Business Email Compromise (BEC)

Abwehrstrategien gegen Nightmare-E-Mail-Angriffe

, München/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Abwehrstrategien gegen Nightmare-E-Mail-Angriffe

Palo Alto Networks erläutert Schutz vor Business Email Compromise

Business Email Compromise (BEC) ist ein Begriff, den man zwar selten in der Presse findet, der zugleich aber ein zunehmend populärer Angriffsvektor wird. Jedes Jahr verbringen die Security-Forscher von Palo Alto Networks /Unit 42 Tausende von Stunden mit BEC-Untersuchungen, wobei sie Protokolle durchkämmen, um unbefugte Aktivitäten zu identifizieren, festzustellen, wie der unbefugte Zugriff erfolgte, und Sicherheitslücken zu finden, die behoben werden müssen.

BEC: „Das kann mir nicht passieren.“

Viele Unternehmen denken, dass sie bereits Maßnahmen zum Schutz vor BECs ergriffen haben. Möglicherweise wurden diese Schritte jedoch nicht richtig umgesetzt. Unter den Hunderten von BEC-Fällen, die Palo Alto Networks seit Anfang letzten Jahres bearbeitet hat, stellten die Berater fest, dass 89 Prozent der Opfer MFA nicht aktiviert oder die Best Practices für deren Implementierung nicht befolgt haben. Das mag überraschen, da die wichtigsten E-Mail-Plattformen – darunter Microsoft 365 und Exchange sowie Google Workspace – mehrere Optionen für die Implementierung von MFA anbieten. Dies unterstreicht, wie wichtig es für Unternehmen ist, die Best Practices für jedes Sicherheitstool zu verstehen und zu befolgen.

Die Folgen sind kostspielig: Bei Untersuchungen der IT-Sicherheitsanalysten von Palo Alto Networks/Unit 42 seit dem 1. Januar 2020 lag der durchschnittliche Betrugsversuch bei 567.000 US-Dollar und der höchste bei sechs Millionen US-Dollar. Das FBI berichtet, dass BECs im vergangenen Jahr einen Schaden von 1,87 Milliarden Dollar verursacht haben, was sie zu einer der teuersten Arten der Cyberkriminalität macht. Die gute Nachricht ist, dass die Identifizierung von MFA-Mängeln in der Regel sehr einfach ist. Assessments können Mängel in den Sicherheitskontrollen aufzeigen und Empfehlungen zur Behebung dieser Mängel geben.

Reale E-Mail-Angriffe aus den Akten von Unit 42

Bevor es um Best Practices für die Implementierung von MFA und andere Tipps zur Verhinderung von E-Mail-Kompromittierungen geht, ist es hilfreich zu verstehen, warum diese Best Practices wichtig sind. Hier sind einige weitere Beispiele aus den Unit 42-Akten, die häufige Fehler aufzeigen, die dazu führen können, dass sich Angreifer Zugang zu E-Mail-Umgebungen verschaffen, auch wenn MFA implementiert ist. Unit 42 präsentiert Szenarien, die Unternehmen helfen sollen, potenzielle Lücken in ihrer eigenen Sicherheit zu erkennen. Die Beispiele sind jedoch anonymisiert, um die Identität der Opfer zu schützen.

Nicht durchgesetzte MFA-Implementierung

Angreifer versuchten, Hunderte von Mitarbeitern eines Versicherungsunternehmens mit Phishing-E-Mails zu erreichen. Diese E-Mails führten zu einem Versuch, Zugangsdaten über gefälschte Microsoft 365-E-Mail-Anmeldeseiten zu sammeln, die identisch wie legitime, von der Firma eingerichtete Seiten aussahen. Den Angreifern gelang es, sich Zugang zu einigen dieser Konten zu verschaffen, die Mitarbeitern gehörten, die keine MFA eingerichtet hatten, was wiederum zu einem Zugriff auf sensible Daten auf einer internen Sharepoint-Website führte.

Zulassen von Legacy-Protokollen für den E-Mail-Zugriff

Angreifer verschafften sich Zugang zu den E-Mail-Konten von zwei Mitarbeitern einer Firma, die es versäumt hatte, die Legacy-Protokolle Authentifizierung für die Synchronisierung von E-Mail-Postfächern über IMAP4 und POP3 zu deaktivieren. Dadurch hatten die Angreifer über einen Monat lang Zugriff auf alle Daten in beiden Postfächern und konnten so personenbezogene Daten aus den Kontakten der Opfer sammeln. Dies ist eine der häufigsten Methoden zur Umgehung von MFA, insbesondere in hybriden Umgebungen, in denen Legacy-Protokolle legitim genutzt werden.

Automatische E-Mail-Weiterleitung außerhalb des Unternehmens zulassen

Angreifer kompromittierten mehrere Benutzer bei einer Arbeitsvermittlungsagentur und nutzten dann diese Konten, um Stellenausschreibungen zu verbreiten, in denen die Empfänger aufgefordert wurden, persönliche Daten anzugeben. Sie richteten Regeln ein, um alle Antworten in versteckte Ordner zu verschieben und sie an ein externes Konto weiterzuleiten.

Best Practices zur Abwehr von E-Mail-Angriffen

Auch wenn es kein Patentrezept gegen E-Mail-Angriffe gibt, empfiehlt Palo Alto Networks den Unternehmen, die folgenden Best Practices anzuwenden. Die Implementierung von MFA ist von entscheidender Bedeutung, aber sie ist nur eine Komponente einer umfassenden Strategie zur Verringerung des Risikos von E-Mail-Kompromittierungen und zur Minimierung der Auswirkungen erfolgreicher Angriffe.

  • Sensibilisierung: Endbenutzer sind in der Regel das schwächste Glied bei Sicherheitsvorfällen, da sie anfällig für alle Arten von Phishing-Betrug sind. Durch die Schulung der Benutzer ist es wesentlich wahrscheinlicher, dass sie in der Lage sind, Phishing-Versuche zu erkennen und verdächtige Aktivitäten an die Sicherheitsteams zu melden, damit diese sie überprüfen können.
  • Durchsetzung von MFA: Durch die einfache Aktivierung von MFA können Benutzer selbst entscheiden, ob sie MFA einrichten möchten, was Unternehmen ein falsches Sicherheitsgefühl vermittelt. Es ist von entscheidender Bedeutung, MFA nicht nur zu aktivieren, sondern auch durchzusetzen, indem die Benutzer aufgefordert werden, es zu ihren Konten hinzuzufügen und bei jeder Anmeldung zu verifizieren.
  • Verwendung einer starken MFA: Die Verwendung einer Einmalpasswort-Anwendung (OTP) für MFA und die Vermeidung von SMS zur Verifizierung ist ratsam. Wenn ein Benutzer einen in einer OTP-Anwendung (z. B. Google Authenticator) generierten Code manuell eingeben muss, sinkt die Wahrscheinlichkeit, dass er im Falle von Brute-Forcing oder gestohlenen Zugangsdaten fälschlicherweise nicht autorisierte MFA-Anfragen akzeptiert.
  • Kontrolle der Legacy-Authentifizierung: Unit 42 empfiehlt, die Legacy-Authentifizierung standardmäßig zu blockieren und Tools wie den bedingten Zugriff von Azure Active Directory zu nutzen, um bestimmte Ausnahmen zuzulassen, z. B. ältere Geräte oder Legacy-SMTP-Relays vor Ort.
  • Überprüfung des Netzwerkschutzes: Die Möglichkeit der Endbenutzer, Code und Anwendungen auszuführen oder herunterzuladen, z. B. makroaktivierte Office-Dokumente, nicht autorisierte Software, USB-Geräte usw., gilt es regelmäßig zu überprüfen. Wie bereits vom Unit 42 Threat Intelligence-Team empfohlen , sollten URL-Filterregeln eingerichtet werden, um den Zugriff auf die folgenden Kategorien von Domains standardmäßig zu beschränken: Newly Registered, Insufficient Content, Dynamic DNS, Parked und Malware.
  • Regelmäßige Überprüfung von Delegations- und Kontoberechtigungen: Benutzerkonten und Berechtigungen, einschließlich der Delegation von Nicht-Eigentümern, gemeinsam genutzten Postfächern und Verwaltungsrechten, gilt es ebenfalls regelmäßig zu überprüfen. Jedes Konto sollte eindeutig benannt und einer Person zugeordnet sein, und die Zugangsdaten für Dienstkonten oder gemeinsam genutzte Mailboxen sollten sicher in einem Passwort-Tresor gespeichert und nach Möglichkeit mit MFA geschützt werden.
  • Deaktivierung Client-seitiger Weiterleitungsregeln: Client-seitige Weiterleitungsregeln können ein Indikator für eine Kompromittierung sein, die es Angreifern ermöglicht, alle eingehenden E-Mails an eine externe Adresse weiterzuleiten. Sie können auch von Endbenutzern eingerichtet werden, um Firmen-E-Mails an persönliche E-Mail-Konten weiterzuleiten. In beiden Fällen stellt dies ein Risiko für die Vertraulichkeit dar. Unit 42 empfiehlt dringend, die clientseitigen Weiterleitungsregeln zu deaktivieren. Benutzer, die Weiterleitungsregeln für geschäftliche Zwecke benötigen, sollten die Genehmigung ihres Vorgesetzten haben und regelmäßig von der IT-Abteilung überprüft werden.
  • Audit-Protokollierung und Ereignisüberwachung: Es gilt sicherzustellen, dass die Protokollierung von administrativen Ereignissen aktiviert ist. Je nach E-Mail-Plattform oder Lizenzstufe sind die Protokollierung und die Speicherung von Ereignissen möglicherweise nicht standardmäßig aktiviert. Unit 42 empfiehlt die Zusammenfassung von E-Mail-Server-Protokollen an einem zentralen Ort, z. B. in einem XDR- (Extended Detection and Response) oder SIEM-Tool (Security Information and Event Management), um Protokolle für eine bessere Prüfung und einen besseren Einblick in die Sicherheitsereignisse auf dem E-Mail-Server aufzubewahren. Zusätzliche Daten und Kontexte helfen Unternehmen, besser zu verstehen, wie normale Aktivitäten für ein Konto aussehen, und zu bestimmen, welche Daten im Falle eines Vorfalls gefährdet wurden.