Zwischen April 2022 und April 2023 entdeckte Microsoft 35 Millionen Kompromittierungsversuche auf geschäftliche E-Mail-Adressen. Dabei hatten die Angreifer hauptsächlich auf Social Engineering und Täuschung gesetzt, schreibt Microsoft in der vierten Ausgabe seines Security-Berichts "
Cyber Signals" (PDF).
CEO-Fraud gibts schon seit Jahren
Beim Untersuchen dieser Angriffe habe man festgestellt, dass Cyberkriminelle immer stärker geschäftliche E-Mails ins Visier nehmen, heisst es weiter. Angreifer würden anstatt Schwachstellen in ungepatchten Geräten auszunutzen, ihre Opfer zur Herausgabe von vertraulichen Informationen zu verleiten.
Damit beschreibt Microsoft in seinem Report nichts anderes als CEO-Fraud, nennt dies aber "Business-E-Mail-Compromise-Angriffe (BEC)". Nur: Neu ist diese Angriffsmethode, abgesehen von der Bezeichnung 'BEC', nicht wirklich. CEO-Fraud oder -Betrug ist seit Jahren ein Thema. Die Schweizerische Kriminalprävention hat die Masche
bereits im Sommer 2019 beschrieben und Präventionsmassnahmen erläutert.
Kriminalprävention rät zu Kollektivunterschrift
Dort heisst es beispielsweise: "Greifen Sie bei Überweisungen auf ein Vieraugenprinzip mit Kollektivunterschrift zurück" und "Sensibilisieren Sie Ihre Mitarbeitenden, vor allem die in der Finanzabteilung, über diese Betrugsmasche". Microsoft empfiehlt zwar auch das "Training der Beschäftigten", aber erst als vierten Punkt. Als wichtiger erachtet man die Nutzung "sicherer E-Mail-Lösungen", "sicherer Identitäten" und "sicherer Zahlungsplattformen".
Immerhin betont Microsoft, "dass die Entwicklung noch deutlich an Fahrt aufnehmen könnte, was es wiederum schwerer macht, entsprechende Aktivitäten mit den herkömmlichen Alerts oder Benachrichtigungen zu erkennen". Auch Cisco betonte im Sommer letzten Jahres, dass
Angriffe wie CEO-Fraud über Social Engineering massiv zunehmen werden.
Dennoch ist klar, weshalb Microsoft in seinem Sicherheits-Report alten Wein in neue Schläuche giesst: Produkt-PR. Denn die Empfehlungen der Schweizerischen Kriminalprävention sind bei der Verhinderung von ungerechtfertigten Zahlungen bestimmt wirkungsvoller.