BEC

Falsche Überweisungen: Hacker imitieren Finanzvorstand großer Sportorganisation

, München, Check Point | Autor: Herbert Wieler

Falsche Überweisungen: Hacker imitieren Finanzvorstand großer Sportorganisation

Täter missbrauchten die Position des CFO, um Mitarbeiter zu Überweisungen an die Kriminellen zu verleiten

Forscher von Avanan, einem Unternehmen von Check Point Software, haben einen Cyberangriff aufgedeckt, bei dem der Finanzvorstand einer großen Sportorganisation imitiert wird, um die Mitarbeiter der Organisation dazu zu bringen, Geld direkt an die Hacker zu überweisen. Der falsche CFO ordnete eine Überweisung an eine vermeintliche Versicherungsgesellschaft an. Avanan Research konnte den Cyberangriff abwehren und das Betrugsschema aufdecken. Es ist anzunehmen, dass hinter dem Angriff ein finanzielles Motiv stand. Über die Angreifer ist nur wenig bekannt, außer dass sie mehr als einmal zugeschlagen haben.

Methodik des Angriffs

Bei der Art des Cyberangriffs handelt es sich um einen so genannten Business-E-Mail-Compromise-Angriff (BEC). Die Angriffsmethodik war in diesem Fall wie folgt: 1.Der Hacker erstellte zunächst ein gefälschtes Konto des Finanzvorstands des Unternehmens.

  1. Er findet die legitime E-Mail-Adresse eines Mitarbeiters des Finanzteams.
  2. Er er stellt eine E-Mail, die so aussieht, als ob der CFO sie weitergeleitet hätte, mit angehängten Anweisungen zur Überweisung.
  3. Der falsche CFO bittet den Mitarbeiter, das Geld sofort zu überweisen.
  4. Wenn der Angestellte einwilligt, landet das Geld auf dem Konto der Hacker.

E-Mail-Beispiel #1

Abbildung 1: Spoof-Mail des falschen CFOs mit Warnhinweis von Office 365

Der Benutzer erhält eine E-Mail vom angeblichen CFO des Unternehmens. Der CFO bittet den Empfänger der E-Mail, eine Zahlung an eine seriöse Versicherungsgesellschaft mit dem Namen West Bend Mutual, zu leisten. Besonders raffiniert ist die Tatsache, dass die URL in der Absenderadresse dem Slogan des Unternehmens entnommen ist. Es handelt sich jedoch eindeutig um eine Fälschung, da die „Antwortadresse“ oben in der E-Mail nicht mit der E-Mail-Adresse des Unternehmens übereinstimmt. Das rote Banner zeigt bereits, dass die E-Mail als betrügerisch eingestuft wurde und ruft zur vorherigen Verifizierung des Absenders auf. Dabei handelt es sich um einen generischen Hinweis von Office 365 und nicht um einen Warnhinweis vom IT-Dienstleister des betroffenen Unternehmens. Das rote Banner ist der einzige Indikator für den Endbenutzer, dass etwas nicht stimmt.

E-Mail-Beispiel #2

Abbildung 2: Fast identische Mail an ein anderes Unternehmen ohne Warnhinweis

Dies ist eine fast identische E-Mail, die ein anderes Unternehmen betraf. Avanan hat Dutzende dieser Angriffe beobachtet. Bemerkenswert sind zwei Unterschiede: Es gibt zum einen kein externes Banner, das den Endbenutzer vor der potenziellen Gefahr warnt. Zum anderen wird in der E-Mail mit der Aufforderung „Kontaktieren Sie uns“ am Ende „Silver Linning“ fälschlicherweise mit Doppel-n geschrieben.

Jeremy Fuchs, Pressesprecher von Avanan Research, einem Unternehmen von Check Point Software, kommentiert die Vorfälle: „Diese Angriffe auf geschäftliche E-Mails sind unglaublich beliebt, schwer zu stoppen und ebenso schwer zu identifizieren. Endbenutzer sollten immer Vorsicht walten lassen, bevor sie Rechnungen bezahlen. Am besten ist es, sich vor der Zahlung direkt beim Finanzvorstand zu erkundigen. In diesem Fall konnten wir den Angriff glücklicherweise erfolgreich abwehren.“

Tipps zur Cybersicherheit

Um derartige Vorfälle und fälschliche Überweisungen zu vermeiden, gibt Avanan einige Tipps zur Sicherheit im Umgang mit betrügerischen E-Mails:

  • Überprüfen Sie immer die Antwortadressen, um sicherzustellen, dass sie übereinstimmen.
  • Wenn Sie sich bei einer E-Mail unsicher sind, fragen Sie den ursprünglichen Absender.
  • Ermutigen Sie die Nutzer, die Finanzabteilung zu fragen, bevor sie Rechnungen bearbeiten
  • Lesen Sie die gesamte E-Mail und achten Sie auf Ungereimtheiten, Rechtschreibfehler oder Unstimmigkeiten.
  • Wenn Sie Banner verwenden, sollten Sie die Endnutzer nicht damit bombardieren; verwenden Sie sie nur zu kritischen Zeiten, damit die Endnutzer sie ernst nehmen.

„Ich empfehle zusätzlich dringend, fortschrittliche E-Mail-Sicherheitsmaßnahmen zu implementieren, die sich auf mehr als einen Faktor stützen, um festzustellen, ob eine E-Mail bösartig ist oder nicht. Lesen Sie unbedingt die gesamte E-Mail, bevor Sie handeln, und achten Sie auf Unstimmigkeiten oder Merkwürdigkeiten“, so Fuchs.