Die Welt des Business Email Compromise (BEC)

von Trend Micro

Business Email Compromise (BEC)-Angriffe haben in den letzten paar Jahren extrem zugenommen. Für das Jahr 2018 gehen die Experten von Trend Micro von einem Verlust infolge solcher Attacken von weltweit 9 Milliarden Dollar aus. Das Zusammenspiel von Einfachheit und Effizienz stellt sicher, dass BEC auch weiterhin einer der beliebtesten Angriffe bleibt, vor allem bei denjenigen Kriminellen, denen es an Spezialwerkzeug und Kenntnissen fehlt, um kompliziertere Schemen durchzuziehen. Die Sicherheitsforscher von Trend Micro haben die BEC-bezogenen Vorfälle 2017 über neun Monate hinweg analysiert, um vorhandene und aufkommende Trends zu erkennen, die Tools und Techniken der Cyberkriminellen zu finden und die Daten zu analysieren. Daraus lässt sich ein Gesamtbild des heutigen BECs zeichnen.

Das Internet Crime Complaint Center (IC3) unterscheidet fünf Hauptkategorien von BEC-Angriffen, doch ließen diese sich auf zwei Haupttechniken reduzieren:

  • Abgreifen von Credentials – Dazu werden Keylogger und Phishing Kits eingesetzt.
  • Nur Mail – Angreifer schicken eine Mail an einen Mitarbeiter der Finanzabteilung (üblicherweise der CFO) des Zielunternehmens. Die Mail gibt vor, von der Führungsebene zu kommen und weist das Opfer an, Geld zu überweisen, in den meisten Fällen an einen Zulieferer oder Partner.

Bei den Techniken des Credential-Diebstahls lassen sich solche ausmachen, die Schadsoftware verwenden, und solche, die Phishing einsetzen.

Die am häufigsten verwendeten bösartigen Anhänge waren die folgenden:


Bild 1: Die am häufigsten verwendeten Dateinamen-Kategorien in bösartigen Anhängen (auf Basis von VirusTotal Samples)

Zu den am meisten verwendeten bösartigen Anhängen in Phishing-bezogenen BEC-Angriffen gehören die folgenden:


Bild 2: Die am häufigsten verwendeten Dateinamen-Kategorien in Anhängen von Phishing-bezogenen BEC-Angriffen (auf Basis von Feedback aus dem Trend Micro Smart Protection Network™)

Die Untersuchung der Malware-bezogenen BEC-Angriffe ergab zwei Hauptakteure in der Szene: Ardamax, eine 50-$-Software, die die Grundfähigkeiten für solche Angriffe mitbringt, und LokiBot, eine bekannte Schadsoftware-Familie in BEC-Attacken.

Angriffe mit Mails allein nutzen Social Engineering-Techniken. Dies ist zwar eine häufig eingesetzte Methode, doch diese Attacken setzen auf ausgeklügeltere Methoden, um die menschliche Psyche zu überlisten. Das heißt, die Mails müssen besonders glaubhaft wirken. Dazu gehört ein schlau eingesetzter Betreff, aber auch sorgfältig ausgewählte Absender.

BEC-Akteure erstellen darüber hinaus legitim aussehende Mail-Adressen, vorgeblich von einem Executive des Unternehmens, entweder durch Nutzung von zwielichtigen Webmail-Providern oder über die Registrierung einer nachgeahmten Domäne, die der des Unternehmens ähnelt oder sie referenziert.

Zusätzlich untersuchten die Sicherheitsforscher, die Art und Weise wie die BEC-Akteure ihre Tools akquirieren, und vor allem die Websites, die sie für ihre Angriffe nutzen. Eine der häufigsten Methoden ist der Einsatz von Phishing Kits – Scam-Seiten – als Quelle für die Angriffe. Über die Analyse dieser Websites ließ sich ein BEC-Akteur identifizieren und auch die Art und Weise, wie er seine Tools nutzte.

Spuren dieses Akteurs ließen sich auf mehreren Phishing Sites finden, so dass die Forscher darauf schließen konnten, wie viele Akteure mehrere Sites für ihre Angriffe nutzen. Sie interagieren auch mit den Untergrundmärkten, die ihnen die Tools liefern können. Auch gibt es Ressourcen für unerfahrene BEC-Akteure, wie etwa Spamming Tutorials. Das bedeutet, dass Tools und Techniken einfach zu haben sind.

Der vollständige Report „Tracking Trends in Business Email Compromise (BEC) Schemes“ gibt weitere Einzelheiten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*