Die "Weiterleitungsregel"-Taktik bei geschäftlichen E-Mail-Kompromissen kann mit einfachen Empfehlungen zur Eindämmung der Cybersicherheit überwunden werden.

Wesentliche Punkte:

  • In einer kürzlich veröffentlichten Mitteilung hob das FBI mehrere Fälle von Cyberkriminellen hervor, die E-Mail-Weiterleitungsregeln nutzen, um erfolgreiche E-Mail-Kompromittierungskampagnen im Geschäftsleben durchzuführen.
  • Das FBI hofft, das Bewusstsein der Sicherheitsexperten von Unternehmen für diese BEC-Angriffstechnik zu schärfen und gleichzeitig Wege zur Minimierung der Verwundbarkeit zu empfehlen.

Ein weiteres Cybersicherheitsrisiko bei der Arbeit von zu Hause aus: Selbst bei guter Sorgfalt bei der E-Mail-Sicherheit können Cyber-Angreifer E-Mail-Weiterleitungsregeln ausnutzen, um Unternehmen jeder Größe um Millionen von Dollar zu betrügen, was zum Teil auf Verzögerungen bei der Synchronisierung zwischen Desktop- und Web-E-Mail-Clients zurückzuführen ist. Zu den wichtigsten Empfehlungen zur Eindämmung dieses Risikos gehört, dass E-Mail-Sicherheitsadministratoren die Möglichkeit der Benutzer einschränken, E-Mail-Weiterleitungsregeln zu erstellen, die außerhalb der Hauptgeschäftsdomäne senden. 

Basierend auf seiner Untersuchung einer Serie von BEC-Angriffen (Business E-Mail Compromiss) im Jahr 2020 kündigte das FBI am 25. November an, dass Unternehmen sich vor Taktiken hüten sollten, die Weiterleitungsregeln zur Überwachung und Manipulation der E-Mail-Konten der Opfer verwenden, um Kriminellen die Möglichkeit zu geben, Zahlungsanfragen abzufangen. Die Angriffe wurden wahrscheinlich dadurch katalysiert, dass aufgrund von COVID-19 mehr Mitarbeiter webbasierte E-Mail-Anwendungen bei der Arbeit von zu Hause aus nutzten. Web-basierte E-Mail-Client-Einstellungen werden oft nicht automatisch mit dem Desktop-Client synchronisiert, was dazu beiträgt, die kriminellen Aktivitäten zu verbergen und Unternehmen anfällig für kostspielige BEC-Kampagnen zu machen - ein weiterer Beitrag zu den bereits wachsenden BEC-Angriffstrends.

Obwohl das FBI dies nicht sagte, ging die Ankündigung wahrscheinlich aus einer Untersuchung hervor, die das Büro von der israelischen Cybersicherheitsfirma Mitiga übernommen hatte. Die Firma entdeckte eine weltweite E-Mail-Kompromittierungskampagne, bei der mindestens 15 Millionen Dollar abgezweigt wurden und die anscheinend 150 oder mehr verschiedene Unternehmen zum Ziel hatte. Weiterleitungs- und Filterregeln, die dazu dienten, Angreifern zu helfen, die E-Mail-Kommunikation der Opfer auszuspionieren, blieben unentdeckt und erlaubten es ihnen, legitime zahlungsbezogene E-Mails zu entführen und zu fälschen, um finanziellen Gewinn zu erzielen, so Mitiga.[1]

Der milliardenschwere Preis des E-Mail-Kompromisses für Unternehmen

BEC ist ein wachsender Angriffstrend, der in der Regel darauf abzielt, Organisationen zu betrügen, indem Mitarbeiter dazu gebracht werden, Geld auf betrügerische Bankkonten zu überweisen. Laut dem FBI-Bericht zur Internetkriminalität 2019 verursachte BEC in diesem Jahr Verluste in Höhe von 1,7 Milliarden US-Dollar , wobei die Opfer einen durchschnittlichen Verlust von fast 75.000 US-Dollar meldeten. [2] Taktiken wie Social Engineering und Domain-Spoofing werden regelmäßig eingesetzt, um die Erfolgschancen eines Angriffs zu erhöhen, aber wie das FBI und Mitiga feststellen, tauchen auch andere Techniken wie die verdeckte Nutzung von Weiterleitungsregeln auf.

Rolle der Weiterleitungsregeln bei zwei BEC-Angriffen im August 2020 aufgezeigt

Zum Beispiel sagte das FBI, dass bei einem BEC-Angriff im August 2020 einem in den USA ansässigen Unternehmen für medizinische Geräte 175.000 Dollar abgezockt wurden. Bei diesem Angriff erstellten Cyberkriminelle in einem E-Mail-Webclient Weiterleitungsregeln, die sich nicht mit der Desktop-Anwendung synchronisierten. Die Weiterleitungsregeln blieben unbemerkt, und die Angreifer waren in der Lage, unter dem Radar zu fliegen und Aufklärungsarbeit zu leisten, die ihnen schließlich dabei half, sich als ein legitimer internationaler Anbieter auszugeben, eine gefälschte Domain einzurichten und eine Zahlung abzufangen. Der Angreifer benutzte auch eine in Großbritannien ansässige IP-Adresse, um das Geschäft zu besiegeln.

Bei einem weiteren Angriff vom August 2020 schuf derselbe Cyberkriminelle laut FBI drei Weiterleitungsregeln innerhalb des webbasierten E-Mail-Clients, der von einer Herstellerfirma verwendet wird. Eine Regel leitete alle E-Mails mit den Begriffen "Bank", "Rechnung", "Zahlung", "Scheck" oder "Überweisung" an die externe E-Mail-Adresse der Kriminellen weiter. Die beiden anderen Weiterleitungsregeln schickten E-Mails von einer bestimmten Domäne an dieselbe E-Mail-Adresse der Kriminellen.

Das FBI bemerkte, dass selbst wenn das IT-Personal Auto-Alerts jedes Mal aktiviert, wenn eine E-Mail-Regel zum Netzwerk hinzugefügt oder innerhalb des Netzwerks aktualisiert wird, Weiterleitungsregeln möglicherweise unbemerkt bleiben, wenn Web- und Desktop-E-Mail-Clients nicht aktiv synchronisiert werden. Mit anderen Worten: Bei Alarmen könnten Updates auf entfernten Workstations mit webbasierten E-Mail-Anwendungen verpasst werden - wodurch der Mitarbeiter und alle angeschlossenen Netzwerke verwundbar würden. Hinzu kommt, dass bei Systemprüfungen möglicherweise nicht immer aktualisierte E-Mail-Regeln erkannt werden, wenn nicht sowohl der Desktop- als auch der Web-Client geprüft werden. Zwei Audits dauern länger, wodurch Cyberkriminelle mehr Zeit benötigen, um den Zugriff auf das kompromittierte Konto aufrechtzuerhalten.

KI-basierte E-Mail-Überwachung ist die stärkste Abwehr

In seiner Benachrichtigung bot das FBI eine Reihe von Tipps an, die dazu beitragen sollen, potentielle Schwachstellen aus den BEC-Taktiken mit Weiterleitungsregeln zu mildern. Aber die wirksamste Verteidigung gegen solche subtilen Angriffe ist wahrscheinlich die künstliche Intelligenz, bemerkte Elaine Lee, Staff Data Scientist bei Mimecast. "KI-basierte Abwehrmaßnahmen können die üblichen Kommunikationsmuster jedes Mitarbeiters festlegen und diese dann als Maßstab verwenden, um Anomalien zu erkennen und automatisch Warnungen vor einer Bedrohung zu generieren", sagte Lee.

"Eine einzige E-Mail kann in Hunderte von Merkmalen zerlegt werden, von grundlegenden Informationen wie Absender und Empfänger bis hin zu textlichen Merkmalen wie der Anzahl der Verben im Fließtext", erklärte Lee. "Herkömmliche regelbasierte Cybersicherheitsabwehr beruht in der Regel auf einer begrenzten Anzahl von Merkmalen und der Identifizierung von Schlüsselwörtern, was ihre Genauigkeit verringert. Bei korrekter Anwendung sind Modelle der künstlichen Intelligenz in der Lage, eine eingehende E-Mail auf der Grundlage von weit mehr Faktoren zu beurteilen und sie fast augenblicklich zu klassifizieren". Darüber hinaus lernt die KI-basierte E-Mail-Abwehr ständig dazu und kann sich automatisch an die Entwicklung von Angriffen anpassen.

Bis Ihre Organisation für KI bereit ist, sollten jedoch die besten Empfehlungen des FBI und der Sicherheitsexperten von Mimecast gelten:

  • Beschränken Sie die Möglichkeit zum Erstellen von Weiterleitungsregeln, die E-Mails an externe Adressen weiterleiten.
  • Stellen Sie sicher, dass sowohl Web- als auch Desktop-Anwendungen auf dem neuesten Stand und synchronisiert sind.
  • Überprüfen Sie E-Mail-Adressen immer auf kleine Änderungen, die sonst schwer zu erkennen wären, wie z.B. Zeichenersetzungen, unterschiedliche Top-Level-Domains oder Tippfehler.
  • Seien Sie vorsichtig bei plötzlichen oder in letzter Minute auftretenden Änderungen an anderweitig eingerichteten E-Mail-Adressen, z.B. wenn Sie eine Zahlung an ein anderes Konto als gewöhnlich senden.
  • Erzwingen Sie die regelmäßige Aktualisierung von Passwörtern, um die Wahrscheinlichkeit zu verringern, dass gestohlene Anmeldedaten nützlich bleiben.
  • Erzwingen Sie Zwei- oder Mehrfaktor-Authentifizierung (2FA, MFA) für alle E-Mail-Konten.
  • Aktivieren Sie Warnmeldungen bei verdächtigen Aktivitäten, wie z.B. Anmeldungen oder Fernzugriff von neuen Standorten und/oder Geräten aus.
  • Vermeiden Sie die Verwendung veralteter E-Mail-Protokolle wie IMAP, POP und SMPT1 - sie können zur erfolgreichen Umgehung von MFA verwendet werden.
  • Regelmäßige Überwachung der E-Mail-Server-Protokolle auf anormale E-Mail-Zugriffe und Änderungen wie neue benutzerdefinierte Weiterleitungen oder Filterregeln für bestimmte Konten.
  • Protokollieren Sie alle Änderungen an den Postfacheinstellungen und Anmeldeinformationen und bewahren Sie diese für mindestens 90 Tage auf.
  • Markieren Sie alle E-Mails, bei denen die "Antwort an"-Adresse von der "von"-Adresse abweicht.
  • Fügen Sie allen eingehenden Nachrichten, die von außerhalb Ihrer Organisation stammen, externe E-Mail-Warnungsheader hinzu.
  • Verwenden Sie Sicherheitsfunktionen, die bösartige E-Mails blockieren und Anti-Phishing- und Anti-Spoofing-Richtlinien integrieren.
  • Einführung von Verfahren, die Mitarbeiter dazu ermutigen, Zahlungsanträge zu überprüfen, unabhängig davon, ob sie routinemäßig oder verdächtig sind.

Was lässt sich daraus schließen?

Als Teil des wachsenden Trends von E-Mail-Kompromittierungskampagnen im Geschäftsleben nutzen schlechte Akteure E-Mail-Weiterleitungsregeln, um ihre Aktivitäten zu verbergen, nachdem sie sich Zugang zu den E-Mail-Konten der Opfer verschafft haben. Wenn die Weiterleitungsregeln auf einem webbasierten E-Mail-Client aktualisiert werden, werden sie oft nicht mit dem Desktop-Client synchronisiert, was die Sichtbarkeit von Diskrepanzen verringert und Cyberkriminellen die Durchführung von Betrügereien erleichtert. Dennoch können ähnliche Angriffe mit den richtigen proaktiven Prozessen und guter Cyberhygiene minimiert werden.

[1] "Mitiga kooperiert mit den Strafverfolgungsbehörden bei einer globalen BEC-Kampagne (Business Email Compromise), die über 15 Millionen Dollar eingebracht hat.," Medium

[2] "2019 Internet Crime Report Released," FBI.gov

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Anatomy of a Sustained BEC Attack on Microsoft 365 Users

Cyberangreifer lauern in den Opfern ...

Cyberangreifer lauerten in den Microsoft 365-E-Mails der Opfer ... Read More >

Megan Doyle

von Megan Doyle

Mitwirkender Verfasser

Veröffentlicht am 17. November 2020

Bösewichte mit guten Algorithmen: 5 Wege, wie Cyberkriminelle KI ausnutzen können

Die schlechte Nachricht ist, dass Cyberkriminelle ein Druckmittel sind...

Die schlechte Nachricht ist, dass Cyberkriminelle KI nutzen, um ... Read More >

Stephanie Overby

von Stephanie Overby

Mitwirkender Verfasser

Veröffentlicht am 25. November 2020

9 Wege zum Aufbau einer robusten Cyber-Sicherheitskultur

Effektive Cybersicherheit erfordert eine ...

Effektive Cybersicherheit erfordert eine durchgängige organisatorische ... Mehr lesen >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Verfasst am 1. Dezember, 2020