Inhalt des Artikels
- Unter der Kompromittierung eines E-Mail-Kontos versteht man den unbefugten Zugriff auf ein echtes Postfach, nicht lediglich eine gefälschte Nachricht.
- Angreifer verschaffen sich häufig Zugang durch Phishing, Passwort-Spraying, Malware, schwache Wiederherstellungsabläufe oder gestohlene Zugangsdaten.
- Ein kompromittiertes E-Mail-Konto kann für Betrug, internes Phishing, Überwachung, den Diebstahl von Zugangsdaten und die Offenlegung von Daten missbraucht werden.
- EAC und „Business Email Compromise“ stehen zwar in Zusammenhang, sind jedoch nicht dasselbe.
- Eine höhere E-Mail-Sicherheit hängt von mehrstufigen Kontrollmechanismen, der Transparenz der Postfächer, der Erkennung von Anomalien und einer schnellen Reaktion auf Vorfälle ab.
Eine Kompromittierung eines E-Mail-Kontos liegt vor, wenn sich ein Angreifer unbefugten Zugriff auf ein legitimes Postfach verschafft und dieses als vertrauenswürdige Plattform für Überwachungszwecke, Betrug oder weitere Angriffsaktivitäten nutzt. Dadurch unterscheidet es sich von einem einfachen „ “-Spam-Problem oder einer einmaligen verdächtigen E-Mail.
Sobald ein echtes Business Email-Konto kompromittiert wurde, erhält der Angreifer Zugriff auf das Vertrauen, den Nachrichtenverlauf sowie den Kommunikationskontext, die gegen das Unternehmen genutzt werden können. Für Unternehmensteams ist der Missbrauch von E-Mail-Konten oft der Beginn eines weitaus umfassenderen Vorfalls.
Was versteht man unter einem E-Mail-Konto-Hack (EAC)?
Unter der Kompromittierung eines E-Mail-Kontos versteht man den unbefugten Zugriff auf ein legitimes E-Mail-Konto. Anstatt von außen vorzugeben, der Benutzer zu sein, befindet sich der Angreifer im eigentlichen Postfach und nutzt das damit verbundene Vertrauen aus.
Angreifer können sich auf verschiedene Weise Zugang zu E-Mail-Konten verschaffen. Einige Methoden basieren auf Täuschung, während andere schwache Anmeldedaten oder unzureichende Kontoschutzmaßnahmen ausnutzen. Zu den gängigen Methoden gehören unter anderem:
- Phishing-E-Mails: Einen Mitarbeiter dazu verleiten, seine Anmeldedaten auf einer gefälschten Seite einzugeben.
- Böswillige Genehmigungsaufforderungen: Der Nutzer wird aufgefordert, dem Angreifer durch eine gefälschte oder unerwartete Anfrage Zugriff zu gewähren.
- Gestohlene Zugangsdaten: Wiederverwendung von Benutzernamen und Passwörtern, die aus früheren Datenlecks oder auf kriminellen Marktplätzen stammen.
- Passwort-Spraying: Häufig verwendete Passwörter werden bei zahlreichen Konten ausprobiert, um Schwachstellen im Zugriffssystem aufzudecken.
- Malware: Erfassung von Anmeldedaten, Sitzungsdaten oder Zugriff auf E-Mail-Postfächer über ein infiziertes System.
- Wiederverwendete Passwörter: Erleichtern Sie Angreifern den Zugriff auf ein E-Mail-Konto, indem Sie Anmeldedaten verwenden, die an anderer Stelle offengelegt wurden.
- Unzureichende Verfahren zur Passwortzurücksetzung oder -wiederherstellung: Wenn die Schritte zur Passwortwiederherstellung nicht ausreichend geschützt sind, bieten sie Angreifern einen weiteren Zugang zum Postfach.
Warum ein echter Briefkasten so gefährlich ist
Die Gefahr steigt, sobald sich der Angreifer Zugang zu einem echten Postfach verschafft hat. Zu diesem Zeitpunkt arbeiten sie nicht mehr mit einer gefälschten „ “-Identität, sondern mit einem legitimen Konto, das bereits Vertrauen und geschäftlichen Kontext genießt. Ein echtes Postfach berücksichtigt bereits die Reputation des Absenders, den internen Kontext sowie die Historie früherer Konversationen. Nachrichten, die von diesem Konto versendet werden, werden mit höherer Wahrscheinlichkeit geöffnet, als vertrauenswürdig eingestuft und zur Folge von Maßnahmen führen.
Warum EAC für Unternehmen von Bedeutung ist
Für Unternehmen ist der Missbrauch von E-Mail-Konten nicht nur ein Problem der Postfächer. Dies kann sich schnell zu einem umfassenderen Problem in Bezug auf „ “, Betrug, Vertrauens- und Betriebsrisiken im gesamten Unternehmen ausweiten.
Dies kann zu Manipulationen an Rechnungen, zur Offenlegung vertraulicher Informationen, zu internem Phishing, zu Finanzbetrug oder zu einer umfassenderen Cyberbedrohung vom Typ „ “ führen, von der auch andere Systeme und Nutzer betroffen sind. Das eigentliche Risiko liegt in der Legitimität des E-Mail-Postfachs selbst, da ein kompromittiertes Konto unter auf den ersten Blick ganz normal erscheinen kann.
Wie funktioniert der Missbrauch von E-Mail-Konten?
Die Kompromittierung eines E-Mail-Kontos beginnt in der Regel mit dem Diebstahl von Zugangsdaten, doch der Weg dorthin kann unterschiedlich sein. Manche Angriffe sind direkt und schnell. Andere sind zurückhaltender und entfalten sich erst im Laufe der Zeit.
Phishing
Ein Phishing-Angriff vom Typ „“() ist einer der häufigsten Wege, über den es zu einer Kompromittierung kommt. Der Angreifer versendet eine überzeugende Nachricht, die darauf abzielt, Anmelde en zu stehlen, eine böswillige Anmeldebestätigung auszulösen oder den Nutzer auf eine gefälschte Anmeldeseite weiterzuleiten. Da Phishing auf Vertrauen und Dringlichkeit setzt, ist es nach wie vor eine der wirksamsten Methoden für Cyberkriminelle, sich Zugang zur Business Email-Umgebung eines Unternehmens zu verschaffen.
Manipulation der Lieferkette
Angreifer können sich möglicherweise auch über ein kompromittiertes System eines Anbieters, Partners oder eines Drittanbieters Zugang verschaffen. Wenn bereits eine vertrauenswürdige Beziehung zu einem externen besteht, können sich böswillige Aktivitäten in die bestehende Business Email-Kommunikation einfügen. Dies ist einer der Gründe, warum Missstände in der Lieferkette oft nur schwer frühzeitig zu erkennen sind.
Diebstahl von Zugangsdaten
Eine Kompromittierung kann auch durch Zugangsdaten erfolgen, die an anderer Stelle erlangt wurden. Angreifer können Benutzernamen und Passwörter wiederverwenden, die sie aus früheren Sicherheitsverletzungen, Infostealern oder auf dem Schwarzmarkt gesammelt haben. Verwendet ein Nutzer Passwörter für mehrere Dienste von , steigt das Risiko erheblich.
Passwort-Spraying
Beim „“-Passwort-Spraying testet der Angreifer gängige Passwörter für zahlreiche Konten, anstatt ein einzelnes Konto mit vielen Versuchen anzugreifen. Dieser „ “ hilft dabei, eine Sperrung zu vermeiden und gleichzeitig schwache Zugangspunkte zu identifizieren. Dies ist besonders wirksam, wenn Unternehmen keine strenge Passwortrichtlinie durchsetzen .
Malware
Malware auf einem infizierten Endgerät kann Anmeldedaten, Sitzungstoken oder andere Informationen erfassen, die den Zugriff auf das Postfach ermöglichen. In manchen Fällen benötigen Angreifer das Passwort gar nicht mehr, wenn es ihnen gelingt, eine aktive Sitzung zu kapern.
Geringe Rückflüsse
Manche Angreifer konzentrieren sich auf Mechanismen zur Passwortzurücksetzung und -wiederherstellung, anstatt direkt auf das Postfach selbst. Sollten die Sicherheitsfragen, die Genehmigungen zur Zurücksetzung des Passworts unter oder die Identitätsprüfungen unzureichend sein, kann das Konto auch ohne den üblichen Phishing-Weg übernommen werden.
Zugang erhalten
Nachdem sie sich Zugang verschafft haben, verbringen Angreifer oft einige Zeit damit, die Lage zu beobachten, bevor sie aktiv werden. Sie können Gespräche überwachen, Zahlungsabläufe unter überprüfen, nach vertraulichen Informationen suchen oder untersuchen, wie Genehmigungen erfolgen. Sie können außerdem Regeln für den Posteingang von erstellen oder ändern, die Weiterleitungseinstellungen anpassen, fehlende E-Mails ausblenden oder Nachrichten über das Konto versenden.
Da der Angreifer ein echtes E-Mail-Postfach nutzt, können betrügerische Kontaktaufnahmen wesentlich überzeugender wirken. Eine betrügerische E-Mail mit dem Betreff „ “, die von einem gehackten E-Mail-Konto versendet wurde, kann auf ein echtes Bankkonto, eine tatsächliche Finanztransaktion oder einen bestehenden „ “-Lieferanten-Thread verweisen. Aus diesem Grund kann jeder Angriff schnell von einer stillen Überwachung zu aktivem Betrug eskalieren.
EAC gegen BEC
Der Missbrauch von E-Mail-Konten und business email compromise stehen in engem Zusammenhang, sind jedoch nicht austauschbar. Wenn man die Unterscheidung zwischen „ “ klar im Blick behält, lassen sich Überschneidungen mit allgemeineren BEC-Betrugsmaschen vermeiden, und die Sicherheitsverantwortlichen können sich auf die richtigen Kontrollmaßnahmen konzentrieren.
EAC bezieht sich auf die Kompromittierung eines echten Postfachs. Die Aktivitäten im Zusammenhang mit „business email compromise“-Angriffen sind weitreichender. Dazu gehören auch betrügerische Business Email, die für Betrugszwecke genutzt werden, selbst wenn der Angreifer niemals Zugriff auf ein echtes E-Mail-Postfach erhält. Eine BEC-E-Mail mit dem Betreff „ “ könnte von stammen, wobei es sich um eine gefälschte Adresse, eine Identitätsfälschung oder eine ähnlich klingende Domain handeln kann. EAC hingegen beginnt mit dem Zugriff auf echte Postfächer.
Und so unterscheiden sie sich:
|
Aspekt |
EAC |
BEC |
|
Ausgangspunkt |
Es beginnt mit einem kompromittierten Postfach. |
Dies kann durch Spoofing, Identitätsbetrug oder ein tatsächlich kompromittiertes Postfach geschehen. |
|
Tor des Angreifers |
Dies begünstigt häufig Überwachungsmaßnahmen, den Diebstahl von Zugangsdaten, Betrug oder einen umfassenderen Missbrauch im Laufe der Zeit. |
Im Mittelpunkt steht in der Regel die Täuschung, um Geld, Daten oder eine Handlung zu erlangen. |
|
Häufige Anzeichen |
Seltsame Regeln im Posteingang, Änderungen bei der Weiterleitung, ungewöhnliche Anmeldungen oder unerwartet versendete Nachrichten. |
Dringende Zahlungsaufforderungen, gefälschte Rechnungen, Änderungen bei der Gehaltsabrechnung oder Anfragen nach Geschenkkarten. |
|
Fokus auf die Verteidigung |
Erfordert die Sichtbarkeit von Postfächern, die Erkennung von Anomalien, Authentifizierungskontrollen und Reaktionsmaßnahmen innerhalb des -Kontos. |
Erfordert Maßnahmen zum Schutz vor Identitätsdiebstahl, Domänenschutz sowie strengere Verifizierungsprozesse. |
Angreifer benötigen nicht immer ein kompromittiertes E-Mail-Konto, um CEO-Betrug oder Zahlungsbetrug zu begehen. BEC-Betrüger können nach wie vor mit gefälschten Nachrichten Erfolg haben. Ist jedoch EAC im Spiel, verfügt der Angreifer über weitaus mehr Kontextinformationen und Vertrauen, auf die er zurückgreifen kann.
Was sind die Anzeichen dafür, dass ein E-Mail-Konto gehackt wurde?
Eine Kompromittierung eines E-Mail-Kontos lässt sich oft nur schwer frühzeitig erkennen, da die Aktivitäten häufig von einem echten Konto mit einer echten Historie unter ausgehen. Das herkömmliche Blockieren allein reicht nicht immer aus, weshalb Sicherheitsteams häufig einen besseren Einblick in das Verhalten von „ “ und den Kommunikationskontext benötigen.
Unerwartete Passwortzurücksetzungen
Ungeplante Rücksetzungsanfragen können darauf hindeuten, dass ein Angreifer versucht, die Kontrolle über das Postfach zu erlangen oder die Schritte des Wiederherstellungs s zu stören. Auch wenn der Zugriff noch nicht vollständig hergestellt ist, kann dies ein frühes Anzeichen dafür sein, dass das Konto ins Visier genommen wird.
Verdächtige Nachrichten
Der Benutzer könnte auf Nachrichten stoßen, die er nie gesendet hat, darunter Anfragen im Zusammenhang mit Änderungen der Gehaltsabrechnung, Zahlungen an Lieferanten oder Aktualisierungen der Bank skonten. Da die Nachrichten von einem legitimen E-Mail-Konto stammen, ist die Wahrscheinlichkeit größer, dass die Empfänger ihnen vertrauen .
Unbekannte Regeln für den Posteingang
Angreifer erstellen häufig Regeln, die Nachrichten verbergen, umleiten oder unbemerkt überwachen. Dies trägt dazu bei, dass sie länger im Konto „ “ verbleiben, während gleichzeitig die Wahrscheinlichkeit sinkt, dass der Nutzer bemerkt, dass etwas nicht stimmt.
Ungewöhnliche Anmeldestandorte
Zugriffe von Standorten aus, die nicht dem üblichen Verhaltensmuster des Benutzers entsprechen, können ein deutlicher Hinweis auf eine Kompromittierung sein. Für sich genommen lässt dies möglicherweise noch nicht auf böswillige Aktivitäten schließen, doch in Verbindung mit anderen ungewöhnlichen Verhaltensweisen gibt dies Anlass zu größerer Besorgnis.
Zugriff von ungewöhnlichen Geräten
Eine Anmeldung von einem Gerät, das der Benutzer noch nie verwendet hat, könnte auf einen unbefugten Zugriff hindeuten. Dies ist besonders wichtig, wenn das Gerät nicht den üblichen Arbeitsgewohnheiten des Benutzers oder den bekannten Endgeräten entspricht.
Änderungen bei der E-Mail-Weiterleitung
Angreifer können eine Weiterleitung einrichten, um Kopien vertraulicher Nachrichten abzufangen oder den Überblick zu behalten, falls ihr direkter Zugriff verloren geht. Diese Änderungen können es ihnen ermöglichen, das Postfach auch nach der Aufdeckung des ursprünglichen Angriffs weiterhin zu überwachen.
Gelöschte oder fehlende Nachrichten
Fehlende E-Mails oder gelöschte Unterhaltungen können auf den Versuch hindeuten, betrügerische Aktivitäten zu verschleiern oder Beweismittel zu beseitigen. In einigen Fällen löschen Angreifer Nachrichten, um die Transparenz zwischen dem Benutzer und dem Sicherheitsteam zu beeinträchtigen.
Ungewöhnliche Gespräche mit Außenstehenden
Sicherheitsteams könnten verdächtige Kontaktaufnahmen mit Kunden, Lieferanten oder Partnern feststellen, die von dem kompromittierten E-Mail-Konto ausgehen. Dazu können die Umleitung von Zahlungen, die Abfrage persönlicher Daten oder Versuche gehören, eine umfassendere Phishing-Kampagne fortzusetzen.
Die Herausforderung besteht darin, dass ein gehacktes E-Mail-Konto oberflächlich betrachtet nach wie vor legitim wirkt. Es stützt sich auf den richtigen Absender, die richtige Historie unter und den richtigen geschäftlichen Kontext, weshalb Sicherheitsverantwortliche oft mehr benötigen als nur die Sperrung von Absendern.
Wie sich Unternehmen gegen den Missbrauch von E-Mail-Konten schützen können
Um sich vor dem Missbrauch von E-Mail-Konten zu schützen, ist ein mehrschichtiger Schutz für Business Email erforderlich. Eine Kontrollmaßnahme allein wird das Problem nicht lösen , da Angreifer Personen, Anmeldedaten, Sitzungen und Arbeitsabläufe auf unterschiedliche Weise ins Visier nehmen können.
Zugriff und Authentifizierung verbessern
Um das Risiko eines Missbrauchs von E-Mail-Konten zu verringern, muss zunächst dafür gesorgt werden, dass gestohlene Zugangsdaten weniger nützlich sind. Die Multi-Faktor-Authentifizierung schafft eine zusätzliche Sicherheitsbarriere, während strengere Passwortkontrollen dazu beitragen, das Risiko schwacher oder wiederverwendeter Zugangsdaten zu verringern.
Unternehmen sollten zudem die Abläufe zur Passwortzurücksetzung und zur Kontowiederherstellung absichern, da Angreifer diese ins Visier nehmen könnten, wenn direkte Anmeldeversuche unter fehlschlagen. Die Überwachung von Anomalien bei der Anmeldung bietet eine zusätzliche Sicherheitsebene, indem sie ungewöhnliche Zugriffe von unbekannten Standorten, Geräten oder Verhaltensmustern kennzeichnet.
Verbesserung der Transparenz, der Reaktionsfähigkeit und des Schutzes der Nutzer
Sobald der Zugriff gewährt wurde, besteht die nächste Herausforderung darin, Missbrauch zu erkennen, bevor er zu einem größeren Betrugsfall oder einem Datenleck führt. Angreifer nutzen häufig normal erscheinende Aktivitäten im E-Mail-Postfach, um unbemerkt zu bleiben, während sie ihren Einflussbereich ausweiten.
- Erkennung verdächtiger Nachrichten: Trägt dazu bei, betrügerische oder ungewöhnliche E-Mail-Aktivitäten frühzeitig zu erkennen.
- Überwachung von E-Mail-Postfächern: Erfasst Änderungen und Verhaltensmuster, die auf eine Kompromittierung oder einen Missbrauch hindeuten könnten.
- Maßnahmen zum Schutz vor Phishing: Verringern Sie das Risiko, dass Phishing zum Zugriff auf Postfächer führt.
-
Schnellere Gegenmaßnahmen: Die Beendigung der Sitzung oder erzwungene Neustarts können dazu beitragen, Missbrauch rasch einzudämmen, sobald eine Kompromittierung bestätigt wurde.
Mimecast unterstützt diese Art der Abwehr, indem es Unternehmen dabei hilft, einen besseren Überblick über ungewöhnliches E-Mail-Verhalten, das Risiko von Identitätsdiebstahl durch „ “ sowie auf Menschen abzielende Bedrohungen zu gewinnen. Das ist wichtig, denn ein wirksamer Schutz von Business Emails hängt nicht nur davon ab, verdächtige E-Mails zu blockieren, sondern auch davon, zu erkennen, wann sich ein echtes Postfach plötzlich verdächtig verhält.
Die Rolle des Missbrauchs von E-Mail-Konten für die Unternehmenssicherheit
Die Kompromittierung von E-Mail-Konten stellt eine bedeutende Bedrohung dar, die es zu berücksichtigen gilt, da sie schnell zu mehr als nur einem Problem mit dem Postfach werden kann. A single kompromittiertes Postfach kann sensible Informationen offenlegen, vertrauensbasierte Betrugsfälle verursachen, internes Phishing auslösen oder umfassendere Sicherheitsvorfälle im gesamten Unternehmen unterstützen. Dies kann sich gleichzeitig auf Zahlungen an Lieferanten, die Kommunikation mit Kunden und den Zugriff von auf wertvolle geschäftliche Hintergründe auswirken.
Für Sicherheitsverantwortliche in Unternehmen stellt EAC ein geschäftliches Risiko dar und ist nicht nur ein Problem im Zusammenhang mit E-Mails. Eine verbesserte Erkennung, eine schnellere Eindämmung, eine bessere Authentifizierung sowie ein umfassenderer Einblick in die E-Mail-Postfächer können dazu beitragen, zu verhindern, dass aus einem kompromittierten Konto ein weitreichenderer Vorfall wird. Mimecast unterstützt Unternehmen dabei, durch E-Mails verursachte Sicherheitsverletzungen zu reduzieren, die Reaktionsfähigkeit zu verbessern und die Auswirkungen des Missbrauchs vertrauenswürdiger Konten durch „ “ zu begrenzen.