Email Security

    E-Mail-Kompromittierung in Unternehmen verbreitet sich in neue Richtungen

    Cyberkriminelle entwickeln BEC immer weiter, um in die heutigen hybriden Arbeitsumgebungen einzudringen, verbesserte Cyber-Abwehrsysteme zu umgehen und neue Technologien auszunutzen.

    by Mercedes Cardona
    30BLOG_1.jpg

    Wichtige Punkte

    • Während Unternehmen ihre Cyberabwehr verbessert haben, haben Cyberkriminelle immer neue Angriffsmöglichkeiten gefunden.
    • Die Kompromittierung von Geschäfts-E-Mails, ein Beispiel dafür, hat sich auf Textnachrichten, Kooperationsplattformen, Suchmaschinenwerbung und andere Kanäle ausgeweitet. 
    • Die Angreifer nutzen auch neue Technologien wie künstliche Intelligenz, um die BEC-Imitation zu verbessern.  

    Cyberkriminelle sind in der Regel sehr flexibel. Während Unternehmen ihre Bedrohungsdaten und Sicherheitssysteme verbessern, bringen Angreifer ihre Angriffe auf die nächste Stufe. Dies gilt insbesondere für Business Email Compromise (BEC), die Kategorie von Phishing, die auf Unternehmen abzielt, um Geld oder Informationen zu stehlen. Die Bösewichte haben ihre BEC-Kampagnen auch so angepasst, dass sie die Verlagerung der Arbeit in die Ferne und das Aufkommen neuer Tools der künstlichen Intelligenz (KI) ausnutzen. 

    In ihrem jüngsten Bericht stellt die Anti-Phishing Working Group (APWG) fest, dass Phishing und BEC im dritten Quartal des vergangenen Jahres einen Boom erlebten.[1] Fast alle Unternehmen, die in Mimecasts State of Email Security 2023 Bericht (SOES 2023) befragt wurden, gaben an, dass sie im vergangenen Jahr eine wachsende Zahl von BEC-Versuchen abwehren mussten. Die zunehmende Raffinesse dieser Angriffe sei jedoch ein noch größeres Problem als ihr schierer Umfang.

    Da immer mehr Unternehmen Sicherheitssysteme wie E-Mail-Gateways einsetzen, um bösartige E-Mails herauszufiltern, haben Betrüger neue Wege gefunden, um in Unternehmensnetzwerke einzudringen. Dazu gehören immer raffiniertere Formen von "Smishing", "Vishing", Angriffe auf Kollaborationsplattformen, Betrug in sozialen Medien und gefälschte Anzeigen in Suchergebnissen (siehe unten).

    BEC weitet sich auf Vishing und Smishing aus

    BEC-Betrug mit bösartigen Links oder Anhängen hat sich zu smishing und vishing entwickelt. Wie der Name schon andeutet, nutzen sie SMS und Sprachanrufe, um ihre Ziele zu erreichen. Die Betrüger verwenden häufig Robodialer und maskieren ihre Telefonnummern, indem sie bekannte Nummern fälschen oder eine falsche Identität in der Anrufer-ID eines Telefons anzeigen. Auf diese Weise können sie sich als "Cardmember Services" oder als Paketdienst ausgeben und die Anrufer dazu bringen, auf einen bösartigen Link zu klicken oder wichtige Informationen zu erhalten. 

    Textbasierte Betrügereien sind so weit verbreitet, dass die Federal Communications Commission (FCC) im Jahr 2022 eine Warnung herausgegeben hat, in der sie die Menschen vor verdächtigen Texten warnt. Nach Angaben der FCC stiegen die Beschwerden über Smishing von 5.700 im Jahr 2019 auf 8.500 allein in der ersten Hälfte des Jahres 2022.[2]

    Angriffe auf Kollaborationsplattformen

    Viele Unternehmen - vor allem solche mit vielen Mitarbeitern, die noch von zu Hause aus arbeiten - setzen auf Videokonferenzen und Plattformen für die Zusammenarbeit. Die Allgegenwärtigkeit dieser Tools hat sie zu einem neuen Ziel für Cyberkriminelle gemacht. 

    Das FBI warnte kürzlich vor Angreifern, die Videokonferenzplattformen nutzen, um sich als Unternehmensmitarbeiter auszugeben.[3] In einem Beispiel dieser Angriffe verschickt ein Angreifer eine Einladung zu einem Treffen von einer kompromittierten E-Mail-Adresse aus, stellt dann eine Audioverbindung her - oder beschwert sich über eine schwache Verbindung, um seine Identität zu verschleiern - und überzeugt die Mitarbeiter, eine Geldüberweisung auf ein vom Cyberdieb kontrolliertes Konto zu veranlassen. 

    Social Media-Betrügereien diversifizieren sich

    Auch die Betrügereien in den sozialen Medien entwickeln sich ständig weiter. "Angler-Phishing" ( ), bei dem Angreifer Interaktionen mit Marken in den sozialen Medien abfangen, ist schon seit einiger Zeit ein Problem für den Kundenservice. Jetzt hat sie sich auf die Kompromittierung von Geschäfts-E-Mails ausgeweitet. Viele Unternehmen haben in letzter Zeit vor BEC gewarnt, die die Nachrichtenfunktionen auf LinkedIn nutzen.[4]

    Die technologische Innovation hat auch böswilligen Akteuren neue Werkzeuge an die Hand gegeben, um gefälschte Profile zu erstellen, die den Schutz von Websites wie LinkedIn umgehen. Mithilfe von künstlicher Intelligenz und fälschen Profilbilder, um nicht entdeckt zu werden, geben sich die Betrüger als Headhunter oder Finanzmanager aus, um Fachleute zu täuschen. 

    Gefälschte Anzeigen überschwemmen Suchergebnisse

    Während der letztjährigen Urlaubssaison, als viele Angestellte bei der Arbeit online einkauften, warnte das FBI vor Betrügereien, die Suchwerbung ausnutzen.[5] Wenn Nutzer nach einem Produkt oder einer Dienstleistung suchten, wurden sie durch die oben auf dem Bildschirm angezeigte Werbung auf gefälschte Websites geleitet. Dort würden die Betrüger Passwörter ausspähen, um künftige Angriffe zu ermöglichen, betrügerische Zahlungen zu erlangen oder Malware auf dem Computer des Benutzers einzuschleusen, die wiederum das Netzwerk des Arbeitgebers infizieren könnte.

    In der Warnung des FBI werden Kryptowährungsplattformen als Ziel einer der jüngsten Angriffswellen genannt, aber diese Vorfälle von Markenimitationen sind weit verbreitet. Sie schaden nicht nur den betroffenen Nutzern, sondern fügen auch den Unternehmen, die gefälscht werden, unsäglichen Schaden zu. 

    Auch die Technologie der Angreifer entwickelt sich weiter

    Auch die Werkzeuge der Betrüger haben sich weiterentwickelt. Cyber-Risiken standen im Mittelpunkt der Gespräche über die zunehmende Verbreitung der generativen KI-Technologie , einschließlich Tools wie ChatGPT und Copilot, die die Entwicklung von Inhalten und Code beschleunigen und verbessern können. Mehr als die Hälfte der IT-Fachleute, die an einer kürzlich durchgeführten Umfrage teilnahmen, äußerten sich besorgt darüber, wie die Tools Betrügern helfen könnten, glaubhaftere Phishing-E-Mails zu erstellen, und sagten für dieses Jahr entsprechende Cyberangriffe voraus.[6]

    Das FBI hat auch davor gewarnt, dass Angreifer über konventionelle Techniken wie Photoshop hinaus zu KI übergehen und "synthetische Inhalte" wie gefälschte Profile für BEC und andere Angriffe erstellen.[7] Nach Angaben der Agentur entwickelt sich BEC zu einer "Business Identity Compromise". Anstatt E-Mail-Konten zu kompromittieren, erstellen Angreifer jetzt gefälschte Mitarbeiteridentitäten oder übernehmen die Identität eines tatsächlichen Mitarbeiters, nicht nur dessen E-Mail-Adresse. "Dieser neue Angriffsvektor wird wahrscheinlich erhebliche finanzielle und rufschädigende Auswirkungen auf die betroffenen Unternehmen und Organisationen haben", so das FBI.

    Bewährte Anti-Phishing-Praktiken

    Unternehmen bekämpfen BEC an mehreren Fronten, mit innovativen Technologien und Sensibilisierungsmaßnahmen für Mitarbeiter. Aber es braucht mehr, wie David Raissipour , Chief Technology Officer von Mimecast, kürzlich in Forbesschrieb. Es bedarf eines Umdenkens und einer unternehmensweiten Team-Sport-Philosophie, die durch gut integrierte Systeme unterstützt wird. Die drei Grundsätze dieser Philosophie lauten: 

    • Befähigung: Zu sagen, dass Sicherheit eine gemeinsame Verantwortung ist, reicht nicht aus. Jede Funktion im Unternehmen muss eine Rolle spielen, und jede Gruppe von Interessengruppen - Mitarbeiter, Lieferanten und die Führungsebene - muss in die Lage versetzt werden, ihren Teil beizutragen. Die Mitarbeiter sollten mit User Awareness Training befähigt werden, ihre E-Mail-, Passwort- und Sicherheitsdisziplin zu schärfen. Auch die Führungsebene muss geschult werden, um ein Bewusstsein für den Zusammenhang zwischen Cybersicherheit und Geschäftsrisiko zu entwickeln. Sicherheitsteams benötigen die neuesten KI-gestützten Tools, um sich effektiver gegen technisch versierte Cyberdiebe zu verteidigen, indem sie Prozesse rationalisieren, zeitaufwändige Aufgaben automatisieren und sowohl die Erkennung von als auch die Reaktion auf Bedrohungen verbessern.
    • Vereinfachen Sie: Der Nachteil, wenn ein Sicherheitsteam mit neuen Tools ausgestattet wird, ist als "Tool-Wildwuchs" bekannt. Ein durchschnittliches Unternehmen kann 60 bis 80 solcher Werkzeuge im Einsatz haben. Diese Art der Reaktion auf die zunehmenden Bedrohungen kann die Belastung der Sicherheitsteams, die bereits der Gefahr eines Burnouts ausgesetzt sind, nur noch erhöhen. Jede neue Lösung erfordert Bereitstellung, Konfiguration und Wartung, und jede erhöht die Komplexität der Verwaltung, wodurch Schwachstellen und Lücken im Sicherheitsnetz für Angriffe offen bleiben. Es ist Aufgabe der Verantwortlichen für Sicherheit und Risikomanagement, Prioritäten zu setzen und zu vereinfachen - zu entscheiden, welche Tools die Erkennung von und Reaktion auf Vorfälle rationalisieren, welche mit anderen Systemen zusammenarbeiten können, um Echtzeittransparenz und Bedrohungsdaten gemeinsam zu nutzen, und welche die Mitarbeiter wirklich schützen können, egal wo sie arbeiten.
    • Partner: Integrationen von Drittanbietern können die Arbeit erleichtern und vereinfachen. Die Abwehr von sich weiterentwickelnden, sozial motivierten Angriffen erfordert die Integration einer Reihe von Sicherheitslösungen, die Erkennung, Vorbeugung und Reaktion kombinieren. Wie Gartner in seiner "Cybersecurity Mesh"-Architektur empfiehlt, kann die Integration von Best-in-Class-Tools verschiedener Anbieter die Effektivität und Effizienz der Sicherheit erhöhen - auch in hybriden und Cloud-Umgebungen - und gleichzeitig die Ausbreitung von Tools kontrollieren und Daten über ihren gesamten Lebenszyklus hinweg schützen.

    Die Quintessenz

    Cyberangreifer entwickeln ihre Taktiken zur Kompromittierung von Unternehmens-E-Mails ständig weiter. Sie nutzen neue Kommunikationskanäle, wie z. B. Kollaborationsplattformen, und setzen neue Technologien wie ChatGPT und Deepfakes ein - oft so schnell, wie die Sicherheitsteams der Unternehmen herausfinden können, wie sie den letzten Trick, den sie angewendet haben, stoppen können. Unternehmen müssen Sensibilisierungsschulungen auf allen Organisationsebenen mit integrierten Erkennungs-, Präventions- und Reaktionsmaßnahmen verbinden, um sich wirksam gegen neue Bedrohungen zu schützen. Lesen Sie in dem Forbes-Artikel unseres CTOs "Warum die Bekämpfung von Social Engineering-Angriffen einen Teamsport-Ansatz erfordert", wie.


     

    [1] Phishing Activity Trends Report, 3rd Quarter 2022, Anti-Phishing Working Group 

    [2] "FCC Warns Consumers of Rising Threat of Scam Robotexts", Federal Communications Commission

    [3] "Business Email Compromise: Virtual Meeting Platforms", FBI

    [4] "LinkedIn Credential Phishing Attacks," New Jersey Cybersecurity & Communications Integration Cell

    [5] "Cyber-Kriminelle, die sich als Marken ausgeben und Suchmaschinen-Werbedienste nutzen, um Nutzer zu betrügen," FBI

    [6] "ChatGPT May Already Be Used in Nation-State Cyberattacks, Say IT Decision Makers," Blackberry

    [7] "Malicious Actors Almost Certainly Will Leverage Synthetic Content for Cyber and Foreign Influence Operations", FBI

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang