Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) ist ein Konzept, das erstmals 2013 auftauchte, als das Internet Crime Complaints Center (IC3) der US-Bundesregierung begann, die E-Mail-Betrugsmasche zu untersuchen. Seitdem haben die gemeldeten Verluste durch BEC-Betrug stetig zugenommen. Im Jahr 2023 erhielt das IC3 21.489 BEC-Beschwerden mit bereinigten Verlusten von über 2,9 Milliarden US-Dollar.
Einführung
Im Folgenden führen wir Sie durch die Schritte zum Schutz von E-Mail-Adressen, um Ihr Unternehmen vor Phishing-Betrug und ähnlichen Formen des Betrugs zu schützen.
Die Definition von BEC
Die meisten Definitionen von BEC gehen davon aus, dass es sich um einen Betrug im Zusammenhang mit kompromittierten geschäftlichen E-Mail-Konten handelt. In diesem Szenario wird ein kompromittierter Zugang verwendet, um scheinbar legitime E-Mails an Kollegen, Geschäftspartner oder Kunden zu senden, in der Regel mit der Bitte um eine finanzielle Transaktion. Dabei kann es sich um eine Geldüberweisung, die Begleichung einer Rechnung, den Kauf von Geschenkgutscheinen oder einfach nur darum handeln, den Empfänger zum Herunterladen von Malware zu verleiten, um einen Angriff zu unterstützen.
Da die E-Mail von einem gültigen Nutzerzugang stammt, ist es in solchen Fällen für die herkömmliche E-Mail-Sicherheit fast unmöglich zu erkennen, dass es sich um eine Bedrohung handelt. Außerdem ist es notwendig, dass der Empfänger erkennt, dass es sich um eine ungewöhnliche E-Mail handelt.
Wie man die Kompromittierung von Geschäfts-E-Mails verhindert
Der beste Mechanismus, um BEC-Betrüger abzuwehren, besteht darin, die ursprüngliche Kompromittierung des E-Mail-Zugangs zu verhindern, was normalerweise durch Phishing des beabsichtigten Opfers erreicht wird. Im Folgenden beschreiben wir den heutigen Stand des Phishings, die Auswirkungen von Cyberangriffen und wie Sie Ihr Unternehmen davor schützen können.
Der Stand des Phishings heute
Das Forschungsteam von Eye Security hat festgestellt, dass sowohl die Anzahl als auch die Komplexität von Phishing-Angriffen zunimmt. Eine besonders heimtückische Form des Phishings von Anmeldeinformationen ist der Adversary in the Middle-Angriff (AitM) — ein Thema, das wir in unserem früheren Blog-Artikel "Wie Eye Security Sie vor bösen Proxys schützen kann" behandelt haben. Es geht jedoch über das bloße Fälschen einer Microsoft-Anmeldeseite mit einer amateurhaften Benutzeroberfläche hinaus. Diese Technik kopiert und lädt eine Version der Anmeldeseite von Microsoft und umgeht damit die Multi-Faktor-Authentifizierung (MFA). Dies ist ein Man-in-the-Middle-Ansatz, der dazu führen kann, dass der Angreifer den Zugang des Opfers vollständig übernimmt.
Diese Bedrohung ist so groß, dass wir uns entschlossen haben, diesen Blog-Artikel zu schreiben und 15 Maßnahmen aufzuzeigen, die Sie ergreifen können, um die Wahrscheinlichkeit zu verringern, dass Ihr Unternehmen Opfer einer Kompromittierung von Geschäfts-E-Mails wird.
1. Verabschiedung eines „Zero-Trust-Modells“ (Null-Vertrauen) im Gegensatz zu einem Burg-graben-Modell
Organisationen müssen ein Zero-Trust-Modell einführen. Dieses Modell steht im Gegensatz zum alten Burggraben-Modell („Castle-and-Moat“-Modell).
Abbildung 1. Der Unterschied zwischen einem Zero-Trust-Modell und einem Burggraben-Modell
In der Vergangenheit war das Modell von Burg und Graben wirksam. Es funktionierte, indem es die äußeren Grenzen wie bei einer von einem Wassergraben umgebenen Burg befestigte. Es war jedoch unzureichend, wenn es um die interne Identifizierung und Verteidigung ging.
Stellen Sie sich zum genaueren Verständnis eine Burg vor, bei dem der Pförtner am Eingang Ihre Identität überprüft. Sobald Sie drinnen sind, gibt es keine weiteren Kontrollen, und Sie können die verschiedenen Gebäude frei betreten. Das ist die Grundlage des “Burg und Graben” Modells.
Das Zero-Trust-Modell hingegen erhöht die Sicherheit erheblich, indem es den Benutzer ständig verifiziert - ein Prinzip, das man mit "Vertrauen, aber überprüfen" zusammenfassen kann. Bei diesem Modell nähert sich ein Benutzer dem Tor, und der Torwächter überprüft seine Identität. Wenn die Informationen korrekt sind, wird dem Benutzer der Zutritt gewährt.
Im Inneren der gesicherten Burg steht der Benutzer einem weiteren Wächter gegenüber. Diese Wache gibt sich im Gegensatz zur ersten nicht mit der ersten Identifizierung zufrieden. Stattdessen verlangt er einen "Code" vom Benutzer. Diese zusätzliche Überprüfungsebene ist ein entscheidender Aspekt des Zero-Trust-Modells. Es zielt darauf ab, die Sicherheit zu erhöhen, indem es davon ausgeht, dass keinem Benutzer oder Gerät vollständig vertraut werden kann, auch wenn sie bereits einige erste Überprüfungen bestanden haben.
Dieser kontinuierliche Überprüfungsprozess gewährleistet eine solide Verteidigung gegen interne Bedrohungen. Mit dem Zero-Trust Ansatz im Hinterkopf kann es dazu verwendet werden, Richtlinien für den bedingten Zugang einzurichten und auf anormale Ereignisse zu überwachen, aber auch um Prozesse für eine Zahlung zu implementieren. Wir werden diese im nächsten Abschnitt im Detail diskutieren.
2. Phishing-Bewusstsein schaffen
Regelmäßige Kampagnen zur Sensibilisierung für Phishing sind für Unternehmen unerlässlich, um die Fähigkeit ihrer Mitarbeiter zu verbessern, Phishing-Bedrohungen zu erkennen und zu entschärfen. Diese Kampagnen zielen darauf ab, die Mitarbeiter zu schulen, bösartige Links oder verdächtige E-Mails zu erkennen und dem Sicherheitsteam zu melden, um so das Risiko erfolgreicher "Adversary-in-the-Middle"-Angriffe zu verringern.
Auch wenn Sensibilisierungskampagnen keine 100 %ige Erfolgsquote garantieren können, so spielen sie doch eine entscheidende Rolle beim Schutz eines Unternehmens. Phishing-E-Mails können legitime Mitteilungen immer besser imitieren, so dass es selbst für die aufmerksamsten Mitarbeiter schwierig ist, sie zu erkennen.
Indem sie jedoch eine starke Kultur des Bewusstseins für Cyberangriffe schaffen und umfassende Schulungen anbieten, helfen die Unternehmen ihren Mitarbeitern dabei, potenzielle Bedrohungen proaktiv zu erkennen und auf sie zu reagieren.
Es ist wichtig, darauf hinzuweisen, dass Mitarbeiter keine Sanktionen befürchten sollten, wenn sie auf eine Phishing-E-Mail klicken. Schließlich ist es nicht ihre Hauptaufgabe, als Phishing-Detektor zu fungieren. Stattdessen sollten sie zur Meldung ermutigt werden. Dies ist ein wichtiger Aspekt, der oft übersehen wird, da die meisten Kunden dazu neigen, sich nur darauf zu konzentrieren, wer geklickt hat, und nicht darauf, wer gemeldet hat.
Letztendlich geht es darum, ein Umfeld zu schaffen, in dem die Mitarbeiter lernen, weniger zu vertrauen und mehr zu überprüfen, was den Grundsätzen des Zero-Trust-Modells entspricht. Dieser Ansatz erhöht nicht nur die Sicherheit, sondern fördert auch eine Kultur der Wachsamkeit und Verantwortung.
3. Implementierung einer Multi-Faktor-Authentifizierung
Eye Security empfiehlt, den Microsoft Authenticator für die Multi-Faktor-Authentifizierung (MFA) zu verwenden und alle anderen MFA-Methoden zu deaktivieren, damit sich Benutzer nur über die Microsoft Authenticator-App anmelden können. Damit können Unternehmen spezifische Richtlinien durchsetzen, die das Bewusstsein der Benutzer schärfen.
Abbildung 2. Multi-Faktor-Authentifizierung über den Microsoft Authenticator
Eine dieser Maßnahmen ist der Nummernabgleich, bei dem der Nutzer die Informationen sowohl auf dem Handy- als auch auf dem Computerbildschirm überprüfen muss. Dies fördert die Aufmerksamkeit der Nutzer für die von ihnen besuchte Seite, verringert die Wahrscheinlichkeit eines unbefugten Zugriffs und veranlasst die Nutzer zu erhöhter Aufmerksamkeit.
Eine weitere nützliche Funktion ist die Richtlinie für zusätzlichen Kontext während des Anmeldevorgangs. Diese Funktion hebt in der Authentifizierungs-App den Standort des Geräts des Endnutzers mit dem Standort hervor, von dem aus er versucht, sich anzumelden. Dies kann besonders nützlich sein, um potenzielle Sicherheitsverletzungen zu erkennen und zu verhindern, da die Benutzer leicht erkennen können, ob der Anmeldeversuch von einem unbekannten Standort aus erfolgt. Wenn sie sich nicht an diesem Ort befinden, können sie leicht erkennen, dass die Anmeldung nicht von ihnen stammt, und den Zugang verweigern.
4. Durchsetzung strenger Passwortregeln
Die Durchsetzung einer Richtlinie für sichere Passwörter verhindert unbefugten Zugriff, da sie eine weitere Barriere für das Erraten und Ausprobieren von Passwörtern darstellt. Ein sicheres Passwort besteht in der Regel aus mindestens 12 Zeichen mit einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Wichtig ist auch, dass Sie keine leicht zu erratenden persönlichen Daten wie Geburtstage oder gängige Wörter verwenden. Es wird auch empfohlen, alle 90 bis 180 Tage ein neues Passwort zu verlangen. Eye Security empfiehlt die Einhaltung der Google-Passwortrichtlinien, die in diesem Google-Leitfaden zu finden sind.
5. Verwenden Sie einen Passwort-Manager
Ein Passwort-Manager ist ein nützliches Werkzeug, das Mitarbeitern bei der Erstellung und Speicherung sicherer Passwörter für alle ihre Online-Konten helfen kann. Diese Tools sind besonders vorteilhaft, da sie es einfacher machen, die Passwörter alle paar Monate zu ändern, und den Nutzern die Notwendigkeit nehmen, sich Passwörter zu merken, und sie so davon abhalten, sie aufzuschreiben oder schwache Passwörter zu erstellen, um sie leichter erinnern zu können.
Vor allem Passwort-Manager können dazu beitragen, das Bewusstsein zu schärfen, da sie Passwörter auf Phishing-Seiten nicht automatisch ausfüllen, wie es ein Webbrowser tun könnte, und so den Benutzer warnen. Sie können Benutzer auch warnen, wenn ein Passwort wiederverwendet wird, sowie die Stärke eines Passworts auf Basis der Komplexität bewerten. Einige bieten sogar Dark Web Lookups an, um festzustellen, ob die Anmeldedaten des Benutzers kompromittiert wurden.
Eye Security empfiehlt die Verwendung seriöser Passwort-Manager von Anbietern, die nicht nur sichere Passwörter generieren, sondern diese auch sicher speichern. Im Gegensatz zu den im Browser integrierten Passwortmanagern bieten die Lösungen von Drittanbietern zusätzliche Sicherheitsfunktionen und sind weniger anfällig für das Auslesen durch Passwortdiebe.
Eye Security rät auch von der Verwendung integrierter Passwort-Manager im Browser ab. Sie sind zwar praktisch, bieten aber möglicherweise nicht dasselbe Maß an Sicherheit wie spezielle Passwortmanagement-Tools. Browser-basierte Passwort-Manager könnten anfällig für Angriffe sein, die gespeicherte Passwörter auslesen.
6. Implementierung der Zugangskontrolle
Um zu verhindern, dass die Übernahme von Konten oder gefälschte Anmeldedaten zu einem größeren Problem werden, empfiehlt Eye Security die Implementierung von Richtlinien für den bedingten Zugriff. Berücksichtigen Sie die folgenden Punkte, um Risiken zu reduzieren:
- Sperren von Dienstkonten von allen Standorten außer vertrauenswürdigen IP-Adressen
- Blockieren des Zugriffs von nicht genutzten Plattformen, z. B. Linux
Mit einer Microsoft Entra P2-Lizenz ist es auch möglich, Anmeldungen mit hohem Risiko zu blockieren. Dies stellt ein weiteres Hindernis für Angreifer dar. Es wird dringend empfohlen, die Richtlinien für die Zugangskontrolle in einer Staging-Umgebung zu testen, bevor sie in die Produktion übernommen werden.
7. Implementierung der Cloud-Überwachung
Durch die Überwachung von Cloud-Protokollen (z. B. Azure- und Entra-ID-Protokolle) können verdächtige Logins und andere Ereignisse aufgedeckt und neutralisiert werden, was von Cybersicherheitsspezialisten durchgeführt werden kann. Wenn dieses Fachwissen im Unternehmen nicht vorhanden ist, empfiehlt Eye Security, diese Aufgabe an einen spezialisierten Cybersicherheitsanbieter auszulagern.
8. Einsatz von Anti-Spoofing
Das Eye Anti-Spoofing Tool (EAST) ist eine fortschrittliche Cybersicherheitsmaßnahme, die das Spoofing von Microsoft-Anmeldeseiten verhindern soll. Es funktioniert während der Anmeldephase und verwendet eine einzigartige CSS-Datei, um das Aussehen der Anmeldebox zu verändern. Während der Benutzer die Anmeldeseite aufruft, passen sich die Server von Eye Security dynamisch an den HTTP-Referer-Header an und unterscheiden zwischen echten und gefälschten Seiten.
Abbildung 3. Beispiel für das EAST-Tool in Aktion auf der Microsoft-Anmeldeseite
Die eindeutige CSS-Datei lädt eine von Eye Security gehostete Version des Anmeldebildschirms, die eine Warnung enthält, wenn Benutzer versuchen, sich bei einer nicht erkannten Domain anzumelden. Wenn Benutzer die authentische Microsoft-Domäne besuchen, erscheint eine Anmeldeseite mit einem grünen Kontrollkästchen und der Meldung: "Anmeldebildschirm verifiziert". Dadurch wird sichergestellt, dass die Benutzer vor potenziellen Phishing-Versuchen gewarnt werden, was die Sicherheit erhöht. Dieses Thema wurde bereits in unserem früheren Blog-Artikel "Empowering Security" behandelt: Der Kampf gegen Login-Spoofing".
9. Benutzerdefiniertes Microsoft-Styling verwenden
Die Verwendung einer benutzerdefinierten Anmeldeseite kann dazu beitragen, das Bewusstsein zu schärfen. Auch wenn dies nicht bei jeder Art von "Adversary-in-the-Middle"-Angriff funktioniert, schafft es eine weitere Ebene des Bewusstseins für die Endbenutzer. Es ist ratsam, für Microsoft-Anmeldeseiten ein Firmenbranding zu verwenden. Anweisungen zur Konfiguration finden Sie auf dieser Microsoft-Ressourcenseite.
Angenommen, ein Benutzer arbeitet für ein Unternehmen namens "Liebersicher GmbH". Liebersicher GmbH beschließt, eine benutzerdefinierte Anmeldeseite für alle seine Microsoft-Dienste zu implementieren. Diese Seite wird mit dem Branding von Liebersicher GmbH gestaltet, einschließlich des Logos, des Farbschemas und anderer identifizierbarer Elemente.
Wenn ein Mitarbeiter zu dieser Seite navigiert, erkennt er sie sofort als die Anmeldeseite von Liebersicher GmbH. Diese Erkennung schafft eine Ebene des Bewusstseins. Wenn sie auf eine andere Seite geleitet werden, die nicht das Branding von Liebersicher GmbH trägt, werden sie höchstwahrscheinlich bemerken, dass etwas nicht in Ordnung ist. Dies könnte einen gezielten Mitarbeiter auf einen Adversary-in-the-Middle-Angriff oder einen Phishing-Angriff aufmerksam machen.
10. Externe Weiterleitung von E-Mails verhindern
Indem interne Benutzer daran gehindert werden, Regeln für die Weiterleitung von E-Mails an externe Domänen zu erstellen, wird eine weitere Barriere zum Schutz vor Cyberkriminellen errichtet. Allerdings kann dies auch eine Hürde für legitime Mailbox-Weiterleitungen sein. Die Blockierung externer Weiterleitungsregeln kann den Verlust sensibler oder vertraulicher Informationen verhindern. Es wird empfohlen, Versuche zu überwachen, bei denen ein Benutzer eine E-Mail an ein externes Postfach weiterleitet. Weitere Informationen zum Verweigern und Überwachen externer Weiterleitungsregeln finden Sie in diesem Microsoft-Artikel.
11. DKIM, SPF und DMARC einführen
DMARC, DKIM und SPF sind Methoden zur E-Mail-Authentifizierung. Zusammen wirken sie als Schutzschild gegen Angreifer, die versuchen, E-Mails von einer Domäne zu senden, die ihnen nicht gehört. DKIM und SPF sind vergleichbar mit einem Zertifikat oder einem Doktortitel, die an der Wand eines Büros hängen - sie dienen als Nachweis der Authentizität. DMARC weist die Mailserver an, was zu tun ist, wenn DKIM- oder SPF-Prüfungen fehlschlagen, sei es, die fehlgeschlagenen E-Mails als Spam zu kennzeichnen, sie trotzdem zuzustellen oder sie ganz zu verwerfen (Quarantäne/Ablehnung).
Domänen, die SPF, DKIM und DMARC nicht ordnungsgemäß konfiguriert haben, stellen möglicherweise fest, dass ihre E-Mails als Spam gekennzeichnet werden oder die vorgesehenen Empfänger nicht erreichen. Außerdem laufen Sie Gefahr, dass sich Spammer, als Sie ausgeben. Die folgenden Anleitungen können zum Einrichten verwendet werden: SPF, DKIM und DMARC.
12. Benutzer an der Registrierung von Anwendungen hindern
Wenn Entra-Benutzer die Zustimmung erteilen, dass Apps auf Unternehmensdaten zugreifen dürfen, kann dies zur unerwünschten Offenlegung sensibler Unternehmensdaten führen. Es wird empfohlen, dass die Zustimmung nur von Administratoren erteilt wird. Sie können diese Einstellung deaktivieren, indem Sie diesen Artikel aus dem Microsoft Resource Hub befolgen.
13. Verweigern Sie die Nutzung der Outlook-Webanwendung
Die Deaktivierung der Web-App-Version von Outlook stellt ein weiteres Hindernis für Bedrohungsakteure dar, da sie die mobile App oder die Desktop-App verwenden müssen, um auf ein Postfach zuzugreifen. Diese Maßnahme kann jedoch auch zu Unannehmlichkeiten für die Endbenutzer führen, die ihre E-Mails nicht abrufen können, wenn sie die mobile App nicht installiert haben. Darüber hinaus schreiben einige Organisationen die Verwendung eines registrierten Geräts vor, um die mobile oder Desktop-Anwendung für den E-Mail-Zugriff zu nutzen.
14. FIDO2-Authentifizierung verwenden
Hardware-basierte Authentifizierungsmechanismen, die FIDO2-Protokolle verwenden, stellen derzeit den effektivsten Ansatz dar, um das Risiko der Umgehung von MFA in all seinen Formen zu verringern. Die FIDO2-Authentifizierung nutzt kryptografische Schlüssel, die bei Domänen vorregistriert sind und es den Nutzern ermöglichen, sich sicher zu authentifizieren.
Abbildung 4. Ein Überblick über den FIDO2-Authentifizierungsmechanismus
Die vom Dienst an das FIDO2-Gerät gestellte Herausforderung enthält spezifische Details zum Ursprung der Anfrage, wie z. B. die URL der Website. Folglich sollten alle Versuche, sich mit diesem Mechanismus bei Phishing-Seiten zu authentifizieren, fehlschlagen. Beispiele für die FIDO2-Authentifizierung sind Hardware-Tokens wie YubiKeys. Sie können auch Windows Hello for Business verwenden.
15. Durchführung von Finanzkontrollen
Eye Security empfiehlt die Anwendung des "Vier-Augen-Prinzips", d. h. zwei Personen sollten die Richtigkeit und Rechtmäßigkeit der Informationen überprüfen und bestätigen. Es wird dringend empfohlen, dies bei Transaktionen oder Vorgängen mit hohem Risiko zu tun. Anträge auf Änderung einer Bankkontonummer sollten telefonisch überprüft werden und die betroffenen Parteien sollten umgehend über diese Änderung informiert werden.
Dies schafft eine starke Barriere für Angreifer, die sich als Benutzer ausgeben und Änderungen an sensiblen Informationen erzielen wollen. Ein Unternehmen sollte auch in Erwägung ziehen, von Rechnungen per E-Mail auf ein System umzusteigen, das speziell für die Authentifizierung von Zahlungen entwickelt wurde.
Zusammenfassung und nächste Schritte
Wir haben einen umfassenden Maßnahmenkatalog zusammengestellt, der Sie auf Ihrem Weg zu mehr Cyber-Resilienz unterstützen soll. Vielleicht haben Sie viele davon bereits umgesetzt, um betrügerische Aktivitäten zu verhindern. Vielleicht erscheint Ihnen diese Aufgabe aber auch so gewaltig, dass Sie sie beiseiteschieben, um sich auf Ihr Tagesgeschäft zu konzentrieren. Wir hoffen, dass Ihnen diese Informationen helfen, um mit der Umsetzung zu beginnen. Unabhängig davon, wo Sie sich auf Ihrer Cyberreise befinden, kann Eye Security Ihnen helfen, einen Teil der Last abzunehmen. Wenn Sie mehr erfahren möchten, wenden Sie sich direkt an uns, um eine Demo zu buchen und mehr über unseren Service zu erfahren.
