In den letzten Jahren ist die Anzahl der BEC-Angriffe (Business E-Mail Compromise) immer weiter gestiegen. Mit derartigen Angriffen wird die Geschäftskorrespondenz kompromittiert, um Finanzbetrug zu begehen, an vertrauliche Informationen zu gelangen oder den Ruf eines Unternehmens zu schädigen. In einem unserer früheren Beiträge über die Arten von BECs und die Möglichkeiten, wie man mit ihnen umgeht, haben wir bereits über E-Mail-Diebstahl gesprochen. Heute jedoch sprechen wir über die gefährlichste Art von BEC-Angriffen – interner BEC. Wir haben vor kurzem eine neue Technologie zum Schutz vor dieser besonderen Bedrohung entwickelt und implementiert.
Warum ein interner BEC-Angriff gefährlicher ist als ein externer
Interne BEC-Angriffe unterscheiden sich von anderen Angriffsszenarien dadurch, dass betrügerische E-Mails von legitimen Adressen innerhalb eines Unternehmens verschickt werden. Mit anderen Worten: Um einen internen Angriff zu starten, muss sich ein Angreifer Zugang zum E-Mail-Konto eines Mitarbeiters verschafft haben. Das bedeutet, dass Sie sich nicht auf E-Mail-Authentifizierungsmechanismen (DKIM, SPF, DMARC) verlassen können, um einen solchen Angriff zu verhindern; auch die standardmäßigen automatischen Antiphishing- und Antispam-Tools, die nach Inkonsistenzen in Kopfzeilen oder Adressen suchen, helfen hier nicht.
Für gewöhnlich enthält die E-Mail einer kompromittierten Mailbox eine Aufforderung zur Überweisung von Geld (an einen Lieferanten, Auftragnehmer, Finanzamt) oder zum Übermitteln vertraulicher Daten. Das alles wird mit einigen standardmäßigen Social-Engineering Tricks abgerundet. Die Cyberkriminellen versuchen dabei immer, den Empfänger unter Druck zu setzen (z. B.: „Wenn wir die Rechnung heute nicht bezahlen, wird das Unternehmen mit einer Geldstrafe belegt!), zu bedrohen („Ich habe Sie schon letzten Monat gebeten, die Zahlung zu tätigen, worauf warten Sie noch?!“), einen verbindlichen Ton anzuschlagen, der keine Versäumnisse mehr duldet, oder andere Social-Engineering-Tricks anzuwenden. Kombiniert mit einer echten E-Mail-Adresse kann das einen sehr überzeugenden Eindruck erwecken.
Bei internen BEC-Angriffen können auch E-Mails mit Links zu gefälschten Websites eingesetzt werden, deren URLs sich von der Adresse der Zielorganisation (oder einer anderen vertrauenswürdigen Seite) nur um ein oder zwei Buchstaben unterscheiden (z. B. ein Großbuchstabe anstelle eines Kleinbuchstabens oder umgekehrt). Die Website kann ein Zahlungsformular oder einen Fragebogen enthalten, in dem vertrauliche Informationen abgefragt werden. Stellen Sie sich folgendes Szenario vor: Sie erhalten eine E-Mail von der Adresse Ihres Chefs, in der steht: „Sie müssen uns auf der Konferenz XXX vertreten. Buchen Sie das Ticket bitte schnellstmöglich mit unserer Bankverbindung, damit wir einen Frühbucherrabatt erhalten können.“ Zusammen mit einem Link, der aussieht wie die Website einer der wichtigsten Veranstaltung Ihrer Branche, sieht die E-Mail ziemlich überzeugend aus. Wie stehen die Chancen, dass Sie sich die Zeit nehmen werden, jede E-Mail sorgfältig zu kontrollieren, wenn alles, bis hin zur E-Mail-Signatur, in Ordnung zu sein scheint?
Wie kann man Unternehmen vor internen BEC-Angriffen schützen?
Technisch gesehen ist die E-Mail vollkommen in Ordnung, sodass die einzige Möglichkeit, eine solche Fälschung zu erkennen, darin besteht, den E-Mail-Inhalt kritisch zu beurteilen. Indem man viele solcher BEC-Nachrichten durch Algorithmen laufen lässt, die mit künstlicher Intelligenz arbeiten, ist es möglich, solche Merkmale zu identifizieren, die helfen, festzustellen, ob eine Nachricht echt oder Teil eines BEC-Angriffs ist.
Glücklicherweise (oder auch nicht) haben wir keinen Mangel an Stichproben. Unsere E-Mail-Fallen nehmen täglich Millionen von Spam-Nachrichten auf der ganzen Welt auf. Dazu gehört auch eine beträchtliche Anzahl an Phishing-E-Mails, die natürlich keine internen BEC-Angriffe sind, aber die gleiche Tricks anwenden und dieselben Ziele verfolgen, sodass wir sie zum Lernen einspeisen.
Zu Beginn trainieren wir einen Klassifikator an dieser großen Menge von Stichproben, um betrügerische Nachrichten zu identifizieren. Die nächste Stufe des maschinellen Lernprozesses arbeitet direkt mit dem Text. Die Algorithmen suchen Begriffe zur Erkennung verdächtiger Nachrichten heraus, auf deren Grundlage wir Heuristiken (Regeln) entwickeln, mit denen unsere Produkte Angriffe identifizieren können. Ein ganzes Ensemble von maschinell lernenden Klassifikatoren ist an diesem Prozess beteiligt.
Aber das ist kein Grund, um sich zurückzulehnen und zu entspannen. Unsere Produkte können jetzt weit mehr BEC-Angriffe erkennen als früher, aber nachdem ein Eindringling Zugang zum E-Mail-Konto eines Mitarbeiters erhalten hat, kann er dessen Schreibstil erlernen und versuchen, ihn bei einem einmaligen Angriff nachzuahmen. Wachsamkeit ist also nach wie vor entscheidend.
Wir empfehlen Ihnen, sich lange und gründlich mit E-Mail Nachrichten zu befassen, in denen um eine Überweisung oder die Offenlegung vertraulicher Daten gebeten wird. Fügen Sie eine zusätzliche Authentifizierungsebene hinzu, indem Sie den betreffenden Kollegen anrufen oder ihm (in einem vertrauenswürdigen Dienst) eine Nachricht zukommen lassen oder persönlich mit ihm sprechen, um die Einzelheiten zu klären.
Wir verwenden die neu-generierten Heuristiken unserer neuen Anti-BEC-Technologie bereits in Kaspersky Security for Microsoft Office 365. Bald werden sie auch in anderen Lösungen implementiert werden.