Kompromittierung geschäftlicher E-Mails

Ein Cyberkrimineller benutzt eine E-Mail-Adresse, die wie eine vertrauenswürdige E-Mail-Adresse aussieht, um das Opfer zum Zwecke des Phishing zu manipulieren

Domain-Spoofing

Der Cyberkriminelle erstellt eine gefälschte Website oder E-Mail-Domain, um sich als vertrauenswürdiges Unternehmen oder vertrauenswürdige Person auszugeben. In der Regel scheint die Domain auf den ersten Blick legitim zu sein, und die Unterschiede können subtil und schwer zu erkennen sein.

Mit gestohlenen Zugangsdaten zu E-Mail-Konten kann der Cyberkriminelle alle Kommunikationsverläufe im Posteingang einsehen, was es ihm erleichtert, sich für eine bestimmte Person auszugeben.

Kommunikationsüberwachung

Mit Zugriff auf den E-Mail-Posteingang kann der Cyberkriminelle leicht andere Mitarbeiter ausforschen und laufende Kommunikationsvorgänge überwachen, insbesondere zu Themen wie Rechnungen oder Zahlungen.

Verbergen der Aktivitäten

Der Cyberkriminelle kann auch Maßnahmen ergreifen, um seine Aktivitäten zu verbergen, zum Beispiel Weiterleitungsregeln einrichten, so dass der Benutzer, dessen Anmeldedaten gestohlen wurden, bestimmte Mailverkehre im Posteingang nicht sieht. Der Cyberkriminelle könnte die gesamte Kommunikation auch in ein anderes E-Mail-Postfach verschieben. 

Nachdem der Cyberkriminelle Vertrauen aufgebaut hat, kann er den Benutzer durch eine Vielzahl von Social-Engineering-Methoden dazu bringen, die normalen Verfahren und Sicherheitsmaßnahmen zu umgehen.

Zielpersonen derartiger Angriffe sind häufig Mitarbeiter der Personal- oder Finanzabteilung, insbesondere in kleineren Unternehmen.

CEO Fraud

Der Cyberkriminelle gibt sich als Geschäftsführer aus und weist den Mitarbeiter an, eine sofortige Zahlung im Rahmen einer vertraulichen Transaktion zu veranlassen, etwa für eine Übernahme oder zum Kauf von Geschenkgutscheinen.

Betrügerische Anweisungen

Der Cyberkriminelle gibt sich als Dienstleister oder Lieferant aus und weist Mitarbeiter an, die Zahlungsdaten für Überweisungen zu ändern, damit das Geld auf ein vom Cyberkriminellen kontrolliertes Konto überwiesen wird.

Dienstleistungsunternehmen sind besonders anfällig für Vorfälle, bei denen sich der Cyberkriminelle als Beteiligter an einem Immobilienverkauf oder einer anderen Transaktion ausgibt, um Zahlungen fehlzuleiten.

Manipulation von Rechnungen

Der Cyberkriminelle kann sich als Dienstleister oder Lieferant ausgeben und gefälschte Rechnungen senden, um Zahlungen umzuleiten.

Umgeleitete Gehaltszahlungen

Der Cyberkriminelle weist einen Mitarbeiter der Personalabteilung an, die Bankdaten zur Überweisung des Gehalts eines Mitarbeiters zu ändern.

Darlehensbetrug

Der Cyberkriminelle verkörpert unter Umständen gleich mehrere Angestellte und nimmt dann mehrere große Kredite in deren Namen auf, wobei die Verluste im sechsstelligen Bereich liegen können.

Eine weitere häufige Form des Betrugs über kompromittierte geschäftliche E-Mails sind dringende Aufforderungen zur Übermittlung sensibler Daten, zum Beispiel der Steuerbescheide eines Mitarbeiters. 

Schulen Sie Ihre Mitarbeiter in Erkennung und Abwehr von E-Mail-Betrug, so dass ungewöhnliche Anfragen kritisch geprüft, Out-of-Band-Verifizierungen genutzt und die Versuche von Cyberkriminellen, die Multifaktor-Authentifizierung (MFA) zu umgehen, abgewehrt werden.

Anfragen überprüfen 

Schulen Sie Ihre Mitarbeiter in Bezug auf Verfahren für autorisierte Anfragen. Aufforderungen zur Änderung von Zahlungsdaten oder zur Übermittlung sensibler Daten sollten mit einer Out-of-Band-Verifizierung überprüft werden: Vertrauen Sie nicht den Kontaktinformationen, die der Cyberkriminelle übermittelt.

Vermeiden Sie Passwort-Recycling

Schulen Sie die Mitarbeiter zur Wahl guter Passwörter, so dass nicht die gleichen Passwörter für verschiedene Konten genutzt werden.

Phishing-resistente MFA

Schulen Sie die Mitarbeiter zur Abwehr von Social-Engineering-Versuchen, die darauf abzielen, die MFA zu umgehen, etwa durch mehrere Anfragen zur Genehmigung des Zugriffs (MFA-Ermüdung).

Erkennen von Phishing-E-Mails und Zugriffsversuchen auf E-Mail-Konten

Schulen Sie Ihre Mitarbeiter darin, gefälschte Domain-Namen zu erkennen und sich nicht von Subdomains verwirren zu lassen. Achten Sie auf E-Mails mit ungewöhnlichen Forderungen, insbesondere wenn sie ein Gefühl der Dringlichkeit oder Geheimhaltung vermitteln.

Eine ordnungsgemäße Absicherung von E-Mail-Konten und eine bessere Erkennung von Phishing wird zum Schutz vor E-Mail-Betrug beitragen

Phishing-resistente MFA

Nicht alle Formen der MFA sind gleich sicher. Die MFA sollte so konfiguriert werden, dass sie vor Social-Engineering-Angriffen schützt. Während Einmal-Passcodes und Push-Benachrichtigungen bei derartigen Angriffen keinen umfassenden Schutz bieten, haben sich FIDO2-Hardware-Tokens als sicherer erwiesen. Blockieren Sie veraltete E-Mail-Protokolle, die keine moderne Authentifizierung unterstützen.

Verringern Sie die Gefährdung durch Phishing-E-Mails

Implementieren Sie Maßnahmen, die den Umgang mit verdächtigen E-Mails verbessern könnten (SPF, DKIM, DMARC). Ziehen Sie in Erwägung, E-Mails von neuen Domains zu blockieren, die möglicherweise von Cyberkriminellen für Phishing eingerichtet wurden.

Installieren Sie die erforderlichen Patches für E-Mail-Server vor Ort, um Cyberkriminellen des Leben schwerer zu machen.

Ausbleibende Zahlungen werden möglicherweise erst nach 45 oder 60 Tagen bemerkt, daher ist es wichtig, früher auf verdächtige Anzeichen zu achten.

Anmeldeversuche beschränken

Legen Sie einen Alarm für eine bestimmte Anzahl unbeantworteter MFA-Aufforderungen fest, um MFA-Müdigkeit zu vermeiden. Sie können eine Zugangsrichtlinie implementieren, so dass nach 5 oder 10 unbeantworteten Versuchen eine Sperrung erfolgt.

Überwachen Sie Änderungen an Protokoll- und Konfigurationseinstellungen

Ungewöhnliche Änderungen bestehender Regeln (etwa im Zusammenhang mit dem RSS-Ordner) oder neue Regeln für Weiterleitungen an externe Stellen können erste Anzeichen für Aktivitäten zur Kompromittierung geschäftlicher E-Mails sein. 

Führen Sie im betroffenen Postfach eine Datensicherung für Prozesszwecke durch, um den Inhalt des Postfachs zu erhalten. Vergewissern Sie sich, dass die Optionen für die Protokollierung und die Aufbewahrung der Protokolle richtig konfiguriert sind.

Aktivieren Sie die MFA, falls dies noch nicht geschehen war. Setzen Sie die Passwörter für alle Konten zurück, die der betroffene Benutzer auf seinem Arbeitsgerät verwendet, unabhängig davon, ob es sich um private oder berufliche Konten handelt.

Überprüfen Sie die Liste der registrierten Geräte, die mit dem angegriffenen Benutzer verknüpft sind; möglicherweise hat der Cyberkriminelle ein zusätzliches Gerät für MFA-Bestätigungen registriert. Und schauen Sie sich die Aktivitäten in Message-Clients wie Teams, Slack oder Gchat an, wo möglicherweise weitere sensible Informationen ausgetauscht wurden.