Während beim Business E-Mail Compromise (BEC, auch Chefmasche genannt) die Identität eines bekannten und vertrauenswürdigen E-Mail-Absenders vorgetäuscht wird, übernimmt beim E-Mail Account Compromise (EAC) der Cyberkriminelle einen echten Account und agiert folglich aus dem Inneren eines Unternehmens heraus. Das besonders perfide an EAC-Attacken ist, dass sie auch vorhandene E-Mail-Authentifizierungskontrollen – wie DKIM oder SPF – ohne Probleme passieren, da sie tatsächlich von einem legitimen Konto stammen.
Am Anfang steht der Diebstahl vertraulicher Informationen
Beiden Angriffsarten ist aber gemein, dass es sich um sehr zielgerichtete Kampagnen handelt, die darauf angelegt sind, Geld, Daten oder vertrauliche Informationen zu stehlen. Diese Betrugsformen setzen auf Social Engineering und somit darauf, menschliches Verhalten auszunutzen und Mitarbeiter für ihre Zwecke einzuspannen. Hinzu kommt, dass sie für die IT-Security nur ungemein schwierig zu erkennen sind. Wenn ein Angreifer eine gut gestaltete E-Mail sendet, die keine bösartigen URLs oder Anhänge enthält, kann sie leicht durch die Abwehrmechanismen hindurch in den Posteingang eines Mitarbeiters gelangen. Dieser wird sie in den meisten Fällen für eine legitime Nachricht von einem Absender halten, den er kennt und dem er vertraut.
Noch schwieriger zu erkennen sind sie aber immer dann, wenn sich Cyberkriminelle, die teils komplexen Lieferketten eines Unternehmens zunutze machen – was zunehmend der Fall ist. Immer häufiger zielen Angreifer im ersten Schritt auf die Lieferanten ihres eigentlichen Opfers ab – vom Anbieter für Bürobedarf über den Caterer bis hin zu Reinigungsdiensten. Wenn es ihnen gelingt, diese oft weniger gut geschützten Firmen zu kompromittieren und dort vielleicht nur eine legitime Identität zu übernehmen, besteht eine große Chance, dass ihnen Mitarbeiter im eigentlichen Ziel-Unternehmen auf den Leim gehen.
Attacken bleiben unentdeckt
Da Attacken innerhalb der Lieferkette oft für lange Zeit unentdeckt bleiben, bieten sie Kriminellen so die Chance, über einen längeren Zeitraum Daten mitzulesen, sich in Ruhe in den Systemen einzunisten und die Möglichkeiten zur Monetarisierung des Angriffs vollständig auszuschöpfen. Nehmen wir Solarwinds als Beispiel: Die eigentliche Kompromittierung erfolgte bereits im Frühjahr 2020 – doch bis zur Erkennung, neun Monate später, waren durch diesen einen erfolgreichen Initialangriff mehr als 18.000 Netzwerke von Unternehmen und Regierungsbehörden in Mitleidenschaft gezogen worden.
Blindes Vertrauen in E-Mails von Lieferanten ist äußert riskant
Daten von Proofpoint sprechen dagegen, dass es sich dabei um einen Einzelfall gehandelt hat. Ganz im Gegenteil: Eine im Februar 2021 durchgeführte Analyse unter 3000 Unternehmen kam zu dem Ergebnis, dass in einem nur sieben Tage umfassenden Zeitfenster ganze 98 Prozent aller Unternehmen der Stichprobe mit Cyberbedrohungen konfrontiert waren, die von der Domain eines ihrer Lieferanten stammten.
Schutz vor Supply Chain Fraud
In dem vollständigen Fachbeitrag, der auf it-daily.net frei zugänglich ist, erfahren die Leser:
- Phishing nach Anmeldedaten: Wie Angreifer die vertrauensvollen Beziehungen in der Lieferkette ausnutzen.
- Vorsicht vor Rechnungsbetrug: Was Unternehmen über betrügerische Rechnungen, die Umleitung von Geldflüssen und das Kapern von E-Mail-Unterhaltungen wissen müssen.
- Cyberattacken in der Lieferkette identifizieren und stoppen: So können sich Unternehmen vor Supply Chain Fraud schützen.
Ansprechpartner:
Ulrich Parthier
it Verlag GmbH, Ludwig-Ganghofer-Str. 51, 83624 Otterfing
Telefon: +49-8104-649414, E-Mail: u.parthier@it-verlag.de
www.it-daily.net