FBI deckt alarmierenden Anstieg der Kosten von Cyberangriffen auf
Der jährliche Internet Crime Report der Bundesbehörde schätzt die durch betrügerische Aktivitäten verursachten Verluste auf 6,9 Milliarden Dollar, angeführt von Phishing und Kompromittierung von Geschäfts-E-Mails.
Wichtige Punkte
- Die beim FBI im Jahr 2021 eingegangenen Beschwerden über die Kompromittierung von Geschäfts-E-Mails machten mehr als ein Drittel aller gemeldeten Cyberverluste aus.
- Virtuelle Meeting-Plattformen stellen ein wachsendes Risiko dar, da der Zugang über BEC, Spoofing und Deep Fakes erfolgt.
- Gesundheitswesen, Finanzdienstleistungen und IT führten die Liste der von Ransomware-Angriffen betroffenen Wirtschaftszweige an.
Die kleine gute Nachricht im kürzlich veröffentlichten Internet Crime Report des FBI für das Jahr 2021 ist, dass die Zahl der eingereichten Beschwerden im vergangenen Jahr nur um 7 % gegenüber dem Vorjahr gestiegen ist.[1] Dies ist das erste Mal in vier Jahren, dass die dem FBI gemeldeten Cyberangriffe nur um einen einzigen Prozentpunkt gestiegen sind.
Während die Beschwerden also nur geringfügig zunahmen, stiegen die Kosten der Angriffe drastisch an.
Im Einklang mit den Trends, die im FBI-Bericht über das Beschwerdeaufkommen für 2020 festgestellt wurden, waren Phishing und Varianten wie Smishing und Vishing im Jahr 2021 die führenden Bedrohungsvektoren, die jährlich um 34 % auf fast 324.000 Vorfälle anstiegen und Verluste in Höhe von 44,2 Millionen US-Dollar verursachten.
Die Zahl der Beschwerden über die Kompromittierung von Geschäfts-E-Mails und E-Mail-Konten war geringer als die Zahl der Phishing-Betrugsfälle, aber die Auswirkungen waren größer. Nahezu 20.000 BEC/EAC-Beschwerden verursachten einen Schaden von 2,4 Milliarden US-Dollar, das ist etwas mehr als ein Drittel des Gesamtschadens, den das FBI über die gesamte Bandbreite von Cyberangriffen ermittelt hat. (Es ist zu beachten, dass das FBI einige betrügerische Einzeltransaktionen, die als EAC bezeichnet werden, in die vorwiegend auf Unternehmen ausgerichtete BEC-Statistik einbezieht).
Insgesamt zeichnet die Zusammenfassung des FBI für das Jahr 2021 das Bild einer erhöhten Aufmerksamkeit von Unternehmen und Verbrauchern für die "dringende Notwendigkeit" der Meldung von Cybervorfällen an die Bundesbehörden. Neben Phishing und BEC hat das FBI auch Ransomware, technischen Support-Betrug und Identitätsdiebstahl als Bedrohungen ermittelt, deren Zahl ebenfalls zunahm.
E-Mail bleibt die Bedrohung Nr. 1
Phishing ist die größte Bedrohung, gemessen an der schieren Anzahl der Fälle, und BEC ist der Spitzenreiter bei den Verlusten gemessen am Dollarwert, d. h., E-Mail-Betrug und -Angriffe sind in der FBI-Analyse bei weitem die schwerwiegendsten Cyberverbrechen. Diese Ergebnisse stimmen mit dem Cyber Security Breaches Survey 2022 der britischen Regierung überein, wonach 83 % der Unternehmen, die in den letzten 12 Monaten eine Form von Cyberangriff gemeldet haben, von Phishing-Angriffen betroffen waren.[2]
Es überrascht nicht, dass sich die BEC-Methoden ständig weiterentwickeln, da die Cyberkriminellen ihre Taktik im Katz-und-Maus-Spiel der E-Mail-Authentizität anpassen. Sie nutzen nun virtuelle Meeting-Plattformen, die mit dem Trend zur Heimarbeit in den letzten zwei Jahren an Beliebtheit gewonnen haben, um E-Mails zu hacken und betrügerische Überweisungen zu veranlassen.
Und sie gehen bei virtuellen Meetings neue und kreative Wege. Eine Taktik besteht darin, das E-Mail-Konto eines CEO oder CFO zu fälschen, um die Mitarbeiter zu einem Treffen einzuladen, an dem sie mit gefälschten Bildern und Audiodateien teilnehmen und die Mitarbeiter zu einer Überweisung auffordern.
Solche Social-Engineering-Techniken stimmen mit den Ergebnissen der Mimecast-Umfrage State of Email Security 2022 überein, die besagt, dass das Volumen der E-Mail-Bedrohungen für die Mehrheit der Unternehmen im Jahr 2021 zunimmt. In der Mimecast-Umfrage gaben 92 % der Befragten an, dass sie in dieser Zeit versuchte BEC- und Imitationsangriffe erlebt haben.
Nach der Veröffentlichung des Internet Crime Report veröffentlichte das FBI eine umfassendere Berechnung der BEC-Kosten in den letzten Jahren, in die auch Berichte anderer Strafverfolgungsbehörden und Meldungen von Finanzinstituten einflossen. In einer Anfang Mai veröffentlichten Warnung nannte das FBI mehr als 240.00 versuchte BEC-Angriffe, die von Juni 2016 bis Dezember 2021 tatsächliche und verhinderte Verluste in Höhe von insgesamt 43 Milliarden Dollar verursachten. [3]
Kryptowährungen gehören aufgrund ihrer charakteristischen Anonymität zunehmend zu den Finanzanlagen, auf die es E-Mail-Betrüger abgesehen haben, und verursachten im vergangenen Jahr tatsächliche und verhinderte Verluste in Höhe von 40 Millionen US-Dollar. Das ist etwa viermal so viel wie im Vorjahr, und dieser Trend wird sich wahrscheinlich noch verstärken. Das Internet Crime Complaint Center (IC3) des FBI geht davon aus, dass BEC-bedingte Kryptoverluste "in den kommenden Jahren weiter zunehmen werden".
Virtuelle Meeting-Plattformen ziehen Angriffe auf sich
Es ist kein Zufall, dass BEC im Gleichschritt mit der zunehmenden Nutzung von Kollaborationsplattformen wie Slack und Microsoft Teams während der Pandemie anstieg. Wenige Wochen vor der Veröffentlichung des Internet Crime Report in diesem Jahr gab das FBI eine Warnung über die Zunahme von BEC im Zusammenhang mit diesen virtuellen Meeting-Plattformen heraus.[4]
Neben der bereits erwähnten Vortäuschung von Führungskräften gehören auch das heimliche Einloggen in Meetings am Arbeitsplatz und der Diebstahl von Geschäftsinformationen zu den von Cyberkriminellen angewandten zwielichtigen Techniken.
Auch hier bestätigt der Mimecast-Bericht die Warnungen des FBI. Die Umfrage von Mimecast State of Email Security hat ergeben, dass 76 % der Unternehmen anfällig für Cyberbedrohungen sind, die mit der Nutzung von Collaboration-Tools wie Slack, Zoom oder Microsoft Teams zusammenhängen. Die Ergebnisse machen deutlich, dass die Unternehmen die Cybersicherheit in allen Bereichen verbessern müssen, einschließlich besserer Systeme und Schulungen, um Fehler der Mitarbeiter zu vermeiden.
Ransomware zielt auf kritische Infrastrukturen
Ransomware-Angriffe waren auch im Jahr 2021 eine ernste Angelegenheit, mit mehr als 3.700 Beschwerden an das FBI und bereinigten Verlusten von 49,2 Millionen Dollar. Und das könnte nur die Spitze des Eisbergs sein. "In einigen Fällen melden die Opfer dem FBI keine Schadenshöhe, wodurch die Gesamtschadensquote für Ransomware künstlich niedrig gehalten wird", so das FBI.
Die drei wichtigsten Ransomware-Infektionsmethoden waren Phishing-E-Mails, RDP-Exploits (Remote Desktop Protocol) und Software-Schwachstellen. Das FBI führt die Zunahme von Ransomware zum Teil darauf zurück, dass sich die Angriffsfläche eines Unternehmens vergrößert, wenn Mitarbeiter von zu Hause aus arbeiten, was es für das Netzwerksicherheitspersonal schwierig macht, mit dem Patchen und anderen Schutzmaßnahmen Schritt zu halten.
Im Juni 2021 begann das FBI, Ransomware-Vorfälle in 16 Bereichen kritischer Infrastrukturen zu verfolgen. Am stärksten betroffen waren das Gesundheits- und Sozialwesen (148 gemeldete Vorfälle), Finanzdienstleistungen (89), IT (74), kritische Produktionsanlagen (65) und Regierungseinrichtungen (60).
Die drei wichtigsten Ransomware-Varianten, die für Angriffe auf kritische Infrastrukturen verwendet wurden, waren Conti, Lockbit und REvil/Sodinokibi. Die Aussichten, das Problem in den Griff zu bekommen, sind nicht gerade günstig: "IC3 rechnet mit einem Anstieg der Viktimisierung kritischer Infrastrukturen im Jahr 2022".
In diesem Zusammenhang wurde in der Mimecast-Umfrage State of Email Security ein Zusammenhang zwischen Unternehmen, die Ransomware ausgesetzt waren, und einer Zunahme von E-Mail-Bedrohungen festgestellt.
Glücklicherweise können Unternehmen das Risiko verringern: "Es ist anzunehmen, dass Unternehmen, die ihre E-Mail-Sicherheit verbessern, die Wahrscheinlichkeit verringern, Opfer eines erfolgreichen Ransomware-Angriffs zu werden", so die Schlussfolgerung des Berichts State of Email Security .
Einführung einer 'Kill Chain'
Das FBI hat Fortschritte bei der Unterbrechung des Geldflusses gemacht, wenn Transaktionen unter betrügerischen Vorwänden eingeleitet werden. Seit seiner Einführung im Jahr 2018 hat das IC3 Recovery Asset Team eine Erfolgsquote von 74 % bei Interventionen zum Einfrieren von Geldern erzielt. Als Reaktion auf 1.726 Vorfälle hat das Team Finanzinstitute beauftragt, in diesem Zeitraum illegale Überweisungen in Höhe von 328 Millionen Dollar zu unterbrechen.
Das Recovery Asset Team arbeitet mit Finanzinstituten zusammen, um verdächtige Transaktionen zurückzurufen oder rückgängig zu machen (Kill Chain). Ein Beispiel dafür, wie das ablief: Eine Straßenkommission wandte sich an IC3 wegen einer Überweisung von 1,5 Millionen Dollar auf ein betrügerisches US-Bankkonto. Die Gelder waren auf so genannte "Second Hop"-Konten verschoben worden, um den Empfänger zu verschleiern. In diesem Fall wurden die Gelder wieder eingezogen.
Was können Organisationen tun?
Das FBI bietet Anleitungen zur Verhinderung und Beseitigung von Betrug und betrügerischen Transaktionen, einschließlich dieser BEC-Tipps:
- Nehmen Sie niemals Zahlungsänderungen vor, ohne die E-Mail-Adressen zu überprüfen.
- Wenden Sie sich sofort an das Finanzinstitut, das die Zahlung veranlasst hat, sobald ein Zahlungsbetrug festgestellt wird.
- Reichen Sie eine Beschwerde beim FBI ein, die auch Bankinformationen enthält.
So gaben 83 % der Befragten an, dass eine schlechte Passworthygiene ein gewisses Risiko darstellt, und 81 % nannten die riskante Nutzung persönlicher E-Mails am Arbeitsplatz.
Die Quintessenz
Zusammenfassend lässt sich sagen, dass der FBI-Bericht eine gemischte Sache ist. Es gab weniger Beschwerden in einer Reihe von Schlüsselbereichen, darunter Verletzungen von Unternehmensdaten und Denial-of-Service-Angriffe. Die zunehmenden Vorfälle in den Bereichen BEC, Phishing, Identitätsdiebstahl und Ransomware sind jedoch ein deutlicher Beweis dafür, dass noch viel zu tun ist, um die Cyberabwehr von Unternehmen zu stärken. Der Bericht State of Email Security 2022 liefert weitere Erkenntnisse darüber, womit Unternehmen konfrontiert sind und wie sie darauf reagieren.
[1] Internet Crime Report 2021 , FBI
[2] Cyber Security Breaches Survey 2022 , U.K. Department for Digital, Culture, Media & Sport
[3] "Business Email Compromise: The $43 Billion Scam," FBI
[4] "Business Email Compromise: Virtual Meeting Platforms," FBI
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!