Vor nicht allzu langer Zeit kam ein großes brasilianisches Unternehmen auf der Suche nach Hilfe bei der Analyse eines Vorfalls auf uns zu. Das Kernproblem in diesem Fall war, dass Cyberkriminelle damit begonnen hatten, Spam über die E-Mail-Adressen der Mitarbeiter zu verteilen. Das heißt, sie gaben sich nicht – wie in den meisten Fällen – als legitime Absender aus, sondern verschickten die Spam-Nachrichten direkt über den Mailserver des Unternehmens. Nach einer eingehenden Untersuchung konnten wir den genauen Modus Operandi der Angreifer ermitteln.
Das Angriffsschema
Zunächst schickten die Betrüger Phishing-E-Mails an die Mitarbeiter des Unternehmens, in denen sie den Empfängern die bevorstehende Löschung bzw. Sperrung ihrer Mailbox mitteilten und sie dazu aufforderten, einen Link zur Aktualisierung ihrer Kontodaten zu klicken, um dies zu verhindern. Dieser Link führte die Mitarbeiter zu einem Phishing-Formular, das sie zu der Eingabe ihrer System-Anmeldeinformationen aufforderte.
Die Opfer füllten das Formular guten Gewissens aus, wodurch sie den Betrügern vollen Zugriff auf ihre E-Mail-Konten gewährten. Die Kriminellen begannen dann, Spam-Nachrichten über die kompromittierten Konten zu verteilen, ohne die Notwendigkeit, die Header der Nachrichten zu ändern, da diese bereits völlig legitim waren. Da die Spam-Nachrichten von seriösen Servern stammten, passierten sie auch jegliche Filter ohne Probleme.
Nachdem die Cyberkriminellen die volle Kontrolle über die Postfächer erlangt hatten, gingen sie zur nächsten Mailing-Welle über. In diesem Fall verschickten die Betrüger sogenannte „Nigeria Scam„-Nachrichten in verschiedenen Sprachen.
Unsere Vorfallsanalyse ergab, dass das brasilianische Unternehmen nicht das einzige Opfer war; denn dieselbe Nachricht wurde auch in großen Mengen von den Adressen verschiedener staatlicher und gemeinnütziger Organisationen verschickt, wodurch den Nachrichten zusätzliche Authentizität verliehen wurde.
Verheerende Konsequenzen
Der Missbrauch Ihrer Unternehmensserver zum Versenden betrügerischer Angebote macht keinen besonders guten Eindruck – weder auf Kunden noch auf Geschäftspartner. Gehen die Angreifer jedoch einen Schritt weiter und entscheiden sich für die Verteilung von Malware über Ihre Server, könnte das den Ruf Ihres Unternehmens nachhaltig schädigen.
Doch die Folgen eines solchen Vorfalls können noch deutlich schlimmere Ausmaße annehmen; denn häufig stimmen die Anmeldeinformationen der E-Mail-Postfächer von Angestellten mit ihren Domain-Benutzernamen und -Passwörtern überein. Dies bedeutet, dass gestohlene Anmeldeinformationen auch für den Zugriff auf andere Unternehmensdienste verwendet werden können.
Durch den Zugriff auf das Postfach des Mitarbeiters eines renommierten Unternehmens können Cyberkriminelle darüber hinaus versuchen, einen zielgerichteten Angriff auf Kollegen, Geschäftspartner oder Regierungsbeamte zu unternehmen. Zwar erfordern derartige Angriffe erstklassige Social-Engineering-Skills, um das Opfer dazu zu bewegen, alle erforderlichen Handlungen auch tatsächlich durchzuführen, aber der Schaden, den ein solcher Angriff dann verursachen kann, kann unvorhersehbar hoch sein.
Die in diesem Beitrag beschriebene Art von Betrug wird als BEC (Business E-Mail Compromise) bezeichnet und kann betroffenen Unternehmen ziemliche Kopfschmerzen bereiten. Im Wesentlichen versucht der Fake-Absender hierbei per Korrespondenz, Zugriff auf Kontodaten, Finanzdokumente und andere vertrauliche Informationen zu erhalten. Unglücklicherweise sind BEC-Nachrichten sehr schwer zu erkennen, da sie von einer legitimen Adresse stammen.
Schutz für Unternehmen und Mitarbeiter
Um den Ruf Ihres Unternehmens zu schützen und derartige Vorfälle zu vermeiden, empfehlen wir Ihnen die Installation einer zuverlässigen Schutzlösung, die Phishingversuche – sowohl auf Mailserver als auch auf Workstations – problemlos erkennt. Darüber hinaus ist das regelmäßige Update von heuristischen Antispam-Datenbanken und Antiphishing-Komponenten ein absolutes Muss.
Quelle: https://www.kaspersky.de/blog/brazil-spam-mail-takeover/19150/
Author: Maria Vergelis