Über 100.000 BEC-Angriffe auf 6.600 Organisationen

Cyberkriminelle nutzen zunehmend Konten bei legitimen E-Mail-Diensten, um diese für ihre Zwecke zu missbrauchen. Wie starten Cyberkriminelle mit diesen Konten ihre Angriffe? Und wie lassen sich diese Bedrohungen frühzeitig erkennen, blockieren und beseitigen? Ein Kommentar. [...]

Klaus Gheri, General Manager Network Security bei Barracuda Networks
Klaus Gheri, General Manager Network Security bei Barracuda Networks (c) Barracuda Networks

Seit Jahresbeginn haben Security-Analysten von Barracuda 6.170 bösartige Konten identifiziert, die Gmail, AOL und andere E-Mail-Dienste instrumentalisierten und für mehr als 100.000 BEC-Angriffe auf rund 6.600 Organisationen verantwortlich waren. 

Cyberkriminelle registrieren E-Mail-Konten bei legitimen Diensten, um sie für Identitätsdiebstähle und nachfolgende BEC-Angriffe zu missbrauchen. In den meisten Fällen nutzen sie diese Konten nur wenige Male, um nicht entdeckt oder von den E-Mail-Dienstanbietern blockiert zu werden. Jede solche E-Mail-Adresse, die bei BEC-Angriffen auftaucht, wird als böswilliges Konto eingestuft und gibt genau Aufschluss darüber, wie Cyberkriminelle E-Mail-Konten verwenden. Seit April dieses Jahres sind 45 Prozent der aufgedeckten BEC-Angriffe auf derartig kompromittierte Konten zurückzuführen. Dabei nutzten die Kriminellen teilweise einzelne Konten für mehrere Angriffe auf verschiedene Organisationen.

Ganz oben auf der Liste manipulierter E-Mail-Dienste für bösartige Konten steht Gmail. Cyberkriminelle bevorzugen diesen Dienst, weil er frei zugänglich, kostenlos und einfach zu registrieren ist. Ganz wichtig: Gmail hat einen ausreichend guten Ruf, um E-Mail-Sicherheitsfilter zu passieren. Obwohl Angreifer ein und dieselbe E-Mail-Adresse mehrfach verwenden, ändern sie die Namen für ihr Täuschungsmanöver.

Mit 59 Prozent war Googles E-Mail-Dienst Gmail.com der beliebteste Dienst, um bösartige Konten einzurichten.  (c) Grafik: Barracuda

Cyberkriminelle sind naturgemäß misstrauisch und entsprechend vorsichtig. Also nutzen sie   die bösartigen Konten selten über einen längeren Zeitraum. 29 Prozent der entdeckten bösartigen Konten waren lediglich 24 Stunden aktiv. Das hat folgende Gründe: 

  • E-Mail-Provider melden und sperren bösartige Konten.
  • Die Registrierung eines Kontos ist in der Regel schnell und einfach geschehen.
  • Cyberkriminelle können ein Konto nach anfänglichen Angriffen vorübergehend stilllegen und nach längerer Zeit wieder darauf zurückgreifen.

Auf Cyberkriminelle ist kein Verlass: Während viele Angreifer die meisten ihrer kompromittierten Konten nur für kurze Zeit nutzen, trieben einige ihr Unwesen über ein Jahr damit. Allerdings nicht durchgehend. So kehrten sie nach einer längeren Pause zurück, eine E-Mail-Adresse bei Angriffen wiederzuverwenden.

Häufig nutzen Angreifer ein Konto nur rund 24 Stunden, dennoch können kompromittierte Konten mit Pausen länger aktiv sein.(c) Grafik: Barracuda

Nachdem Angreifer im E-Mail-Netz anfänglich die Lage sondieren, geben sie sich bei einem konkreten Angriff als Mitarbeiter oder irgendeine andere vertrauenswürdige Person oder ein Geschäftspartner aus. Gewöhnlich versucht der Angreifer über E-Mail zunächst sein potenzielles Opfer zu kontaktieren und eine Vertrauensbasis zu schaffen. Sinn und Zweck der Masche ist, zu kommunizieren, und eine Antwort zu erhalten. Daher sind BEC-Angriffe in der Regel inhaltlich eingeschränkt, aber stark personalisiert. Dies erhöht die Möglichkeit, eine Antwort zu bekommen. Bei der Kontaktaufnahme fügen Angreifer in ihre E-Mails oft reale, kopierte Threads ein, etwa bei der Bitte um eine Banküberweisung, und erhöhen dadurch die Glaubwürdigkeit der Nachricht. Zudem richten Betrüger Postfachregeln ein. So verbergen oder löschen sie alle E-Mails, die sie über das gehackte Konto versenden.

Die Anzahl der E-Mail-Angriffe, die von einem bösartigen Konto kamen, reichte von einer E-Mail bis weit über 600 E-Mails. Durchschnittlich waren es 19 E-Mails. (c) Grafik: Barracuda

Erkenntnisse aus Angriffen auf rund 6.600 Organisationen offenbarten, dass Cyberkriminelle sehr oft dieselben E-Mail-Adressen verwendeten, um verschiedene Organisationen anzugreifen. 

Die Anzahl der Organisationen, die von einem bösartigen Konto angegriffen wurden, reichte von einem einzigen Angriff bis zu einem Massenangriff auf 256 Ziele. (c) Grafik: Barracuda

Wie sich Organisation schützen können

Unternehmen und Organisationen haben verschiedene Möglichkeiten, sich vor BEC-Angriffen zu schützen. Zentral sind die folgenden Maßnahmen:

  • Cyberkriminelle nutzen BEC-Angriffe, um E-Mail-Gateways zu umgehen. Um nicht entdeckt zu werden, nutzen sie daher jedes bösartige Konto nur für wenige Angriffe. Der Einsatz künstlicher Intelligenz zur Identifizierung ungewöhnlicher Absender, Anfragen oder Benachrichtigungen hilft, BEC-Angriffen und andere Betrugsvektoren aufzudecken.
  • Die Identifizierung von Konten, die Angreifer verwenden, ist nicht immer einfach. Cyberkriminelle nutzen Spoofing-Techniken, also das Eindringen in Netzwerke, indem eine vertrauenswürdige Identität vorgetäuscht wird, die es mitunter schwierig machen, dass bei einem Angriff tatsächlich verwendete Konto zu identifizieren. Angesichts der geringen Anzahl von Angriffen, die von einem einzigen bösartigen Konto ausgehen, ist es eher unwahrscheinlich, dass dieselbe Organisation von zwei verschiedenen BEC-Angriffen, die von demselben E-Mail-Konto ausgehen, attackiert wird. Security-Lösungen, die Bedrohungsinformationen solcher Art in Echtzeit zwischen verschiedenen Organisationen austauschen können, bieten ein deutlich höheres Schutzniveau.
  • Die Anwenderschulung sollte immer Teil der Sicherheitsstrategie sein. Mitarbeiter müssen für ungewöhnliche Nachrichten, die von außerhalb kommen, sensibilisiert werden. Und sie sollten über die neuesten Taktiken von Cyberkriminellen Bescheid wissen. Die bei weitem effektivste Maßnahme zur Prävention ist die Inszenierung simulierter Angriffe zu Trainingszwecken. 

Es geht vor allem darum, beim Cybersecurity-Wettlauf seinen Angreifern einen Schritt voraus zu sein. Die Mittel sind vorhanden, sie müssen nur eingesetzt werden.

*Klaus Gheri ist General Manager Network Security bei Barracuda Networks. 


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*