Connect with us

Deutsch

Palo Alto warnt vor BEC-as-a-Service und stellt fest, dass der durchschnittliche versuchte Überweisungsbetrug 567.000 US-Dollar beträgt, mit einem Spitzenwert von 6 Millionen US-Dollar

Published

on

Laut einem neuen Bericht der Bedrohungsforschungsgruppe Unit 42 von Palo Alto Networks kostet die Kompromittierung von geschäftlichen E-Mails (BEC) weiterhin Tausende – und manchmal Millionen – Dollar.

Das Sicherheitsteam durchforstete Hunderte von BEC-Fällen und stellte fest, dass der durchschnittliche versuchte Überweisungsbetrug 567.000 US-Dollar betrug und der höchste 6 Millionen US-Dollar betrug. Unter den Hunderten von BEC-Fällen, die Unit 42 seit Anfang letzten Jahres in Angriff genommen hat, stellten Forscher fest, dass 89 Prozent der Opfer die Multi-Faktor-Authentifizierung nicht aktivierten oder Best Practices für ihre Implementierung befolgten.

BEC wird vom FBI oft als eine der lukrativsten Cyberkriminalität bezeichnet, und die Strafverfolgungsbehörde berichtete letztes Jahr, dass es zu Verlusten in Höhe von 1,87 Milliarden US-Dollar geführt habe. Opfer, so die Forscher von Palo Alto, wollen in der Regel Reputationsschäden vermeiden und gehen oft nicht an die Öffentlichkeit, was BEC zu einer relativ stillen Bedrohung gemacht hat.

Unit 42 sagte, dass seine Sicherheitsberater Tausende von Stunden mit BEC-Untersuchungen verbringen, “Protokolle durchsuchen, um nicht autorisierte Aktivitäten zu identifizieren, festzustellen, wie unbefugter Zugriff stattgefunden hat, und Sicherheitslücken zu finden, die behoben werden müssen”.

„Angreifer zielten mit Phishing-E-Mails auf Hunderte von Mitarbeitern einer Versicherungsgesellschaft ab. Diese E-Mails führten zu einem Versuch, Anmeldeinformationen über gefälschte Microsoft 365-E-Mail-Anmeldeseiten zu erhalten, die mit den legitimen Seiten dieser Firma identisch aussahen. Den Angreifern gelang es, Zugang zu erhalten einige dieser Konten gehörten Mitarbeitern, die MFA nicht eingerichtet hatten, was wiederum dazu führte, dass sie auf einer internen Sharepoint-Site Zugriff auf sensible Daten erhielten”, schrieben die Forscher von Unit 42, Jenna Garbett und Sama Manchanda.

„Angreifer erhielten Zugriff auf die E-Mail-Konten von zwei Mitarbeitern einer Kundenorganisation, die die Legacy-Authentifizierung für die Synchronisierung von E-Mail-Postfächern über IMAP4 und POP3 nicht deaktivieren konnten. Dadurch hatten die Angreifer über einen Monat lang Zugriff auf alles in beiden Postfächern und konnten so Daten sammeln Persönlich identifizierbare Informationen (PII) aus den Kontakten der Opfer. Dies ist eine der gängigsten Möglichkeiten, MFA zu umgehen, insbesondere in hybriden Umgebungen, die legitime Verwendung für Legacy-Protokolle haben.”

Die Forscher lieferten weitere Beispiele, darunter eines mit Bedrohungsakteuren, die “mehrere Benutzer bei einer Arbeitsvermittlungsagentur kompromittiert und dann diese Konten verwendet haben, um Stellenausschreibungen zu verbreiten, in denen die Empfänger aufgefordert wurden, personenbezogene Daten anzugeben”.

Sie stellten Regeln auf, die alle Antworten in versteckte Ordner verschoben und an ein externes Konto weiterleiteten, fügten die beiden Forscher hinzu. Sie stellten im Blog fest, dass die meisten der führenden E-Mail-Plattformen – einschließlich Microsoft 365 und Exchange sowie Google Workspace – mehrere Optionen für die Implementierung von MFA bieten, was es schwer zu verstehen macht, warum so viele BEC-Opfer es nicht aktivieren.

Aber manchmal reicht sogar MFA nicht aus.

Unit 42 teilte die Geschichte einer Führungskraft mit einem US-Finanzdienstleistungsunternehmen, das sich zum Schutz seiner E-Mails, Kundendateien und anderer sensibler Daten auf eine weit verbreitete mobile MFA-App verlässt.

„Sein iPhone pingte ihn ständig mit MFA-Anfragen, um auf seine E-Mails zuzugreifen, und unterbrach ihn an einem Tag voller Kundengespräche. Er war verärgert über das Eindringen, dachte, dass es sich um eine Art Systemfehler handelte, und lehnte jede Anfrage ab, damit er sich auf die Arbeit konzentrieren konnte.“ Er dachte, es sei vorbei, als die Anfragen aufhörten”, schrieben Garbett und Manchanda.

„Monate später erfuhr er jedoch, dass er fälschlicherweise eine dieser vielen Anfragen autorisiert und einem Angreifer unwissentlich ungehinderten Zugriff auf seine E-Mails gewährt hatte von Daten des Unternehmens, seiner Mitarbeiter und Kunden.”

Der Blogbeitrag stellt fest, dass das Unternehmen die gestohlenen Gelder wiedererlangen konnte, aber dass Vorfälle wie dieser in vielen Fällen aus Reputationssicht und aus Zeit- und Ressourcenaufwand für die Behebung der Situation kostspielig sind.

Jen Miller-Osborn, stellvertretende Direktorin der Bedrohungsaufklärung für Einheit 42, sagte gegenüber ZDNet, dass sie ursprünglich beschlossen hätten, sich mit Ransomware zu befassen, um zu sehen, wie stark diese gewachsen sind, und dass diese Bemühungen sie dazu veranlassten, ihre BEC-Arbeit genauer zu untersuchen, da der verlorene Geldbetrag „Aufträge“ ist Größenordnung höher als bei Ransomware.”

„Es ist etwas, das wenig verstanden wird und dazu neigt, nicht so viel Presse zu bekommen. Jeder spricht jetzt über Ransomware, es gibt viel mehr Bewusstsein dafür. Aber BEC fliegt immer noch unter dem Radar, obwohl es die Art von Angriff ist, die Unternehmen die Kosten kostet.“ die meiste Geldsumme, abgesehen von keiner. Es ist die höchste “, sagte Miller-Osborn.

„Ähnlich wie bei Ransomware sehen wir, dass immer mehr Angreifer in BEC eindringen, und wir sehen auch, dass es zu – wie Ransomware-as-a-Service – BEC-as-a-Service heranreift technisch versierter. Sie waren im Rohstoffbereich tätig und beginnen, öffentlich offengelegte Schwachstellen einzubeziehen. Sie werden professioneller.”

BEC-Betrüger sind jetzt produktiv beim Durchsuchen von LinkedIn und anderen Websites nach Informationen, die ihre Betrügereien vorantreiben können.

Sie erklärte, dass Bildung, strengere MFA, Legacy-Authentifizierungskontrollen, Netzwerkschutz, Kontoberechtigungen, Audit-Protokollierung und Ereignisüberwachung einige der Möglichkeiten sind, wie Unternehmen und Personen sich vor BEC schützen können.

„Da jeder aus der Ferne arbeitet, gibt es Leute, die vielleicht noch nie zuvor in BEC eingestiegen sind, die sich jetzt, genau wie Ransomware, entschieden haben, zu wechseln, um Geld zu verdienen Ransomware-Kampagnen, weist auch darauf hin, wie schwierig es für BEC ist, oder noch schwieriger, da BEC viele Social-Engineering-Komponenten beinhaltet, die man bei anderen Angriffen normalerweise nicht sieht”, sagte sie.

„Sie werden tatsächlich ans Telefon gehen und die Leute anrufen und versuchen, sie dazu zu bringen, Dinge zu tun. Sie haben Money Mules in anderen Ländern, um ihnen zu helfen, das Geld zu bewegen. Es ist viel mehr menschenbezogen und in vielen Fällen viel der BEC-Betrügereien beinhalten keine Malware, daher gibt es nichts, was Sie hätten sehen können. Nichts Bösartiges, das an Phishing-E-Mails angehängt wurde. Es gab nichts, was eine Firewall oder ein Endpunkt hätte erkennen können.”

Continue Reading

Copyright © 2021 Meta Mag Inc.