Ransomware-Angriffe, darunter auch solche, die äußerst zerstörerisch und gefährlich sind, haben sich als schwer zu bekämpfen erwiesen. Dabei handelt es sich um Schadprogramme, die zur Sperrung des Computers führen oder darauf befindliche Daten verschlüsseln. Sowohl der Bildschirm, als auch die Daten werden laut der Täter erst nach Einsahlung des Lösegeldes freigegeben. Krankenhäuser, Behörden, Schulen und sogar Unternehmen mit kritischer Infrastruktur sind dadurch weiterhin mit Hackerangriffen und hohen Lösegeldforderungen konfrontiert. Doch während Regierungen auf der ganzen Welt und die US-Strafverfolgungsbehörden ernsthaft gegen Ransomware vorzugehen beginnen und erste Fortschritte erzielen, versuchen Forscher, den Angreifern einen Schritt voraus zu sein und vorherzusagen, wohin sich Ransomware-Banden als Nächstes wenden könnten, wenn ihr Hauptgeschäft unrealistisch wird.
In den USA wird vermehrt darüber diskutiert, dass es für Ransomware-Akteure wohl logisch ist, ihre Operationen schließlich in Business-E-Mail-Compromise (BEC)-Angriffe umzuwandeln, weil Ransomware-Software weniger profitabel wird oder ein höheres Risiko für Angreifer birgt. In den Vereinigten Staaten hat das FBI zudem wiederholt festgestellt, dass die Gesamtsumme der in BEC-Betrügereien gestohlenen Gelder die in Ransomware-Angriffen gestohlenen Gelder bei weitem übersteigt – obwohl Ransomware-Angriffe sichtbarer sind und mehr Schaden und damit verbundene Verluste verursachen.
Business-E-Mail-Compromise-Angriffe auf Unternehmen
Bei E-Mail-Angriffen auf Unternehmen dringen die Angreifer in legitime E-Mail-Konten von Unternehmen ein und nutzen diesen Zugang, um gefälschte Rechnungen zu versenden oder Vertragszahlungen zu veranlassen, wodurch Unternehmen dazu gebracht werden, Geld an die Kriminellen zu überweisen, obwohl sie denken, dass sie nur ihre Rechnungen bezahlen.
BEC-Angriffe, von denen viele ihren Ursprung in Westafrika, insbesondere in Nigeria, haben, waren in der Vergangenheit weniger technisch und mehr auf Social Engineering angewiesen, also auf die Kunst, fesselnde Geschichten zu erzählen, die die Opfer dazu verleiten, gegen ihre eigenen Interessen zu handeln. Forscher stellten jedoch fest, dass ein Großteil der bei Ransomware-Angriffen verwendeten Malware flexibel und modular aufgebaut ist, so dass die verschiedenen Betrüger die für ihren jeweiligen Betrug erforderliche Kombination von Softwaretools zusammenstellen können. Die technische Fähigkeit, sich einen „Erstzugang“ oder ein digitales Standbein zu verschaffen, um anschließend weitere Malware zu installieren, ist für BECs sehr nützlich, und bei den meisten Kampagnen ist der Zugang zu strategischen E-Mail-Konten der erste Schritt. Ransomware-Akteure bringen ein höheres Maß an technischer Raffinesse in diesen Aspekt des Betrugs ein.
Wie Business Email Compromise (BEC) funktioniert
Anstatt einen sehr allgemeinen Vorwand zu verwenden, um eine große Anzahl von Benutzern zu täuschen, zielt dieser spezielle Angriff direkt auf eine Einzelperson oder eine kleine Gruppe ab.
Ein BEC-Angriff beruht auf der Fähigkeit, wie eine einflussreiche Person innerhalb eines Unternehmens oder ein vertrauenswürdiger externer Partner auszusehen hat. Ein Angreifer kann dies auf verschiedene Weise erreichen, z. B:
Domain-Spoofing: Die Überprüfung von E-Mail-Adressen ist standardmäßig nicht in das E-Mail-Protokoll (SMTP) integriert. Das bedeutet, dass ein Angreifer den Anzeigenamen und die Absenderadresse einer E-Mail fälschen kann, um sie so aussehen zu lassen, als käme sie aus dem Unternehmen oder von einem vertrauenswürdigen Anbieter. SMTP ermöglicht es dem Absender, eine andere Adresse zu definieren an die er Antworten senden kann, um sicherzustellen, dass er alle Antworten erhält.
Lookalike-Domains: Ähnlich aussehende Domänen wurden entwickelt, um die Vorteile von Zeichen zu nutzen, die leicht verwechselt werden können. So sehen beispielsweise die Domänen company.com und cornpany.com so ähnlich aus, dass sie jemanden, der nicht aufpasst, täuschen könnten.
Compromised Accounts: Wenn ein Angreifer Zugriff auf ein legitimes Konto hat, kann er es für einen BEC-Angriff verwenden. Dadurch wird die Authentizität erhöht, da die E-Mail tatsächlich von einer vertrauenswürdigen Adresse stammt.
Ein BEC-Angriff nutzt demnach eine scheinbar legitime E-Mail-Adresse aus, um den Empfänger zu einer bestimmten Aktion zu verleiten. Das häufigste Ziel eines BEC-Angriffs ist es, wie bereits erwähnt, die Zielperson davon zu überzeugen, Geld an den Angreifer zu senden, während sie glaubt, dass sie eine legitime, autorisierte Geschäftstransaktion durchführt.
Arten von Business Email Compromise (BEC)-Angriffen
Nach Angaben des FBI gibt es fünf Hauptarten von BEC-Angriffen, darunter:
Betrug mit falschen Rechnungen:
Bei diesem Angriff gibt sich der Phisher als Lieferant aus und bittet um Zahlung für Dienstleistungen, die er für das Unternehmen erbracht hat. Häufig gibt sich diese Art von Angriff als einer der tatsächlichen Lieferanten eines Unternehmens aus und verwendet eine realistische Vorlage, ändert jedoch die Bankverbindung in ein von den Angreifern kontrolliertes Konto.
CEO-Betrug:
Beim CEO-Betrug wird die Machtdynamik innerhalb eines Unternehmens ausgenutzt. Der Angreifer sendet eine E-Mail – angeblich vom CEO – und fordert den Empfänger auf, etwas zu unternehmen. Dabei kann es sich um eine Überweisung zum „Abschluss eines Geschäfts“ oder um die Übermittlung vertraulicher Informationen an einen Partner handeln.
Kontokompromittierung:
Bei einem BEC-Angriff mit Kontokompromittierung wird ein kompromittiertes E-Mail-Konto innerhalb einer Organisation ausgenutzt. Mit diesem Zugang kann der Angreifer Rechnungszahlungen von Kunden anfordern und dabei die Zahlungsdaten in die des Angreifers ändern.
Anwalts-Impersonation:
Bei dieser Art von Angriff wird die Tatsache ausgenutzt, dass Angestellte auf niedriger Ebene innerhalb eines Unternehmens wahrscheinlich Anfragen eines Anwalts oder Rechtsvertreters nachkommen, da sie nicht wissen, wie sie die Anfrage überprüfen können. Bei diesem Ansatz wird die Anfrage oft als zeitkritisch und vertraulich dargestellt, um eine unabhängige Überprüfung zu verhindern.
Datendiebstahl:
BEC-Angriffe zielen nicht nur darauf ab, Geld aus einem Unternehmen zu stehlen. Diese Art von Angriffen zielt auf Personal- und Finanzpersonal ab und versucht, sensible Informationen über die Mitarbeiter eines Unternehmens zu stehlen. Diese Informationen können dann im Dark Web verkauft oder für die Planung und Durchführung künftiger Angriffe verwendet werden.
Warum BEC-Angreifer schwerer zu fassen sind als Ransomware-Akteure:
Die berüchtigtsten und aggressivsten Ransomware-Banden bestehen oft aus kleinen Teams, während BEC-Akteure oft in lockeren, verstreuten Gruppen organisiert sind, was es den Strafverfolgungsbehörden erschwert, zentrale Organisationen oder Hauptakteure ins Visier zu nehmen. Aus diesen Gründen ist es wichtig Ihre Daten zu sichern, weswegen Sie sich eine dedizierte IP-Addresse holen sollten.
Damit können Sie mehr Kontrolle über Ihre Privatsphäre im Internet erlangen. Denn ähnlich wie die russische Zurückhaltung bei der Zusammenarbeit bei Ransomware-Ermittlungen werden die Strafverfolgungsbehörden weltweit Zeit brauchen, um eine Arbeitsbeziehung mit der nigerianischen Regierung aufzubauen, um gegen BEC vorzugehen.
Aber selbst wenn Nigeria der Durchsetzung von BEC mehr Bedeutung beimisst, bleibt es eine Herausforderung, gegen groß angelegte betrügerische Operationen vorzugehen.