FBI benennt Weiterleitungsregeln als Schuldige für E-Mail-Kompromittierung in Unternehmen

Ein weiteres Risiko für die Cybersicherheit bei der Arbeit von zu Hause aus: Selbst bei guter E-Mail-Sicherheit können Cyberangreifer E-Mail-Weiterleitungsregeln ausnutzen, um Unternehmen aller Größenordnungen um Millionen von Dollar zu betrügen, was zum Teil auf Verzögerungen bei der Synchronisierung zwischen Desktop- und Web-E-Mail-Clients zurückzuführen ist. Eine der wichtigsten Empfehlungen zur Minderung dieses Risikos ist, dass E-Mail-Sicherheitsadministratoren die Möglichkeit der Benutzer einschränken, E-Mail-Weiterleitungsregeln zu erstellen, die außerhalb der Hauptgeschäftsdomäne senden.

Auf der Grundlage seiner Untersuchung einer Reihe von BEC-Angriffen (Business Email Compromise) aus dem Jahr 2020 gab das FBI am 25. November bekannt, dass Unternehmen sich vor Taktiken hüten sollten, die Weiterleitungsregeln nutzen, um die E-Mail-Konten der Opfer zu überwachen und zu manipulieren, so dass Kriminelle Zahlungsaufforderungen abfangen können. Die Angriffe wurden wahrscheinlich dadurch ausgelöst, dass immer mehr Mitarbeiter webbasierte E-Mail-Anwendungen nutzen, während sie aufgrund von COVID-19 von zu Hause aus arbeiten. Die Einstellungen webbasierter E-Mail-Clients werden oft nicht automatisch mit dem Desktop-Client synchronisiert, was dazu beiträgt, die kriminellen Aktivitäten zu verschleiern und Unternehmen anfällig für kostspielige BEC-Kampagnen zu machen - ein weiterer Beitrag zu den bereits wachsenden BEC-Angriffstrends.

Obwohl das FBI dies nicht gesagt hat, geht die Ankündigung wahrscheinlich auf eine Untersuchung zurück, die das FBI von der israelischen Cybersicherheitsfirma Mitiga übernommen hat. Das Unternehmen entdeckte eine weltweite E-Mail-Kompromittierungskampagne , bei der mindestens 15 Millionen Dollar abgezweigt wurden und die offenbar 150 oder mehr verschiedene Unternehmen zum Ziel hatte. Weiterleitungs- und Filterregeln, die den Angreifern dabei halfen, die E-Mail-Kommunikation der Opfer auszuspionieren, blieben laut Mitiga unentdeckt und ermöglichten es ihnen, legitime zahlungsbezogene E-Mails zu kapern und zu fälschen, um finanziellen Gewinn zu erzielen.[1]

Der milliardenschwere Preis der E-Mail-Kompromittierung von Unternehmen

BEC ist ein wachsender Angriffstrend, der in der Regel darauf abzielt, Unternehmen zu betrügen, indem Mitarbeiter dazu gebracht werden, Geld auf betrügerische Bankkonten zu überweisen. Laut dem FBI-Bericht zur Internetkriminalität 2019 verursachte BEC in diesem Jahr Verluste in Höhe von 1,7 Milliarden US-Dollar , wobei die Opfer einen durchschnittlichen Verlust von fast 75.000 US-Dollar meldeten.[2] Taktiken wie Social Engineering und Domain-Spoofing werden regelmäßig eingesetzt, um die Erfolgschancen eines Angriffs zu erhöhen, aber wie das FBI und Mitiga festgestellt haben, tauchen auch andere Techniken wie die verdeckte Nutzung von Weiterleitungsregeln auf.

Rolle der Weiterleitungsregeln bei zwei BEC-Angriffen im August 2020 aufgezeigt

So erbeutete das FBI bei einem BEC-Angriff im August 2020 175.000 Dollar von einem in den USA ansässigen Unternehmen für medizinische Geräte. Bei diesem Angriff erstellten die Cyberkriminellen Weiterleitungsregeln in einem E-Mail-Webclient, die nicht mit der Desktop-Anwendung synchronisiert wurden. Die Weiterleitungsregeln blieben unbemerkt, so dass die Angreifer unbemerkt eine Erkundungsaktion durchführen konnten, die es ihnen schließlich ermöglichte, sich als legitimer internationaler Anbieter auszugeben, eine gefälschte Domain einzurichten und eine Zahlung abzufangen. Der Angreifer nutzte auch eine im Vereinigten Königreich ansässige IP-Adresse, um das Geschäft abzuschließen.

Bei einem weiteren Angriff im August 2020 erstellte derselbe Cyberkriminelle laut FBI drei Weiterleitungsregeln innerhalb des webbasierten E-Mail-Clients, der von einem Fertigungsunternehmen verwendet wurde. Eine Regel leitete alle E-Mails mit den Begriffen "Bank", "Rechnung", "Zahlung", "Scheck" oder "Überweisung" an die externe E-Mail-Adresse der Kriminellen weiter. Die beiden anderen Weiterleitungsregeln schickten E-Mails von einer bestimmten Domain an dieselbe kriminelle E-Mail-Adresse.

Das FBI wies darauf hin, dass selbst dann, wenn das IT-Personal automatische Warnmeldungen aktiviert, sobald eine E-Mail-Regel im Netzwerk hinzugefügt oder aktualisiert wird, Weiterleitungsregeln unbemerkt bleiben können, wenn Web- und Desktop-E-Mail-Clients nicht aktiv synchronisiert werden. Mit anderen Worten, Warnmeldungen können Aktualisierungen auf entfernten Arbeitsplätzen, die webbasierte E-Mail-Anwendungen verwenden, übersehen, wodurch der Mitarbeiter und alle angeschlossenen Netzwerke verwundbar werden. Darüber hinaus werden bei Systemprüfungen nicht immer aktualisierte E-Mail-Regeln erkannt, wenn nicht sowohl der Desktop- als auch der Web-Client geprüft werden. Zwei Audits dauern länger und verlängern die Zeit, in der Cyberkriminelle Zugriff auf das kompromittierte Konto erhalten können.

KI-basierte E-Mail-Überwachung ist die wirksamste Abwehrmaßnahme

In seiner Meldung gibt das FBI eine Reihe von Tipps, um potenzielle Schwachstellen von BEC-Taktiken mit Weiterleitungsregeln zu entschärfen. Aber die wirksamste Verteidigung gegen solche subtilen Angriffe ist wahrscheinlich künstliche Intelligenz, bemerkte Elaine Lee, Staff Data Scientist bei Mimecast. "KI-basierte Abwehrmaßnahmen können die üblichen Kommunikationsmuster eines jeden Mitarbeiters ermitteln und diese dann als Benchmark verwenden, um Anomalien zu erkennen und automatisch Warnungen vor einer Bedrohung zu generieren", so Lee.

"Eine einzige E-Mail kann in Hunderte von Merkmalen aufgeschlüsselt werden, von grundlegenden Informationen wie Absender und Empfänger bis hin zu textlichen Merkmalen wie der Anzahl der Verben im Text", erklärt Lee. "Herkömmliche regelbasierte Cybersecurity-Abwehrsysteme verlassen sich in der Regel auf eine begrenzte Anzahl von Merkmalen und die Identifizierung von Schlüsselwörtern, was ihre Genauigkeit verringert. Richtig angewandt sind Modelle mit künstlicher Intelligenz in der Lage, eine eingehende E-Mail auf der Grundlage von weitaus mehr Faktoren zu bewerten und sie fast sofort zu klassifizieren." Außerdem lernen KI-basierte E-Mail-Abwehrsysteme ständig dazu und können sich automatisch anpassen, wenn sich Angriffe weiterentwickeln.

Bis Ihr Unternehmen jedoch für KI bereit ist, lauten die wichtigsten Empfehlungen des FBI und der Sicherheitsexperten von Mimecast wie folgt:

• Schränken Sie die Möglichkeit ein, Weiterleitungsregeln zu erstellen, die E-Mails an externe Adressen weiterleiten.
• Stellen Sie sicher, dass sowohl Web- als auch Desktop-Anwendungen auf dem neuesten Stand und synchronisiert sind.
• Überprüfen Sie E-Mail-Adressen immer auf kleine Änderungen, die sonst nur schwer zu erkennen sind, wie z. B. Buchstabenersetzungen, unterschiedliche Top-Level-Domains oder Tippfehler.
• Seien Sie vorsichtig bei plötzlichen oder in letzter Minute vorgenommenen Änderungen an ansonsten etablierten E-Mail-Adressen, z. B. wenn Sie eine Zahlung an ein anderes Konto als üblich senden.
• Erzwingen Sie die regelmäßige Aktualisierung von Passwörtern, um die Wahrscheinlichkeit zu verringern, dass gestohlene Anmeldedaten nützlich bleiben.
• Erzwingen Sie für alle E-Mail-Konten eine Zwei-Faktor- oder Multi-Faktor-Authentifizierung (2FA, MFA).
• Aktivieren Sie Warnmeldungen für verdächtige Aktivitäten, wie z. B. Anmeldungen oder Fernzugriff von neuen Standorten und/oder Geräten.
• Vermeiden Sie die Verwendung älterer E-Mail-Protokolle wie IMAP, POP und SMPT1 - sie können zur erfolgreichen Umgehung von MFA verwendet werden.
• Überwachen Sie regelmäßig die E-Mail-Serverprotokolle auf ungewöhnliche E-Mail-Zugriffe und Änderungen wie neue benutzerdefinierte Weiterleitungs- oder Filterregeln für bestimmte Konten.
• Protokollieren Sie alle Änderungen an den Postfacheinstellungen und Anmeldeinformationen und bewahren Sie sie mindestens 90 Tage lang auf.
• Kennzeichnen Sie alle E-Mails, bei denen die "Antwort an"-Adresse von der "Absender"-Adresse abweicht.
• Fügen Sie allen eingehenden Nachrichten, die von außerhalb Ihres Unternehmens stammen, Kopfzeilen für externe E-Mail-Warnungen hinzu.
• Verwenden Sie Sicherheitsfunktionen, die bösartige E-Mails blockieren und Anti-Phishing- und Anti-Spoofing-Maßnahmen einschließen.
• Führen Sie Verfahren ein, die Ihre Mitarbeiter ermutigen, Zahlungsanträge zu überprüfen, unabhängig davon, ob es sich um Routinezahlungen oder verdächtige Zahlungen handelt.

Die Quintessenz

Im Rahmen des wachsenden Trends von E-Mail-Kompromittierungskampagnen in Unternehmen nutzen bösartige Akteure E-Mail-Weiterleitungsregeln, um ihre Aktivitäten zu verschleiern, nachdem sie sich Zugang zu den E-Mail-Konten der Opfer verschafft haben. Wenn sie auf einem webbasierten E-Mail-Client aktualisiert werden, werden die Weiterleitungsregeln oft nicht mit dem Desktop-Client synchronisiert, was die Sichtbarkeit von Diskrepanzen verringert und es den Cyberkriminellen erleichtert, Betrügereien durchzuführen. Dennoch können ähnliche Angriffe mit den richtigen proaktiven Prozessen und guter Cyberhygiene minimiert werden.

[1] "Mitiga kooperiert mit den Strafverfolgungsbehörden bei einer globalen BEC-Kampagne (Business Email Compromise), die über 15 Millionen Dollar eingebracht hat.," Medium

[2] "2019 Internet Crime Report Released," FBI.gov