17.12.2024 - Als Firma ist man ständig mit seinen Kunden in Kontakt, häufig per E-Mail. Projektanfragen und -abwicklungen, Auftragserteilung, Zahlungs- und Liefermodalitäten - vieles läuft über diesen Kommunikationskanal. Betrüger können sich dies mit einem gewissen Aufwand zunutze machen, brauchen aber zunächst präzise Informationen. Gelingt das Unterfangen, kann der Schaden bei dem Opfer enorm sein. Dem BACS wurde kürzlich ein sehr spannender Fall zu diesem Themenbereich gemeldet.
Der Plan der Angreifer
Der Angriff, bei welchem unberechtigter Zugriff auf den geschäftlichen E-Mail-Verkehr einer Firma besteht, ist in der Cybersicherheit unter dem Namen «Business E-Mail Compromise» bekannt, oder kurz einfach «BEC» - zu Deutsch etwa «Fremdzugriff auf geschäftliche E-Mails».
Angreifer können mit dem Zugriff auf ein Geschäftskonto an sehr wertvolle Informationen gelangen:
- Rechnungen und Zahlungsinformationen;
- Daten zu den Projekten und Kunden;
- Technische Details zu Produkten;
- Informationen zu Kundenbeziehungen.
Je nach dem, was der Angreifer vorhat, stehen nicht immer dieselben Informationen im Vordergrund:
- In den meisten bekannt gewordenen Fällen von BEC geht es um Geld:
Rechnungen werden manipuliert (z. B. mit einem neuen Zahlungsempfänger) und unter einem Vorwand erneut zugestellt, in der Hoffnung, dass der Rechnungsempfänger die Zahlung auslöst. Je nach Höhe der Zahlung kann beim Opfer ein erheblicher Schaden entstehen; - Forschungs- und technische Daten:
Konkurrenten oder weitere interessierte Parteien könnten durch Einsicht in sensible Dokumente versuchen, einen technischen Rückstand aufzuholen; - Projekte und Offerten:
Mit diesen Informationen kann ein Konkurrent z. B. versuchen, einen Wettbewerbsvorteil zu erlangen und wichtige Aufträge an Land zu ziehen.
Der dem BACS gemeldete und hier erläuterte Fall dürfte dem letzten Punkt zuzuordnen zu sein - es handelt sich wohl um eine Form der Industriespionage.
Die Kompromittierung eines Geschäftskontos
Am Anfang steht der Versuch, Zugang zu einem E-Mail-Konto zu erlangen - möglichst dasjenige einer Person, die mit den Dokumenten zu tun hat, die für den Angreifer von Interesse sind. Das können Angestellte des Rechnungswesens sein, Forschungsleiter und -leiterinnen, Projektleiter und -leiterinnen oder Mitglieder der Geschäftsleitung.
Kundenbeziehungen und Angestelltenverhältnisse lassen sich in vielen Fällen direkt auf der Webseite der jeweiligen Firma finden, oft wird auch auf LinkedIn danach gesucht.
Als nächstes erhält die Zielperson eine Phishing-E-Mail mit der Aufforderung, es müsse das Passwort des E-Mail-Kontos eingegeben werden. Damit kommen die Angreifer ihrem Ziel schon näher – zumindest, wenn die Zwei-Faktor-Authentisierung nicht aktiviert ist.
Beim ersten Zugriff auf das Konto versuchen die Angreifer häufig, Weiterleitungsregeln einzurichten: So erhalten sie den kompletten E-Mail-Verkehr des Opfers als Kopie und können gegebenenfalls länger unentdeckt bleiben.
Die Täuschungsmaschinerie
Im vorliegenden Fall sind die Täter noch weiter gegangen. Sie haben nach dem initialen Zugang sowohl für die Internet-Domänen mehrerer Kunden wie auch für die Domäne der betroffenen Firma (z. B. «firma-x.ch») eigens ähnlich aussehende Domänen registrieren lassen. Sie haben dazu die Top-Level Domain «.cam» verwendet. So wurde aus dem Kunden «kunde-1.com» neu «kunde-1.cam», für den Auftragnehmer wurde aus «firma-x.ch» nun «firma-x.cam», und so weiter.
Die «.cam» Top Level Domain ist seit einigen Jahren aktiv und war ursprünglich für die fertigende Industrie gedacht (CAM steht für «Computer Aided Manufacturing»). Heute wird sie aber auch für den Foto- und Videobereich verwendet («Camera»). Schon früh wurde darauf hingewiesen, dass «.cam» auf Grund der Ähnlichkeit mit der weitverbreiteten «.com» Domain zu Missverständnissen führen könnte. Genau diese Verwechslungsgefahr wird in diesem Fall ausgenutzt.
Die Betrüger können sich nun in die Kommunikation von Kunde und Firma schalten und sich nun sowohl gegenüber dem Opfer wie auch gegenüber dessen Kunden als der/die jeweils andere ausgeben. So schreiben die Betrüger z. B. eine Nachricht von «firma-x.cam» mit einer Anfrage an «kunde-1.com». Eine mögliche Antwort (wieder an «firma-x.cam») können die Betrüger sogar wieder «firma-x.ch» zurückgeben, nun aber mit dem Absender «kunde-1.cam», so dass auch die Rückmeldung wieder über die Umgebung der Betrüger geleitet wird.
Glücklicherweise sind solche Fälle selten und fliegen häufig auf, zum Beispiel weil auch andere Mitarbeitende des Auftragnehmers Kontakt mit dem Kunden haben, oder weil die involvierten Personen sich auch telefonisch kontaktieren - dann sind Informationen plötzlich widersprüchlich. Die gefälschten E-Mail-Adressen fallen unter Umständen auch jemandem auf, oder ein aufmerksamer Systemadministrator sieht Zugriffe auf seine E-Mail-Systeme ausgehend von unüblichen IP-Adressen.
So konnte auch im gemeldeten Fall grösseres Unheil abgewendet werden.
Empfehlungen
- Sensibilisieren Sie die Personen in Schlüsselpositionen für diese Betrugsvariante;
- Aktivieren Sie eine Zwei-Faktor-Authentisierung auf den Konten (speziell E-Mail), welche über das Internet potenziell zugänglich sind;
- Schränken Sie den Zugang zu solchen Konten nach Möglichkeit auf kleinere Adressbereiche ein, z. B. auf Adressen, welche der Schweiz zugeordnet werden können, oder verwenden Sie ein VPN;
- Überprüfen Sie periodisch Weiterleitungsregeln auf Ihren E-Mail-Konten;
- Fragen Sie bei Aufforderungen zu Änderungen im Zahlungsverkehr (z. B. neue Bankkonten) beim Empfänger der Zahlung nach, am besten telefonisch;
- Bei erfolgreichen Kompromittierungen und bei einem finanziellen Verlust bringen Sie den Fall bei der Polizei zur Anzeige.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 17.12.2024
