Cyberangreifer lauerten monatelang in den Microsoft 365-E-Mail-Konten der Opfer, um zunächst 15 Millionen US-Dollar abzuzweigen und dann die Entdeckung ihrer E-Mail-Kompromittierung zu verhindern.

Wesentliche Punkte:

  • Bei einer kürzlich durchgeführten globalen E-Mail-Kompromittierungskampagne für Unternehmen, die jetzt vom FBI untersucht wird, wurden mindestens 15 Millionen US-Dollar abgezweigt, und es könnten 150 oder mehr Unternehmen betroffen gewesen sein.
  • Die Angreifer überwachten und manipulierten die Microsoft 365-Konten ihrer Opfer und nutzten Weiterleitungs- und Filterregeln, um die gesamte E-Mail-Kommunikation auszuspionieren und dann zahlungsrelevante E-Mails abzufangen und zu imitieren.
  • Durch strenge Sicherheitskontrollen und bessere Geschäftsprozesse wäre dieser Angriff wahrscheinlich vermeidbar gewesen.

Ein lang anhaltender BEC-Angriff (Business Email Compromise) gegen ca. 150 verschiedene Unternehmen brachte der cyberkriminellen Gruppe - oder den Gruppen -, die ihn verübten, bevor sie entdeckt wurden, mindestens 15 Millionen US-Dollar ein, so Mitiga, die israelische Cybersicherheitsfirma, die den Vorfall zuerst untersuchte. Unglaublich ist, dass der Angriff - der nun vom FBI untersucht wird - keine Malware enthielt und keine Schwachstellen von Microsoft 365 ausnutzte, obwohl er ausschließlich auf Nutzer dieser Plattform abzielte.

Tatsächlich nutzten die Cyberkriminellen selbst Microsoft 365 für ihre eigene E-Mail-Infrastruktur, wahrscheinlich, weil es "die Wahrscheinlichkeit des Auslösens bösartiger Erkennungsfilterung" reduzierte, so ein Beitrag von Andrey Shomer, Forschungsleiter bei Mitiga. [1]

Überblick über den 15-Millionen-Dollar-Angriff auf geschäftliche E-Mail-Kompromittierung

Diese BEC-Kampagne war technologisch einfach. Es ist zwar nicht bekannt, wie die Cyberkriminellen die Anmeldeinformationen der Benutzer kompromittiert haben, aber sobald sie es taten, waren die Kriminellen erfolgreich:

  • Richten Sie Weiterleitungsregeln ein, die alle ein- und ausgehenden E-Mails an die eigenen Konten der Kriminellen senden.
  • Dann überwachte er monatelang den E-Mail-Verkehr und wartete auf Gelegenheiten, um zahlungsbezogene Korrespondenz abzufangen.
  • Ersetzten legitime zahlungsbezogene E-Mails mit gefälschten Nachrichten, die ihre eigenen Bankkontodaten enthielten.
  • Dann fingen sie weiterhin E-Mails ab, die zur Entdeckung hätten führen können, bis sie das Geld auf bisher unauffindbare Konten verschieben konnten.

BEC-Angriffe lassen sich in der Regel mit Sicherheitskontrollen wie Zwei-Faktor-Authentifizierung und regelmäßigen Anforderungen an die Aktualisierung von Passwörtern oder mit Geschäftsprozessen verhindern, die vor der Ausführung die Zahlungsfreigabe durch mehrere verschiedene Manager erfordern. Und doch kostete das Versäumnis, solche Vorkehrungen zu treffen US-Unternehmen im Jahr 2019 über 1,7 Milliarden US-Dollar an BEC-Verlusten - viermal mehr als jede andere Kategorie von Cyberkriminalität, so das FBI. [2]

Der Rest dieses Beitrags befasst sich mit den Details, wie diese BEC-Masche angeblich durchgeführt wurde - und was Sie tun können, um sicherzustellen, dass Ihr Unternehmen nicht in ähnlicher Weise zum Opfer wird.

BEC-Opfer variieren über Branchen hinweg

Der Angriff zielte auf eine breite Palette von Branchen, darunter Unternehmen aus den Bereichen Recht, Finanzen, Einzelhandel, Bauwesen und mehr. Der gemeinsame Nenner? Alle Opfer der BEC-Kampagne nutzten Microsoft 365. Darüber hinaus ist es wahrscheinlich, dass jedes Opfer routinemäßig eine große Anzahl von Transaktionen mit Dritten durchführte.

Zur Frage, wie die Cyberkriminellen überhaupt in den Besitz der Benutzerdaten gekommen sind: "Derzeit wird angenommen, dass sie die Zugangsdaten auf dem 'Schwarzmarkt' von Tätern vergangener Datenschutzverletzungen erworben haben könnten", sagte Meni Farjon, Chief Scientist of Advanced Threat Detection bei Mimecast. "Seitdem das FBI die Ermittlungen übernommen hat, wurden keine weiteren Informationen bekannt gegeben", fügte er hinzu.

Aber warum Microsoft 365? Laut Mitiga kann die Verwendung von Microsoft 365 Glaubwürdigkeit von Benutzer zu Benutzer erzeugen und dadurch die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöhen. Mit anderen Worten: Wenn Angreifer und Opfer denselben Technologie-Stack verwenden, ist es unwahrscheinlicher, dass verdächtige Diskrepanzen entdeckt werden und dass bösartige E-Mails automatisch auf die schwarze Liste gesetzt werden. Natürlich ist auch Microsoft 365 allgegenwärtig - und der Ausgangspunkt für 94 % aller Cyberangriffe. [3]

Wie können Sie Ihr Unternehmen vor E-Mail-Kompromittierung schützen, wenn jeder böse Akteur einfach die Anmeldedaten Ihrer Benutzer kaufen kann? Farjon und Mitiga empfehlen:

  • Verwenden Sie immer die Zwei-Faktor-Authentifizierung (2FA). 2FA kann dazu beitragen, dass böse Akteure nicht aus der Ferne auf die Konten Ihrer Mitarbeiter zugreifen können.
  • Erzwingen Sie die regelmäßige Aktualisierung von Passwörtern, um die Wahrscheinlichkeit zu verringern, dass gestohlene Anmeldedaten nützlich bleiben.
  • Protokollieren Sie alle Änderungen an den Postfacheinstellungen und Anmeldeinformationen und bewahren Sie diese für mindestens 90 Tage auf.
  • Stellen Sie sicher, dass Alarme für verdächtige Aktivitäten aktiviert sind, wie z. B. ausländische Anmeldungen oder Fernzugriffe von neuen Geräten oder Standorten.
  • Analysieren Sie routinemäßig die Serverprotokolle auf abnormale E-Mail-Zugriffe.

Angreifer überwachten und manipulierten den E-Mail-Verkehr über mehrere Monate hinweg

Sobald die Cyberkriminellen Zugriff auf die Microsoft 365-Konten der Opfer erlangt hatten, erstellten sie heimlich E-Mail-Weiterleitungs- und Filterregeln, anstatt die Benutzer aus den Konten auszusperren oder die Konten zu übernehmen, um illegale E-Mails zu versenden.

Die Weiterleitungsregel wurde genutzt, um alle E-Mails automatisch an den externen Posteingang des Angreifers zu senden, wodurch dieser den gesamten E-Mail-Verkehr ausspionieren konnte. Über Monate hinweg konnten sie die Beziehungen zwischen dem Angriffsopfer und Dritten wie Partnern und Lieferanten analysieren und so den perfekten Zeitpunkt für einen Angriff finden. In der Zwischenzeit wurden bestimmte sensible Kommunikationen - wie legitime Rechnungen oder Sorgen über ausbleibende Zahlungen - in einen versteckten Ordner gefiltert, damit das Opfer sie nicht sehen konnte. Wenn also ein legitimer Absender eine Zahlungsaufforderung schickte, blieb diese vor dem Opfer verborgen, und der Angreifer konnte sich als leitender Angestellter ausgeben, um eine geänderte Überweisungsanforderung zu erstellen.

Die Weiterleitungs- und Filterregeln halfen auch den Angreifern, ihre Position zu sichern. Selbst wenn das Opfer sein Passwort änderte und der Angreifer den Zugriff auf das Konto verlor, erhielt es weiterhin weitergeleitete E-Mails (solange die Weiterleitungsregel unentdeckt blieb), während legitime E-Mails aus dem Blickfeld des Opfers gefiltert wurden, was den Verdacht reduzierte.

Der Schutz gegen diese Techniken sollte umfassen:

  • Routinemäßige Suche nach versteckten Ordnern und Filterregeln in den Posteingangseinstellungen.
  • Festlegen von Regeln, um die massenhafte Weiterleitung von E-Mails an Adressen außerhalb Ihrer Organisation zu verhindern.
  • Blockieren von Legacy-E-Mail-Protokollen wie IMAP, POP und SMPT1. Sie können verwendet werden, um E-Mails weiterzuleiten und die Multifaktor-Authentifizierung erfolgreich zu umgehen.
  • Routinemäßige Überprüfung der Weiterleitungsregeln in allen E-Mail-Konten.
  • Verstärkung von Cloud-Systemen mit einer E-Mail-Sicherheitslösung, die über aktive Erkennungsfunktionen verfügt, um Anomalien und potenziell kompromittierendes Material zu identifizieren.

Bedrohungsakteure verwendeten gefälschte Domains und MS 365-Konten, um eine Entdeckung zu vermeiden

Nachdem die Angreifer aufgrund ihrer langfristigen Aufklärung wussten, welche Führungskräfte von Drittanbietern sie imitieren mussten, verwendeten sie gefälschte Domains, die mit ihren eigenen Microsoft 365-Abonnements verbunden waren, um echte Unternehmen zu imitieren und scheinbar legitime Zahlungsaufforderungen zu senden - allerdings mit geänderten Bankkontodaten. Die Opfer wurden dann dazu verleitet, Geld auf betrügerische Bankkonten zu überweisen. Alle von den Angreifern gesendeten und empfangenen E-Mails stammten von einer Microsoft 365-IP-Adresse, wodurch die Angreifer sich in eine legitime Infrastruktur einfügen konnten.

Diese gefälschten Domains stützten sich auf homografische Techniken, die es schwerer machten, sie von legitimen Domains zu unterscheiden. Um sich beispielsweise als mimecast.com auszugeben, könnten sie Domains wie mimecastt.com oder m1mecast.com verwendet haben (aber um das klarzustellen: Mimecast war kein Opfer dieses Angriffs). Es wurden über 150 gefälschte Domains identifiziert, die alle mit einem von 15 verschiedenen Microsoft 365-Konten verbunden waren.

Der BEC-Angriff wurde erst entdeckt, nachdem eine Überweisung ausgeführt wurde und das Geld nicht auf dem Bankkonto des Verkäufers ankam.

Zum Schutz vor diesen E-Mail-Kompromittierungstechniken:

  • Bieten Sie in regelmäßigen Abständen ansprechende Schulungen zum Sicherheitsbewusstsein an . Bringen Sie Ihren Mitarbeitern bei, rote Flaggen wie gefälschte E-Mail-Adressen und andere Zahlungsinformationen als üblich zu erkennen.
  • Richten Sie Verifizierungsverfahren ein, wenn Geld gesendet oder empfangen wird. Die telefonische Authentifizierung kann neben der E-Mail eine zweite Verteidigungslinie darstellen - obwohl auch sie angesichts der steigenden Cyberbedrohung durch "Deep Fake"-Technologie unvollkommen ist.
  • Ziehen Sie den Einsatz einer E-Mail-Sicherheitslösung in Betracht, die über ausgefeilte Algorithmen verfügt, die Impersonationen, bösartige E-Mails und andere Anomalien erkennen können.

Was lässt sich daraus schließen?

Von den jüngsten Angriffen zur Kompromittierung von Geschäfts-E-Mails waren möglicherweise bis zu 150 Unternehmen betroffen, wobei sich der geschätzte Schaden bisher auf etwa 15 Millionen US-Dollar beläuft. Die Cyberkriminellen nutzten schlechte Geschäftsprozesse und menschliches Versagen, aber offenbar keine Software-Schwachstellen. Sie nutzten auch das inhärente Vertrauen, das die Kommunikation über das Netzwerk von Microsoft 365 mit sich bringt, damit die gefälschten E-Mails unentdeckt bleiben und die Opfer dazu verleiten, große Geldsummen auf kriminelle Bankkonten zu überweisen. Solche BEC-Angriffe können in der Regel durch eine Kombination aus guten Geschäftsprozessen, effektiven Cybersicherheitskontrollen und einem erstklassigen sicheren E-Mail-Gateway vereitelt werden.

 

[1] "Mitiga kooperiert mit den Strafverfolgungsbehörden bei einer globalen BEC-Kampagne (Business Email Compromise), die über 15 Millionen Dollar eingebracht hat.," Medium

[2] "2019 Internet Crime Report Released," FBI.gov

[3] "2019 Data Breach Investigations Report," Verizon

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang