Wie E-Mail-Betrüger vorgehen

Vom CEO und CFO bis zum KV-Lehrling

Taktikwechsel und E-Mail-Historie

Wie schützt man sich?

Im vierten Quartal des letzten Jahres waren 89 Prozent der Unternehmen mindestens einem Ziel einer Attacke mit betrügerischen E-Mails. Die Anzahl der betroffenen Firmen sei im Jahr 2017 kontinuierlich angestiegen und habe im letzten Quartal fast 14 Prozent mehr betragen als im selben Quartal des Vorjahres, schreibt Proofpoint. Forscher der Cyber-Security-Firma haben für den aktuellen "E-Mail Fraud Threat Report" rund 160 Milliarden E-Mails an 2400 Unternehmen in 150 Ländern ausgewertet.Auch kleine Firmen fliegen nicht unter dem Radar der Kriminellen: So seien Betriebe aller Grössen und in allen Wirtschaftszweigen angegriffen worden. Zwar seien grössere Unternehmen oft lohnenswertere Ziele, kleinere Firmen dafür häufig anfälliger für die Attacken, erklärt Proofpoint. Man habe generell keinen Zusammenhang zwischen Grösse und Angriffshäufigkeit feststellen können. Etwas häufiger als andere Bereiche seien Finanzindustrie, Fertigungsbetriebe, Gesundheitswesen und der Energiesektor attackiertworden, aber im vierten Quartal hätten die Angreifer vermehrt auch den Immobilien- und Bildungssektor ins Visier genommen.Die Kriminellen geben sich häufig als Führungspersonen aus, um Mitarbeiter zu Zahlungen zu bewegen. Neben der Zunahme der Angriffe berichtet Proofpoint aber mittlerweile auch von einer grösseren Bandbreite der gefälschten Identitäten: Waren früher vor allem CEOs oder CFOs betroffen, seien heute bei fast der Hälfte der untersuchten Unternehmen über fünf Identitäten gefälscht worden.Dazu würden auch mehr Mitarbeiter und tiefere Ebenen der Unternehmenshierarchien angegangen: Im letzten Quartal seien im Schnitt 13 Personen in betroffenen Organisationen angeschrieben worden, so Proofpoint. Dabei nutzten die Kriminellen Informationen über Angestellte, die sie im Web und in den Social-Media-Kanälen fanden, um ausgeklügelte E-Mails zu verfassen.Am häufigsten sollen durch E-Mail-Betrug Geldüberweisungen eingeleitet werden, aber Identitätsdiebstahl sei im Aufwind, so Proofpoint. Um die Abwehr­massnahmen zu umgehen, wechseln die Verbrecher ständig ihre Taktik und die Gestaltung der E-Mails.In fast einem Drittel der Nachrichten findet sich in der Betreffzeile das Wort "Zahlung" oder im englischen Original "Payment". Weitere häufige Worte in den entsprechenden Zeilen der Emails sind "Urgent", "Request" und "Legal". Des Weiteren nutzen die Betrüger "Re:" oder "Fwd:", um eine E-Mail-Historie vorzutäuschen, in der Führungskräfte der betrügerischen Anfrage bereits zugestimmt haben.Auch die Herkunft der E-Mails wird manipuliert: So werden beim Domain-Spoofing Firmen-Domains gehackt und von dort Mails verschickt. Dies war bei 69 Prozent der Angegriffenen mindestens einmal der Fall. Etwas weniger häufig wird ein E-Mail-Service wie Gmail mit dem Namen eines Mitarbeiters kombiniert: [email protected] Eine weitere effektive Methode sei die Registrierung einer ähnlichen Domain wie jene der Opfer. Häufig wird dabei einfach ein Buchstabe ausgewechselt: Ein L für ein I, ein 0 für ein O oder auch ein V für ein U. Oder es wird ein zusätzlicher Buchstabe eingefügt.Wie bei Studien von Anbietern üblich, bietet Proofpoint auch einige Vorschläge, wie man die steigende Bedrohung durch E-Mail-Fraud begegnen kann. Man solle ein "Domain-based Message Authentication Reporting and Conformance" (DMARC) nutzen, ein Authentisierungs-Protokoll, das Attacken erschwere und natürlich bei Proofpoint im Portfolio ist. Zudem empfehlenswert laut Security-Anbieter: die dynamische Klassifikation von E-Mails; eine Software, die ähnliche Domains, wie die firmeneigene, erkennt und kennzeichnet; und schliesslich eine Lösung die verhindert, dass man sensible Informationen verliert. (ts)