Anatomie eines anhaltenden BEC-Angriffs auf Microsoft 365-Benutzer
Die Cyberangreifer haben sich monatelang in den Microsoft 365-E-Mail-Konten der Opfer versteckt, um zunächst 15 Millionen US-Dollar abzuzweigen und dann zu verhindern, dass ihre E-Mail-Kompromittierung entdeckt wird.
Wichtige Punkte
- Bei einer kürzlich durchgeführten weltweiten E-Mail-Kompromittierungskampagne für Unternehmen, die derzeit vom FBI untersucht wird, wurden mindestens 15 Millionen Dollar abgezweigt, und es könnten 150 oder mehr Unternehmen betroffen gewesen sein.
- Die Angreifer überwachten und manipulierten die Microsoft 365-Konten ihrer Opfer und nutzten Weiterleitungs- und Filterregeln, um den gesamten E-Mail-Verkehr auszuspionieren und dann zahlungsrelevante E-Mails abzufangen und sich als solche auszugeben.
- Durch strenge Sicherheitskontrollen und bessere Geschäftsprozesse hätte dieser Angriff wahrscheinlich verhindert werden können.
Laut Mitiga, dem israelischen Cybersicherheitsunternehmen, das den Vorfall zuerst untersuchte, brachte ein lang anhaltender BEC-Angriff (Business Email Compromise) gegen etwa 150 verschiedene Unternehmen der cyberkriminellen Gruppe - oder den Gruppen -, die ihn verübten, mindestens 15 Millionen Dollar ein, bevor er entdeckt wurde. Unglaublich ist, dass der Angriff - der jetzt vom FBI untersucht wird - keine Malware enthielt und keine Schwachstellen von Microsoft 365 ausnutzte, obwohl er ausschließlich auf Nutzer dieser Plattform abzielte.
Tatsächlich nutzten die Cyberkriminellen selbst Microsoft 365 für ihre eigene E-Mail-Infrastruktur, wahrscheinlich, weil es "die Wahrscheinlichkeit des Auslösens bösartiger Erkennungsfilter" verringert, so ein Beitrag von Andrey Shomer, Forschungsleiter bei Mitiga. [1]
Überblick über den 15-Millionen-Dollar-Angriff auf Unternehmens-E-Mails
Diese BEC-Kampagne war technologisch einfach. Es ist zwar nicht bekannt, wie die Cyberkriminellen die Anmeldeinformationen der Benutzer kompromittiert haben, aber sobald sie es taten, waren sie erfolgreich:
- Einrichtung von Weiterleitungsregeln, die alle ein- und ausgehenden E-Mails an die eigenen Konten der Kriminellen weiterleiten.
- Dann überwachte er monatelang den E-Mail-Verkehr und wartete auf Gelegenheiten, um die zahlungsbezogene Korrespondenz abzufangen.
- Sie ersetzten legitime Zahlungs-E-Mails durch gefälschte Nachrichten, die ihre eigenen Bankkontodaten enthielten.
- Dann fingen sie weiterhin E-Mails ab, die zu einer Entdeckung hätten führen können, bis sie das Geld auf bisher unauffindbare Konten verschieben konnten.
BEC-Angriffe können in der Regel durch Sicherheitskontrollen wie Zwei-Faktor-Authentifizierung und regelmäßige Passwortaktualisierungen oder durch Geschäftsprozesse verhindert werden, die vor der Ausführung die Genehmigung von Zahlungen durch mehrere verschiedene Manager erfordern. Und doch kostete das Versäumnis, solche Vorsichtsmaßnahmen zu treffen, US-Unternehmen im Jahr 2019 über 1,7 Milliarden Dollar an BEC-Verlusten - viermal mehr als jede andere Kategorie von Cyberkriminalität, so das FBI. [2]
Der Rest dieses Beitrags befasst sich mit den Details, wie diese BEC-Masche angeblich durchgeführt wurde - und was Sie tun können, um sicherzustellen, dass Ihr Unternehmen nicht in ähnlicher Weise zum Opfer wird.
BEC-Opfer variieren über alle Branchen hinweg
Der Angriff richtete sich gegen ein breites Spektrum von Branchen, darunter Unternehmen aus den Bereichen Recht, Finanzen, Einzelhandel, Bauwesen und mehr. Der gemeinsame Nenner? Alle Opfer der BEC-Kampagne nutzten Microsoft 365. Darüber hinaus ist es wahrscheinlich, dass jedes Opfer routinemäßig eine große Anzahl von Transaktionen mit Dritten durchführte.
Zur Frage, wie die Cyberkriminellen überhaupt in den Besitz der Benutzerdaten gekommen sind, "geht man derzeit davon aus, dass sie die Daten auf dem 'Schwarzmarkt' von den Tätern vergangener Datenschutzverletzungen erworben haben", sagte Meni Farjon, Chief Scientist of Advanced Threat Detection bei Mimecast. "Seitdem das FBI die Ermittlungen übernommen hat, sind keine weiteren Informationen bekannt geworden", fügte er hinzu.
Aber warum Microsoft 365? Laut Mitiga kann die Verwendung von Microsoft 365 die Glaubwürdigkeit von Benutzer zu Benutzer erhöhen und damit die Wahrscheinlichkeit eines erfolgreichen Angriffs steigern. Mit anderen Worten: Wenn Angreifer und Opfer denselben Technologie-Stack verwenden, ist es weniger wahrscheinlich, dass verdächtige Diskrepanzen entdeckt werden und dass bösartige E-Mails automatisch auf die schwarze Liste gesetzt werden. Natürlich ist auch Microsoft 365 allgegenwärtig - und der Ausgangspunkt für 94 % aller Cyberangriffe. [3]
Wie können Sie Ihr Unternehmen vor E-Mail-Kompromittierung schützen, wenn jeder böswillige Akteur einfach die Anmeldedaten Ihrer Benutzer kaufen kann? Farjon und Mitiga empfehlen:
- Verwenden Sie immer die Zwei-Faktor-Authentifizierung (2FA). 2FA kann dazu beitragen, dass böswillige Akteure nicht aus der Ferne auf die Konten Ihrer Mitarbeiter zugreifen können.
- Erzwingen Sie die regelmäßige Aktualisierung von Passwörtern, um die Wahrscheinlichkeit zu verringern, dass gestohlene Anmeldedaten nützlich bleiben.
- Protokollieren Sie alle Änderungen an den Postfacheinstellungen und Anmeldeinformationen und bewahren Sie sie mindestens 90 Tage lang auf.
- Stellen Sie sicher, dass Warnungen vor verdächtigen Aktivitäten aktiviert sind, wie z. B. ausländische Anmeldungen oder Fernzugriff von neuen Geräten oder Standorten.
- Routinemäßige Analyse der Serverprotokolle auf anormale E-Mail-Zugriffe.
Angreifer überwachten und manipulierten den E-Mail-Verkehr über mehrere Monate hinweg
Nachdem sich die Cyberkriminellen Zugang zu den Microsoft 365-Konten der Opfer verschafft hatten, erstellten sie heimlich Regeln für die E-Mail-Weiterleitung und -Filterung, anstatt die Benutzer aus den Konten auszuschließen oder die Konten zu übernehmen, um unrechtmäßige E-Mails zu versenden.
Die Weiterleitungsregel wurde verwendet, um alle E-Mails automatisch an den externen Posteingang des Angreifers zu senden, so dass dieser den gesamten E-Mail-Verkehr ausspähen konnte. So konnten sie monatelang die Beziehungen zwischen dem Angriffsopfer und Dritten wie Partnern und Lieferanten analysieren und so den perfekten Zeitpunkt für einen Angriff finden. In der Zwischenzeit wurden bestimmte sensible Mitteilungen - wie legitime Rechnungen oder Sorgen über ausbleibende Zahlungen - in einen verborgenen Ordner gefiltert, damit das Opfer sie nicht sehen konnte. Wenn also ein rechtmäßiger Absender eine Zahlungsaufforderung schickte, blieb diese vor dem Opfer verborgen, und der Angreifer konnte sich als leitender Angestellter ausgeben, um eine geänderte Überweisungsaufforderung zu erstellen.
Die Weiterleitungs- und Filterregeln halfen den Angreifern auch, ihre Position zu sichern. Selbst wenn das Opfer sein Kennwort änderte und der Angreifer den Zugriff auf das Konto verlor, erhielt es weiterhin weitergeleitete E-Mails (solange die Weiterleitungsregel unentdeckt blieb), während legitime E-Mails aus dem Blickfeld des Opfers gefiltert wurden, um den Verdacht zu verringern.
Der Schutz vor diesen Techniken sollte Folgendes umfassen:
- Routinemäßige Suche nach versteckten Ordnern und Filterregeln in den Posteingangseinstellungen.
- Festlegung von Regeln zur Verhinderung der massenhaften Weiterleitung von E-Mails an Adressen außerhalb Ihres Unternehmens.
- Blockieren älterer E-Mail-Protokolle wie IMAP, POP und SMPT1. Sie können verwendet werden, um E-Mails weiterzuleiten und die Multifaktor-Authentifizierung erfolgreich zu umgehen.
- Routinemäßige Überprüfung der Weiterleitungsregeln in allen E-Mail-Konten.
- Verstärkung von Cloud-Systemen mit einer E-Mail-Sicherheitslösung, die über aktive Erkennungsfunktionen verfügt, um Anomalien und potenziell gefährdendes Material zu identifizieren.
Bedrohungsakteure verwenden gefälschte Domains und MS 365-Konten, um eine Entdeckung zu vermeiden
Sobald die Angreifer aufgrund ihrer langfristigen Aufklärung wussten, als welche Führungskräfte von Drittanbietern sie sich ausgeben mussten, verwendeten sie gefälschte Domänen, die mit ihren eigenen Microsoft 365-Abonnements verbunden waren, um echte Unternehmen zu imitieren und scheinbar legitime Zahlungsaufforderungen zu senden - allerdings mit geänderten Bankkontodaten. Die Opfer wurden dann dazu verleitet, Geld auf betrügerische Bankkonten zu überweisen. Alle von den Angreifern gesendeten und empfangenen E-Mails stammten von einer Microsoft 365-IP-Adresse, so dass sich die Angreifer in eine legitime Infrastruktur einfügen konnten.
Diese gefälschten Domänen stützten sich auf homografische Techniken, die es schwieriger machten, sie von legitimen Domänen zu unterscheiden. Um sich beispielsweise als mimecast.com auszugeben, könnten sie Domänen wie mimecastt.com oder m1mecast.com verwendet haben (Mimecast war jedoch kein Opfer dieses Angriffs). Es wurden über 150 gefälschte Domänen identifiziert, die alle mit einem von 15 verschiedenen Microsoft 365-Konten verbunden waren.
Der BEC-Angriff wurde erst entdeckt, nachdem eine Überweisung ausgeführt wurde und das Geld nicht auf dem Bankkonto des Verkäufers ankam.
Zum Schutz vor diesen E-Mail-Kompromittierungstechniken:
- Bieten Sie in regelmäßigen Abständen ansprechende Schulungen zum Sicherheitsbewusstsein an . Bringen Sie Ihren Mitarbeitern bei, rote Fahnen wie gefälschte E-Mail-Adressen und andere Zahlungsinformationen als üblich zu erkennen.
- Führen Sie Verifizierungsverfahren ein, wenn Sie Geld senden oder empfangen. Die telefonische Authentifizierung kann neben der E-Mail eine zweite Verteidigungslinie darstellen - auch wenn sie angesichts der zunehmenden Cyber-Bedrohung durch die "Deep Fake"-Technologie ebenfalls unvollkommen ist.
- Ziehen Sie den Einsatz einer E-Mail-Sicherheitslösung in Betracht, die über ausgefeilte Algorithmen verfügt, mit denen Impersonationen, bösartige E-Mails und andere Anomalien erkannt werden können.
Die Quintessenz
Von den jüngsten Angriffen auf Unternehmens-E-Mails sind möglicherweise bis zu 150 Unternehmen betroffen, und der geschätzte Schaden beläuft sich bisher auf etwa 15 Millionen US-Dollar. Die Cyberkriminellen nutzten schlechte Geschäftsprozesse und menschliches Versagen, aber offenbar keine Software-Schwachstellen. Sie nutzten auch das Vertrauen, das mit der Kommunikation über das Netzwerk von Microsoft 365 verbunden ist, um gefälschte E-Mails unentdeckt zu lassen und die Opfer zur Überweisung großer Geldbeträge auf kriminelle Bankkonten zu verleiten. Solche BEC-Angriffe können in der Regel durch eine Kombination aus guten Geschäftsprozessen, wirksamen Cyber-Sicherheitskontrollen und einem erstklassigen sicheren E-Mail-Gateway abgewehrt werden.
[1] " Mitiga kooperiert mit den Strafverfolgungsbehörden bei einer globalen BEC-Kampagne (Business Email Compromise), die über 15 Millionen Dollar eingebracht hat. ," Medium
[2] " 2019 Internet Crime Report Released ," FBI.gov
[3] " 2019 Data Breach Investigations Report ," Verizon
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!