörter von Browsern, FTP-Clients und
Ransomware Ryuk zieht. CryptoCoin Wallets sammelt.
• Agent Tesla – ein Infostealer, der über Keylogging- • Remcos RAT – ein Fernzugreifer, den Cyber
Funktionen zum Abgreifen von E-Mail-Zugangs kriminelle verwenden, um das System eines Opfers
daten und -Passwörtern aus Browsern verfügt. fernzusteuern und Befehle auszuführen.
F-Secure Whitepaper
145. EMPFEHLUNGEN UND BEST PRACTICES
Noch ist nichts verloren, auch wenn die Angreifer erschreckend professionell und glaubwürdig
vorgehen. Wie bisher ist ein mehrschichtiger Sicherheitsansatz unglaublich wichtig, um das
eigene Unternehmen vor E-Mail-Angriffen zu schützen.
Es gibt mehrere bewährte E-Mail-Sicherheitsfunktionen, die auch jetzt wirksam sind:
• Speziell entwickelte E-Mail-Sicherheit mit Anti-
Malware- und URL-Blockierungsfunktionen ist
unerlässlich, um Malware, Spear Phishing, Ransomware Ein mehrschichtiger
und Cryptomining in Anhängen zu blockieren; dazu Sicherheitsansatz ist
gehört auch eine URL-Prüfung, um schädliche Links in unglaublich wichtig,
E-Mails zu bekämpfen.
um das eigene
• Im Hintergrund sollte automatisch ein integriertes Unternehmen vor
Sandboxing laufen, damit bei neuen Dateien, die per E-Mail-Angriffen zu
E-Mail eingehen, schnell erkannt werden kann, ob sie schützen.
bösartig sind. Es gibt keine Garantie, dass man nicht
E-Mail-Angriffen zum Opfer fällt, aber man kann doch
einiges tun, um den Schaden zu begrenzen.
• Schulung der Anwender:
• Klicken Sie nicht auf Links oder Anhänge von Absendern, die Sie nicht kennen!
• Geben Sie keine sensiblen personenbezogenen Informationen (wie Benutzernamen und
Passwörter) per E-Mail weiter!
• Achten Sie auf E-Mail-Absender, die verdächtige oder irreführende Domain-Namen
verwenden. Sind E-Mail-Name und Domain-Name echt? Wenn Sie mit der Maus über die
Spalte „Von“ fahren, können Sie das leicht überprüfen.
• Sehen Sie sich die Hyperlinks genau an, um sicherzustellen, dass sie legitim sind und nicht zu
Betrüger-Websites führen. Fahren Sie dazu mit der Maus über den Link und prüfen Sie, ob
er mit der angezeigten URL übereinstimmt.
• Versuchen Sie nicht, Anhänge zu öffnen, die Sie nicht erwartet haben!
• Verwenden Sie unterschiedliche Passwörter für jede Applikation bzw. Website!
• Überprüfen Sie auf https://haveibeenpwned.com, ob Ihre Zugangsdaten kompromittiert
wurden.
• Einführung von Prozessen
• Zahlungsaufforderungen werden unabhängig von der Quelle persönlich oder am Telefon
überprüft, bevor sie durchgeführt werden.
F-Secure Whitepaper
15BEST-PRACTICE-BEISPIEL: REAKTION AUF EINEN OFFICE-365-PHISHING-VERSUCH
Die folgenden Schritte werden empfohlen, um die Office-365-Umgebung zu sichern und potenziell betroffene
Konten zu reparieren:
1. Speichern Sie die Tätigkeitsprotokolle der Mandanten. Folgendes sollte enthalten sein:
• Azure Active Directory Logs –https://docs.microsoft.com/en-us/azure/active-directory/reports-
monitoring/concept-audit-logs.
• Unified Audit Logs –https://docs.microsoft.com/en-us/office365/securitycompliance/search-the-audit-
log-in-security-and-compliance.
• Mailbox Audit Logging – https://support.microsoft.com/en-us/help/4021960/how-to-use-mailbox-audit-
logs-in-office-365.
• Message Trace Logs – https://docs.microsoft.com/en-us/powershell/module/exchange/mail-flow/
get-messagetrace?view=exchange-ps.
• URL Trace Logs – https://docs.microsoft.com/en-us/powershell/module/exchange/advanced-threat-
protection/get-urltrace?view=exchange-ps.
2. Kontrollieren Sie Office-365-Mandanten und andere IT-Infrastruktur, einschließlich aller
Mandanteneinstellungen, Benutzerkonten und der benutzerspezifischen Konfigurationseinstellungen auf
etwaige Änderungen. Prüfen Sie auf Anzeichen von Persistenzmethoden sowie auf Anzeichen dafür, dass ein
Eindringling versucht haben könnte, VPN-Zugangsdaten oder Zugriff auf andere Ressourcen zu bekommen.
3. Überprüfen Sie die Stellvertreter- und Weiterleitungsregeln für alle Ihre Postfächer. Das folgende PowerShell-
Skript kann Ihnen dabei helfen: http://aka.ms/delegateforwardrules.
4. Gleichen Sie die korrekten Informationen zur Multi-Faktor-Authentifizierung und das Selfservice-
Zurücksetzen von Passwörtern hier ab: http://aka.ms/MFAValid.
5. Aktivieren Sie die Multi-Faktor-Authentifizierung für alle Benutzer. Eine Anleitung zur Einrichtung finden Sie
hier: http://aka.ms/MFAuth.
6. Deaktivieren Sie veraltete Kontenauthentifizierungen: https://docs.microsoft.com/en-us/azure/active-
directory/conditional-access/block-legacy-authentication/.
7. Führen Sie für jedes betroffene Konto automatisch die folgenden Reparaturschritte durch, indem Sie dieses
Skript ausführen: http://aka.ms/remediate.
a. Setzen Sie das Passwort zurück (dadurch wird das Konto gesichert und aktive Sessions werden beendet).
b. Entfernen Sie Postfachstellvertretungen.
c. Deaktivieren Sie E-Mail-Weiterleitungsregeln an externe Domains.
d. Entfernen Sie die globale E-Mail-Weiterleitungseigenschaft des Postfachs.
e. Aktivieren Sie MFA auf dem Konto des Benutzers.
f. Setzen Sie die Passwortkomplexität des Kontos auf hoch.
g. Aktivieren Sie die Postfachüberwachung.
h. Erzeugen Sie ein Überwachungsprotokoll zur Überprüfung durch den Administrator.
8. Überlegen Sie im Rahmen Ihrer Überprüfung, ob Sie Behörden – evtl. auch Strafverfolgungsbehörden –
benachrichtigen sollten oder sogar müssen.
Darüber hinaus empfehlen wir Folgendes:
• Setzen Sie den Leitfaden zum Umgang mit ungewöhnlichen Aktivitäten um: http://aka.ms/fixaccount.
• Aktivieren Sie die Überwachungspipeline, damit Sie die Aktivitäten Ihres Mandanten analysieren können:
http://aka.ms/improvesecurity. Dann finden Sie die Aktivitätsprotokolle in Ihrem Audit-Speicher, und können
die Funktion „Suche und Untersuchung“ im Security and Compliance Center nutzen: http://aka.ms/sccsearch.
• Aktivieren Sie die Postfachüberprüfung für alle Ihre Konten mit diesem Skript: http://aka.ms/mailboxaudit1.
Starten bzw. forcieren Sie Anti-Phishing- bzw. Cyber-Security-Schulungen für Ihre Mitarbeiter. Eine hilfreiche
Informationsquelle hierzu: www.microsoft.com/safety.
Quelle: Dieses Best Practice stammt von
https://www.europol.europa.eu/newsroom/news/europol-publishes-law-enforcement-and-industry-report-spear-phishing
F-Secure Whitepaper
16F-SECURE CLOUD PROTECTION
FOR MICROSOFT OFFICE 365
Unsere neue Cloud-Lösung ist als Ergänzung zu den nativen E-Mail-Sicherheits
funktionen von Microsoft Office 365 entwickelt und bietet Ihnen umfassenden
Schutz vor komplexesten Phishing-Methoden, bösartigen Inhalten und
gezielten Angriffen.
KOSTENLOSE Testversion laden
Über F-Secure Phishd
Phishd ist Teil des Beratungsgeschäfts von F-Secure. Mit Phishd wollen wir der Bedrohung durch Phishing gegensteuern.
Das geschieht durch einen Managed-Awareness-Service und die vereinfachte Meldung bösartiger E-Mails an
Sicherheitsteams. Besonders wichtig ist dabei die Phishd-Produktreihe Informer, die eine erste Sichtung der gemeldeten
Phishing-E-Mails durchführt und den Benutzern einen Analysebericht sowie ein Dashboard zur Verfügung stellt, auf dem
das Sicherheitsteam vorab gesichtete Phishing-E-Mails einsehen und untersuchen kann.
F-Secure Whitepaper
17NACHWEISE
1. Lee, Ben; Firstbrook, Peter: China Summary Translation: „Market Guide for Email Security“. Gartner 2019.
2. Verizon: 2020 Data Breach Investigations Report (https://enterprise.verizon.com/en-gb/resources/reports/dbir/).
3. Newman, Lily Hay (2018): Russia’s Elite Hackers May Have New Phishing Tricks. Wired 2018 (https://www.wired.com/story/russia-
fancy-bear-hackers-phishing/).
4. Schwartz, Mathew J.: Nation-State Spear Phishing Attacks Remain Alive and Well. ISMG 2018 (https://www.bankinfosecurity.com/
blogs/nation-state-spear-phishing-attacks-remain-alive-well-p-2643).
5. Europol Publishes Law Enforcement and Industry Report On Spear Phishing. Europol 2019 (https://www.europol.europa.eu/
newsroom/news/europol-publishes-law-enforcement-and-industry-report-spear-phishing).
6. Verizon: 2019 Data Breach Investigations Report (https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-
report.pdf).
7. FBI: Scam and Safety: Business Email Compromise (https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-
email-compromise).
8. Europol: Internet Organised Crime Threat Assessment (IOCTA) 2019 (https://www.europol.europa.eu/activities-services/main-
reports/internet-organised-crime-threat-assessment-iocta-2019).
9. Fortin, Jacey: He Tried to Bilk Google and Facebook Out of $100 Million With Fake Invoices. The New York Times 2019
(https://www.nytimes.com/2019/03/25/business/facebook-google-wire-fraud.html).
10. Abrams, Lawrence: Phishers Target Office 365 Admins with Fake Admin Alerts. Bleeping Computer 2019
(https://www.bleepingcomputer.com/news/security/phishers-target-office-365-admins-with-fake-admin-alerts/).
11. Abrams, Lawrence: Fake Office 365 Site Pushes Trickbot Trojan as Browser Update. Bleeping Computer 2019
(https://www.bleepingcomputer.com/news/security/fake-office-365-site-pushes-trickbot-trojan-as-browser-update/).
12. Whitney, Lance: How cybercriminals are using Microsoft Sway to launch phishing attacks. TechRepublic 2020
(https://www.techrepublic.com/article/how-cybercriminals-are-using-microsoft-sway-to-launch-phishing-attacks/).
13. O'Donnell, Lindsey: Cybergang Favors G Suite and Physical Checks For BEC Attacks. Threatpost 2020 (https://threatpost.com/
cybergang-favors-g-suite-and-physical-checks-for-bec-attacks/153074/).
14. Gatlan, Sergiu: FBI Warns of BEC Attacks Abusing Microsoft Office 365, Google G Suite. Bleeping Computer 2020
(https://www.bleepingcomputer.com/news/security/fbi-warns-of-bec-attacks-abusing-microsoft-office-365-google-g-suite/).
15. Abrams, Lawrence: Phishing Attack Pretends to be a Office 365 Non-Delivery Email. Bleeping Computer 2018
(https://www.bleepingcomputer.com/news/security/phishing-attack-pretends-to-be-a-office-365-non-delivery-email/).
16. Pilkey, Adam: Coronavirus email attacks evolving as outbreak spreads. F-Secure Blog 2020 (https://blog.f-secure.com/coronavirus-
email-attacks-evolving-as-outbreak-spreads/).
17. Sattler Jason: RE: COVID-19 scams — How to spot and stop coronavirus email attacks. F-Secure Blog 2020 (https://blog.f-secure.com/
re-covid-19-scams-how-to-spot-and-stop-coronavirus-email-attacks/).
18. Olenick, Doug: Canadian government, university targeted with COVID-19-themed phishing emails. CyberRisk Alliance 2020
(https://www.scmagazine.com/home/security-news/news-archive/coronavirus/canada-government-university-targeted-with-covid-
19-themed-phishing-emails/).
F-Secure Whitepaper
18ÜBER F-SECURE
Niemand hat besseren Einblick in echte Cyberangriffe als F-Secure.
Wir schließen die Lücke zwischen Erkennung und Reaktion.
Wir nutzen dazu unübertroffene Bedrohungsinformationen von
Hunderten der besten technischen Berater unserer Branche, von
Millionen von Geräten, die unsere preisgekrönte Software nutzen,
sowie fortlaufende Innovationen im Bereich maschinelles Lernen.
Führende Banken, Fluggesellschaften und Unternehmen vertrauen
auf unser Engagement bei der Bekämpfung der gefährlichsten
Bedrohungen der Welt.
Zusammen mit unserem Netzwerk an Top-Channel-Partnern
und über 200 Serviceanbietern ist es unsere Mission, all unseren
Kunden maßgeschneiderte unternehmensfähige Cybersicherheit
zur Verfügung zu stellen. F-Secure wurde 1988 gegründet und ist
an der NASDAQ OMX Helsinki Ltd gelistet.
f-secure.com/business | twitter.com/fsecure | linkedin.com/f-secureSie können auch lesen
