Startseite > Security > Missbrauch legitimer E-Mail-Dienste

Über 100.000 BEC-Angriffe auf 6.600 Organisationen

Missbrauch legitimer E-Mail-Dienste

14. August 2020, 7:00 Uhr | Dr. Klaus Gheri/am

Von 15.856 BEC-Angriffen im Zeitraum April bis Juli erfolgten 6.121 Angriffe über bösartige Konten.

Cyberkriminelle nutzen zunehmend Konten bei legitimen E-Mail-Diensten, um diese für ihre Zwecke zu missbrauchen. Die dort eingerichteten Accounts verwenden sie, um unter Vortäuschung von Vertrauenswürdigkeit, „Business Email Compromise“ (BEC)-Angriffe auszuführen. Seit Jahresbeginn haben Security-Analysten von Barracuda 6.170 bösartige Konten identifiziert, die Gmail, AOL und andere E-Mail-Dienste instrumentalisierten und für mehr als 100.000 BEC-Angriffe auf rund 6.600.

Cyberkriminelle registrieren E-Mail-Konten bei legitimen Diensten, um sie für Identitätsdiebstähle und nachfolgende BEC-Angriffe zu missbrauchen. In den meisten Fällen nutzen sie diese Konten nur wenige Male, damit man sie nicht entdeckt oder E-Mail-Dienstanbieter sie nicht blockieren. Taucht eine solche E-Mail-Adresse bei BEC-Angriffen auf, erfolgt eine Einstufung als böswilliges Konto. Außerdem gibt sie genau Aufschluss darüber, wie Cyberkriminelle E-Mail-Konten verwenden. Seit April dieses Jahres sind 45 Prozent der aufgedeckten BEC-Angriffe auf derartig kompromittierte Konten zurückzuführen. Dabei nutzten die Kriminellen teilweise einzelne Konten für mehrere Angriffe auf verschiedene Organisationen.

Ganz oben auf der Liste manipulierter E-Mail-Dienste für bösartige Konten steht Gmail. Cyberkriminelle bevorzugen diesen Dienst, weil er frei zugänglich, kostenlos und einfach zu registrieren ist. Ganz wichtig: Gmail hat einen ausreichend guten Ruf, um E-Mail-Sicherheitsfilter zu passieren. Obwohl Angreifer ein und dieselbe E-Mail-Adresse mehrfach verwenden, ändern sie die Namen für ihr Täuschungsmanöver.

Cyberkriminelle sind naturgemäß misstrauisch und entsprechend vorsichtig. Also nutzen sie die bösartigen Konten selten über einen längeren Zeitraum. 29 Prozent der entdeckten bösartigen Konten waren lediglich 24 Stunden aktiv. Gründe dafür sind, dass E-Mail-Provider bösartige Konten melden und sperren und die Registrierung eines Kontos in der Regel schnell und einfach geschehen ist. Außerdem können Cyberkriminelle ein Konto nach anfänglichen Angriffen vorübergehend stilllegen und nach längerer Zeit wieder darauf zurückgreifen.

Auf Cyberkriminelle ist kein Verlass: Während viele Angreifer die meisten ihrer kompromittierten Konten nur für kurze Zeit nutzen, trieben einige ihr Unwesen über ein Jahr damit. Allerdings nicht durchgehend. So kehrten sie nach einer längeren Pause zurück, eine E-Mail-Adresse bei Angriffen wiederzuverwenden.

Nachdem Angreifer im E-Mail-Netz anfänglich die Lage sondieren, geben sie sich bei einem konkreten Angriff als Mitarbeiter oder irgendeine andere vertrauenswürdige Person oder ein Geschäftspartner aus. Gewöhnlich versucht der Angreifer über E-Mail zunächst sein potenzielles Opfer zu kontaktieren und eine Vertrauensbasis zu schaffen. Sinn und Zweck der Masche ist, zu kommunizieren, und eine Antwort zu erhalten. Daher sind BEC-Angriffe in der Regel inhaltlich eingeschränkt, aber stark personalisiert. Dies erhöht die Möglichkeit, eine Antwort zu bekommen. Bei der Kontaktaufnahme fügen Angreifer in ihre E-Mails oft reale, kopierte Threads ein, etwa bei der Bitte um eine Banküberweisung, und erhöhen dadurch die Glaubwürdigkeit der Nachricht. Zudem richten Betrüger Postfachregeln ein. So verbergen oder löschen sie alle E-Mails, die sie über das gehackte Konto versenden.

Erkenntnisse aus Angriffen auf rund 6.600 Organisationen offenbarten, dass Cyberkriminelle sehr oft dieselben E-Mail-Adressen verwendeten, um verschiedene Organisationen anzugreifen.