Phishing

Internetkriminalität erreicht 7,45 Milliarden Dollar in den USA, E-Mail-Angriffe verursachen größten Schaden.

Adrien Gendre

24. Mai 2019

4 min

Der jüngste Internet Crime Report (IC3) des FBI enthüllte, dass US-Opfer 2018 mehr als 2,7 Milliarden Dollar durch Internetkriminalität verloren haben, was die Summe in vier Jahren auf atemberaubende 7,45 Milliarden Dollar bringt. E-Mail-Betrug verursachte die meisten Kosten, wobei Phishing, Spear-Phishing und Geschenkkartenbetrug die häufigsten Formen von E-Mail-Angriffen waren.

Geschäfts-E-Mail-Kompromittierungen kosten US-Unternehmen 1,2 Milliarden Dollar.

Geschäfts-E-Mail-Kompromittierungen (BEC) machen 2018 fast die Hälfte der Gesamtschäden aus. Der IC3-Bericht ergab, dass BEC-Angriffe US-Unternehmen 2018 mehr als 1,2 Milliarden Dollar kosteten, die Verluste von 2017 sich verdoppelten und die von 2016 sich verdreifachten.

Report losses from bec

Eine der teuersten Formen des Speer-Phishing, die BEC-Angriffe, trafen 2018 mehr als 20.000 Opfer. Bei diesem Betrug gibt sich ein Cyberkrimineller als Führungskraft aus und fordert einen Mitarbeiter auf, eine Banküberweisung durchzuführen, oft in Millionenhöhe. Wegen des hohen Gewinns nutzen Cyberkriminelle oft Vorwände, eine Form des Social Engineering, um ihre Erfolgsaussichten zu verbessern. Zuerst stellen Cyberkriminelle sicher, dass das Opfer die Befugnis hat, die Überweisung auszuführen, dann erteilen sie den Auftrag. Oftmals tauschen sie mehrere E-Mails mit dem Opfer aus, um deren Vertrauen zu gewinnen.

In einem aktuellen Beispiel, der St. Ambrose Catholic Parish in Brunswick, wurde Ohio bei einem BEC-Angriff um 1,75 Millionen Dollar betrogen. Während die Kirche renoviert wurde, gelang es Hackern, sich Zugriff auf die internen Office 365-E-Mail-Konten zu verschaffen. Danach überzeugten sie weitere Mitarbeiter, dass das Bauunternehmen, das Renovierungen an der Kirche durchführt, seine Bankverbindung ändern müsse. Als die Kirche der Baufirma zwei Rechnungen in Höhe von 1,75 Millionen Dollar zahlte, gingen die Gelder auf das Konto der Hacker. Die Kirche wurde erst dann auf den Betrug aufmerksam, als die Baufirma schließlich fragte, warum die letzten Rechnungen nicht bezahlt worden sind.

[Report] IDC Analyst Connection: E-Mail-Sicherheit: Aufrechterhalten eines hohen Standards beim Wechsel zu Office 365.

Geschenkkarten-Betrugsschema:

Nach Angaben des FBI stiegen die Beschwerden über Geschenkkartenbetrug im Jahr 2018 deutlich an. Bei diesem Speer-Phishing-Angriff täuscht ein Hacker einen Mitarbeiter und fordert ihn in einer E-Mail auf, mehrere Geschenkkarten zu kaufen. Allein E-Mail-Spoofing kostete US-Opfer im Jahr 2018 70 Millionen Dollar. Dies gibt es in vielen Formen, die unterschiedlich ausgefeilt sind:

  • Sichtbares Alias-Spoofing: Der Hacker erstellt einfach eine E-Mail-Adresse mit dem Namen des angeblichen Absenders in der Hoffnung, das Opfer bemerke nicht, dass die E-Mail-Adresse anders ist - was sie oft nicht tun.
  • Täuschend echtes Spoofing Verwendung einer E-Mail-Adresse, die einer echten E-Mail-Adresse ähnlich sieht, aber nur eine geringe Abweichung aufweist, wie z. B. einen zusätzlichen Buchstaben.
  • Domain-Spoofing Domain-Spoofing ist eine Variante des Spoofings, bei der die E-Mail als genaue Kopie einer legitimen E-Mail-Adresse erscheint. Dank Authentifizierungsprotokollen wie DMARC einfacher zu erkennen als täuschend echtes Spoofing.

Mit Geschenkgutscheinen geben viele Phishing-E-Mails vor, vom Top-Management zu kommen. Diese Taktik ist effektiv, weil sie die Opfer dazu bringt, schnell zu handeln, um berufliche Konsequenzen zu vermeiden, wenn sie der Anfrage nicht nachkommen. 2018 erhielt einer unserer eigenen Mitarbeiter eine Phishing-E-Mail mit einem Geschenkgutschein von einem Cyberkriminellen, der sich als CEO von Vade Secure ausgab. Das in Vade Secure for Office 365 integrierte Warnbanner warnte den Mitarbeiter vor dem Betrug:

Vadesecure alert

Phishing bei direkten Einzahlungen nimmt zu.

Ein weiterer BEC-Angriff, der 2018 zu einer Zunahme führte, war das Abgreifen von Lohnabrechnungen, das US-Unternehmen über 100 Millionen Dollar kostete. Bei diesem Betrug sendet ein Cyberkrimineller eine Phishing-E-Mail an einen Mitarbeiter, um seine Zugangsdaten zur HR-Plattform des Unternehmens oder zu einem anderen Mitarbeiterportal zu erhalten. Sobald der Hacker die Zugangsdaten hat, ändert er die Informationen zur Bezahlung des Mitarbeiters und leitet das Geld auf sein eigenes Konto um.

2019 meldete Vade Secure einen Anstieg der Spear-Phishing-Angriffe auf Zahlungsaufträge, eine gezieltere Form der Lohnumlenkung, bei der ein Cyberkrimineller einen HR-Mitarbeiter täuscht und eine Änderung der Zahlungsweise vorgibt. Diese Speer-Phishing-Variante ist einfacher auszuführen, da sie nur eine E-Mail erfordert, während der Hacker beim Phishing eine anspruchsvolle Portalseite erstellen muss.

[Infografik]: Je größer das Ziel, desto einfacher das Zielen

Phishing dominiert weiter

Phishing allein verursachte 2018 in den USA über 48 Millionen Dollar an Verlusten, was Malware, die Opfer über 7,4 Millionen Dollar kostete, in den Schatten stellte. Dies stimmt mit dem überein, was wir im Laufe des letzten Jahres gesehen haben. Die im Vergleich zu komplexen Malware-Codes relativ einfache Erstellung von Phishing-E-Mails und Portalseiten macht dies zu einer gewaltigen Bedrohung, ohne jedes Anzeichen einer Verlangsamung. Im vierten Quartal 2018 erkannte Vade Secure allein 80.707 einzigartige Phishing-URLs, wobei Microsoft bei Phishing-Angriffen die am häufigsten gewählte Marke war.

Noch bedrohlicher ist es, wenn Phishing mit Phishing kombiniert wird, was auch als mehrstufiger Angriff bekannt und eine beliebte Taktik für den Zugriff auf Microsoft Office 365-Konten ist. Bei einem mehrstufigen Angriff beginnen Hacker damit, Kontoanmeldeinformationen über eine Phishing-Webseite zu sammeln. Sobald sie Zugang zu Office 365 erhalten, haben sie die Möglichkeit, interne Speer-Phishing-Angriffe durchzuführen und sich als Kollege auszugeben, um davon zu überzeugen, mehr Kontoinformationen preiszugeben oder bestimmte finanzielle Transaktionen abzuschließen, wie dies bei St. Ambrose Parish der Fall war.

[Ressource] Wie Sie lernen, eine Phishing-E-Mail zu erkennen

Schützen Sie Ihr Unternehmen

Die zunehmende Komplexität und Erfolgsrate von E-Mail-Angriffen, kombiniert mit einer erstaunlichen Menge an gemeldeten Verlusten, zeigt, dass Unternehmen nicht nur in Schulungen zur Sensibilisierung der Mitarbeiter, sondern auch in E-Mail-Sicherheit investieren müssen. Phishing ist extrem schwer zu erkennen. Wenn es sich bei einer URL in der E-Mail nicht um eine bekannte Phishing-Webseite handelt, wird die E-Mail die meisten reputationsbasierten E-Mail-Filter umgehen. Spear-Phishing ist noch schwieriger zu erkennen, da Spear-Phishing-E-Mails keine URLs oder anderen Code im Text der E-Mail enthalten, den der Filter scannen kann.

Neuere Lösungen, die künstliche Intelligenz nutzen, um unbekannte Bedrohungen zu erkennen, führen für die gesamte E-Mail eine Verhaltensanalyse durch, und suchen nicht nur in der URL nach missbräuchlichen Mustern, sondern auch nach Anomalien in E-Mail-Adressen und Verschleierungstechniken wie URL-Umleitungen. Im Vergleich zu reputationsbasierten E-Mail-Filtern haben KI-basierte Sicherheitslösungen nicht nur eine bessere Fangquote, sondern auch die Möglichkeit, aus ihren Fehlern zu lernen.

Erfahren Sie, wie Vade Secure for Office 365 Unternehmen vor Phishing, Spear-Phishing und Malware schützt.