Digitales Vertrauen – Angriffsvektor E-Mail

Markus Grüneberg,
E-Mail-Verschlüsselung (Bild: Shutterstock/alina ku ku)

E-Mail ist neben dem Telefon eines der Hauptkommunikationswerkzeuge in Unternehmen. Der tägliche Gebrauch fördert das Vertrauen und macht Mitarbeiter leichtgläubig im Umgang mit der E-Mail Sicherheit. Seit 2016 fokussieren sich Angriffe zu über 90 Prozent auf den E-Mail-Verkehr.

Der Umgang mit E-Mails im täglichen Leben führt wie bei anderen Dingen, denen regelmäßig nachgegangen wird, zu einem unbewussten, vertrauten Handeln. Das Medium E-Mail genießt Vertrauen, jedoch können Absenderadressen leicht gefälscht werden und es wird nicht über jeden Klick nachgedacht. Diese Schwächen des menschlichen Verhaltens nutzen Angreifer zu ihrem Vorteil aus, wobei drei Formen des Betrugs im deutschsprachigen Raum besonders häufig in Erscheinung treten.

Markus Grüneberg (Bild: Proofpoint)
Markus Grüneberg, der Autor dieses Gastbeitrags für silicon.de, ist Presales Engineer für den deutschsprachigen Raum bei Proofpoint. (Bild: Proofpoint)

Business E-Mail Compromise

Business E-Mail Compromise (BEC) ist eine besondere Form des Betruges, bei der das Vertrauen der Nutzer in die Echtheit des Absenders ausgenutzt wird, um etwa eine Überweisung im Namen des eigenen Unternehmens an die Angreifer zu tätigen. Diese Angreifer überzeugen beispielsweise Mitarbeiter der Buchführung von einem bevorstehenden Kauf von Unternehmensanteilen, Gebäuden oder Rohstoffen. Hierbei treten die Täter im Namen der Vorgesetzten auf oder täuschen vor, Lieferant oder entsprechender Mitarbeiter zu sein.

Das Landeskriminalamt Nordrhein-Westfalen bezeichnete auf einem Präventionstag diese Betrugsvariante im Juli 2016 in Bezug auf das digitale Zeitalter als “Enkeltrick 4.0” und berichtete über bereits sehr erfolgreiche Angriffe in Deutschland mit gemeldeten, bekannten Schäden von mehr als 70 Millionen Euro. Besonders beeindruckend ist der Tenor vieler der betroffenen Unternehmen mit Aussagen, beispielsweise: “Wir haben ein Vier-Augen-Prinzip!”, “Bei uns kann niemand solche Summen unterschreiben!” oder “Solche Summen fallen bei uns auf!”; somit sind sie davon ausgegangen, dass eine solche Betrugsform in ihrem Betrieb nicht möglich sei.

Die Cyberkriminellen greifen bei dieser professionellen Betrugsform jedoch auf ein umfangreiches Wissen über Buchhaltung, Transaktionsgeschäfte und persönliche Informationen der Beteiligten zurück. Laut einem Statement der Commerzbank spähen Angreifer teilweise bis zu 18 Monate die Unternehmen und deren Strukturen aus, um dann gezielt auf etwaige Meldungen wie geplante Übernahmen oder Geschäftsjahresabschlüsse zu reagieren und die kriminelle Tat zu initiieren.

E-Mail einer BEC-Angriffs-Kampagne (Bild: Proofpoint)
E-Mail einer BEC-Angriffs-Kampagne (Bild: Proofpoint)

So kommt es auch vor, dass sich die Täter im Vorfeld mit Bagatellen dem Empfänger bekannt machen und einem Mitarbeiter im Namen des Chefs, beispielsweise via E-Mail, mit Glückwünschen zum Firmenjubiläum oder zur Geburt des Kindes in Erscheinung treten. Die Absenderadressen sind dann oft gefälscht oder verweisen auf falsche Ziele, jedoch wird nun zukünftig diese Adresse vom Mitarbeiter anerkannt und für zukünftige Betrugsversuche genutzt.

Die anschließenden E-Mails zum Betrugsversuch sind sehr professionell gestaltet und nutzen menschliches Verhalten aus, indem diese auf Compliance-Richtlinien verweisen, sozialen Druck aufbauen oder die endlich ersehnte Beförderung versprechen, da man nun scheinbar im engsten Führungskreis an geheimen Geschäften mitwirken kann. Der “Faktor-Mensch-2017-Bericht” von Proofpoint bestätigt, dass weniger als ein Prozent dieser E-Mail-Angriffe Schadcodes enthalten. Das Ziel der Angreifer ist es vielmehr, das geschaffene Vertrauen in das Kommunikationsmittel für ihre Zwecke auszunutzen.

Kriminelle konnten allein über diese Form des Betrugs in den vergangenen Jahren mehr als fünf Milliarden US-Dollar erbeuten. Statistisch erarbeitete sich BEC somit zur erfolgreichsten Variante des Betruges. Laut des letzten FBI-Berichts zur Internet-Kriminalität wurden weltweit allein zwischen Juni 2016 und Dezember 2016 in mehr als 3700 bekannten Fällen über 794 Millionen Dollar erbeutet.

Phishing

Zunächst für die Betroffenen etwas unauffälliger ist der Verlust von Account-Informationen. Über 90 Prozent aller schadhaft versandten Links in E-Mails sind mittlerweile professionelle Phishing-Angriffe, um persönliche Daten und Anmeldeinformationen zu erbeuten. Auch im sozialen Raum des Internets nehmen Phishing- und damit oft verbundene Social-Engineering-Angriffe immer mehr zu. Laut Proofpoint stieg die Zahl dieser Angriffe im letzten Jahr um über 150 Prozent. In sozialen Netzen wird mittels Chat-Bots auf Support Anfragen der Kunden automatisch regiert, um diese dann auf die Phishing-Seiten umzuleiten.

Betrügerischer PayPal Phishing-Account (Bild: Proofpoint)
Betrügerischer PayPal Phishing-Account (Bild: Proofpoint)

Angreifer versuchen nicht nur, Login-Informationen zu erbeuten, sondern zielen auch auf das gesamte Profil der Personen ab. Nachgelagerte Angriffe gestalten sich wesentlich erfolgreicher, wenn die Interessen der Betroffenen angesprochen werden.

Große Unternehmen wie Facebook, Google, Apple oder Amazon nutzen solche Informationen, um passgenau Waren und Güter anzubieten. Angreifer greifen mittlerweile auf ähnliche „Marketinglösungen“ zurück und nutzen verfügbare Informationen, um SPAMs mit personalisierten Kampagnen zu versenden. Betreffe sind entsprechend der Empfänger angepasst, Inhalte sind stimmig.

Durch die zunehmende Nutzung von Cloud-Dienstleistungen und den vielfältigen Angeboten sozialer Medien ist dies selbstverständlich ein lohnender Bereich für die kriminelle Seite des Internets. Es gibt groß angelegte SPAM-Kampagnen mit mehr als zehn Millionen E-Mails am Tag, welche vorrangig Phishing-Angriffe gegen weltweite Angebote von Microsoft, Dropbox, Apple oder Google adressieren. Bei kleineren, fokussierten Kampagnen stellen regionale Postanbieter mit über 70 Prozent den größten Anteil der Phishing-Mails.

Über die persönlichen Daten- oder Account-Informationen können die Täter nachgelagerte Angriffe, wie Kreditkartenbetrug und Banktransaktionen starten oder Online-Bestellungen auslösen und umleiten. Andere Täter nutzen diese Informationen für Erpressungsversuche oder andere betrügerische Vorgehen.

Ransomware

Eine bei Angreifern beliebte Methode ist nach wie vor mittels Ransomware Unternehmen oder Nutzer zu erpressen. Abhängig vom Schadcode verschlüsselt dieser entweder einzelne Dateien oder ganze Systeme, was zur Folge haben kann, dass beispielweise Industrieanlagen oder medizinische Systeme in ihrer Funktion beeinträchtigt werden. Angreifer versprechen, mit der Zahlung von Bitcoins oder anderer digitaler Währung die Funktionsfähigkeit der Anlagen oder die Daten wieder herzustellen zu können.

Obwohl populäre Angriffe wie “NotPetya” es geschafft haben, über einen Update-Mechanismus der Buchhaltungssoftware MeDoc auf die Systeme zu gelangen und angeblich verlorene USB-Sticks noch immer ein probates Mittel für Angriffe sind, erreichen mehr als 90 Prozent aller schadhaften Dateien ihre Ziele via E-Mail. Nicht alle dieser schadhaften Anhänge sind Ransomware.

Mit über 60 Prozent nehmen Erpressungstrojaner einen erheblichen Anteil ein, gefolgt von Banktrojanern mit circa 24 Prozent. Downloader oder Backdoors sind im Vergleich zum Mailvolumen mit circa zwölf Prozent zwar recht gering, jedoch werden diese Anhänge oft sehr gezielt an die Adressaten gesandt, um sich einen Zugang zum Unternehmen oder System zu verschaffen.

Die bösartigen Anhänge sind heutzutage sehr professionell gestaltet und für einen Laien kaum von einem legitimen Dokument zu unterscheiden. Vielen Nutzern ist mittlerweile bewusst, dass über die Makro-Funktion der Microsoft-Dokumente oder über PDF-Dokumente Schadcode verteilt werden kann, jedoch nutzen auch hier die Angreifer menschliche Schwächen aus.

An Personalabteilungen werden gezielt Lebensläufe und Bewerbungen zugesandt und die Ansichten schadhafter Dokumente gaukeln dem Nutzer gern vor, eine Sicherheitsfunktion zu aktivieren. Die Dokumente seien verschlüsselt und sollen durch Aktivieren des Makros entschlüsselt werden oder eine eventuelle Signaturlösung müsse eingeschaltet werden. Aus Sicht des Anwenders können diese Dokumente sehr glaubhaft wirken, da sie immer mehr mit Sicherheitsfunktionen im digitalen Leben konfrontiert werden.

Beispiel eines schadhaften Office-Dokuments (Bild: Proofpoint)
Beispiel eines schadhaften Office-Dokuments (Bild: Proofpoint)

Ransomware ist auch 2017 ein gutes Mittel für Kriminelle, um Geld abzuschöpfen. Dank der digitalen Währungen und der oft unzureichenden Datensicherungen der Betroffenen, ist aus Sicht des Angreifers diese Form der Erpressung nach wie vor wirtschaftlich und vor allem recht einfach umzusetzen. Während BEC-Angriffe sehr gezielt und mit viel Vorbereitung ausgeführt werden, zeichnet sich Ransomware durch eine breitere Streuung aus. Die Aufwände, solche Ransomware Angriffe durchzuführen, sind vergleichsweise gering und Erfolge schneller realisierbar.

Technische Maßnahmen

Auf der technischen Seite sind die Möglichkeiten proaktiv Sicherheit zu gewähren, längst noch nicht ausgeschöpft. Der Briefumschlag und die Unterschrift haben bei der E-Mail immer noch nicht flächendeckend Einzug erhalten. Auch ein Einschreiben und eine Sendungsverfolgung sind nicht etabliert. Das vielfach genutzte SMTP-Protokoll kann mit vielschichtigen Verfahren erweitert und abgesichert werden.

So ist es beispielsweise möglich, mittels DMARC zu erkennen, ob E-Mail-Missbrauch mit dem Unternehmensnamen betrieben wird und betrügerische Mails versendet oder empfangen werden. Marktführende Lösungen nutzen auch Techniken der künstlichen Intelligenz, um zu erkennen, ob gezielte Angriffe stattfinden, obwohl diese keinerlei Schadcode enthalten.

Signaturen und Verschlüsselung helfen die Vertraulichkeit und Integrität zu gewähren und moderne E-Mail-Gateways können mit Sandbox-Verfahren erkennen, ob E-Mails schadhafte Anhänge oder Links enthalten. Genauso, wie es ein Mensch im täglichen Umgang mit der Haustür oder dem Auto gewohnt ist entsprechende Sicherheitsmechanismen anzuwenden, sollte er stets befähigt sein, dies auch im digitalen Alltag einzuüben.

Vermeidungsstrategien

Das menschliche Verhalten ist, wie es ist. Man sollte auch in all seinen Strategien, ob technisch oder methodisch, nicht versuchen dieses Verhalten wesentlich zu ändern. Bewusstsein und Aufklärung sind nach wie vor wesentliche Komponenten der IT-Sicherheit. Nutzer sollten regelmäßig von vertrauten Personen über aktuelle Methoden und Techniken der Angriffe informiert werden. Einfach, bebildert und verständlich könnte ein Nutzer regelmäßig, ähnlich eines Wetterberichtes, über die aktuellen Unwetter- und Gefahrenlagen des Cyberspace informiert werden und dementsprechend sein Verhalten und seine Aufmerksamkeit individuell anpassen.

Über den Autor

Markus Grüneberg ( Bild: Proofpoint)

Markus Grüneberg ist IT Sicherheitsspezialist bei Proofpoint und befasst sich vor allem mit ganzheitlichen Ansätzen der IT Sicherheit. Er verfügt über insgesamt 15 Jahre IT-Security Expertise, u.a. als IT-Sicherheitsbeauftragter in der Bundeswehr und über 10 Jahre Erfahrung als IT-Security Consultant & Berater in der Industrie. Heute betreut er vorwiegend Großkunden und Behörden im Aufbau sicherer Infrastrukturen.