9. September 2019
Von Marco Fischer
Wie funktioniert Cyber-Kriminalität in der Praxis? Ein Schadenbeispiel eines Versicherungskunden zeigt anschaulich die Innovationskraft der Cyber-Kriminalität und die daraus entstehenden Herausforderungen für die Unternehmen.
Ein Schweizer KMU bestellt regelmässig Waren und Halbfabrikate im Ausland, unter anderem in China. Auf einer Messe lernt der Vertreter des KMU den künftigen Lieferanten, ein Startup aus China, kennen. Nach der Messe bleiben die beiden Unternehmen ausschliesslich via E-Mail in Kontakt. Der Startup-Gründer aus China benutzt dazu seine private Hotmail-Adresse. Eine erste Bestellung darüber verläuft problemlos und zur Zufriedenheit des Schweizer KMU. Einige Monate später werden weitere Komponenten auf die gleiche Weise bestellt. Die Details der Bestellung werden in mehreren E-Mails geklärt. Nach der Einigung mailt das chinesische Startup die Rechnung für eine Anzahlung. Das Schweizer KMU bezahlt die Rechnung prompt, da die Lieferung drängt. Weil das chinesische Unternehmen weitere E-Mails an die Hotmail-Adresse unbeantwortet lässt, erkundigt sich das Schweizer KMU telefonisch nach dem Liefertermin. Es stellt sich heraus, dass das Geld nie beim Lieferanten angekommen ist. Abklärungen ergeben, dass das chinesische Unternehmen seit längerer Zeit eine neue Mailadresse verwendet. Die Hotmail-Adresse wurde lediglich in der Startphase benutzt. Mittlerweile gibt es eine Firmen-Domain. Die Bestellung ist trotzdem beim chinesischen Unternehmen angekommen und auch die Rechnung wurde erstellt sowie verschickt. Wie ist das möglich?
«Man in the middle»
Die Analyse des Mailverkehrs zeigt, dass sich jemand den Zugang zum Postfach der Hotmail-Adresse des chinesischen Startups verschafft haben muss. Das chinesische Unternehmen bestätigt, dass dessen Hotmail-Konto vor einiger Zeit gehackt worden war und kein Zugriff mehr möglich ist. Ob die Übernahme des Postfachs durch eine Brute-Force-Attacke möglich war oder ob die Login-Daten in einem Data-Breach im Darknet veröffentlicht wurden, konnte nie abschliessend geklärt werden. Zusätzlich stellt sich heraus, dass in der Kommunikation zum eigentlichen chinesischen Unternehmen eine «gefälschte» Mailadresse mit dem Namen des Schweizer Kunden verwendet worden war. Der Hergang kann nach und nach rekonstruiert werden:
Als die Analyse abgeschlossen ist, war das falsche Konto bei der chinesischen Bank längst aufgelöst – und das Geld natürlich weg!
Innovation in der Cyber-Kriminalität
Dieser Fall zeigt anschaulich, mit welchen Tricks in der Cyber-Kriminalität gearbeitet wird. Die kriminelle Branche findet immer neue Angriffsmuster und neue Methoden, um mit Cyber-Kriminalität Geld zu verdienen.
Zu Beginn hatten wir es – zumindest im Zusammenhang mit dem E-Mailverkehr – hauptsächlich mit CEO-Fraud– und Fake-Sextortion-Fällen zu tun. Momentan häufen sich die aufwändigeren und massgeschneiderten Angriffsformen wie oben beispielhaft dargelegt. Unangefochtener Spitzenreiter in puncto Schadenursache ist jedoch Schadsoftware in Form von Ransomware. Solche Verschlüsselungstrojaner verschlüsseln die Daten auf den IT-Systemen des Opfers und es wird ein Lösegeld für die Entschlüsselung verlangt. Wir beobachten vermehrt auch Infektionen mit Banking-Trojanern, wie beispielsweise Emotet. Banking-Trojaner versuchen auf Offline-Zahlungssoftware oder Online-Banking-Plattformen zuzugreifen und diese zu manipulieren. Im Zusammenhang mit Schadsoftware erfolgt die Infektion oft über ungenügend geschützte Fernzugriffe (meist RDP mit 1-Faktor Authentisierung). Daneben sind auch Infektionen per E-Mail in Form von schädlichen Links oder Anhängen keine Seltenheit.
Ein Merkmal haben alle Angriffe gemeinsam: Die Bereicherungsabsicht der Cyber-Kriminellen.
Prävention ist unumgänglich
Die Sensibilisierung im Unternehmensbereich ist in den letzten Jahren und Monaten stetig gestiegen. Und doch argumentieren vorwiegend kleinere Unternehmen wie im erwähnten Fall, dass sie nicht zur Zielgruppe von Cyber-Kriminellen gehören und sich deshalb nicht speziell schützen müssten. Diesen Irrtum gilt es auszuräumen: KMU sind häufig von Cyber-Schadenfällen betroffen. Überraschend ist dies nicht. Die erwähnten Angriffe, wie Ransomware, Banking-Trojaner, etc. werden häufig nicht gezielt auf ein Unternehmen angepasst. Unsere Erfahrung zeigt, dass zum Beispiel willkürlich IP-Adressen nach offenen Firewall-Ports gescannt werden. Die dabei entdeckten Schwachstellen oder suboptimal konfigurierten Systeme werden anschliessend gnadenlos angegriffen. Cyber-Kriminelle haben in der ersten Phase des Angriffs meistens noch keine näheren Informationen über das Opfer. Dies zeigen die Erfahrungen aus der Kommunikation mit den Erpressern bei Ransomware-Angriffen. Erst in einem zweiten Schritt wird das infizierte System näher untersucht, um gezielt gegen das Opfer vorzugehen. Auch personalisierte Angriffe – wie CEO-Fraud und Fake-Sextortion – werden breit und automatisiert gestreut. Bei diesen automatisierten Angriffen fehlen meist nähere Angaben zu den Opfern.
Ich vermute, dass auch das im Beispiel erwähnte Schweizer KMU mit der manipulierten Rechnung zufällig getroffen wurde, nachdem der Täter in einem ersten Schritt die Mailadresse des chinesischen Gründers übernommen hatte. Gezielte Angriffe, beispielsweise sogenannte APT, erfolgen hauptsächlich auf grosse Unternehmen und Institutionen.
Wo anfangen?
Präventionstipps gibt es viele. Ich beschränke mich auf drei Massnahmen, welche aus meiner Schadenerfahrung einen Grossteil der Fälle verhindert oder zumindest das Ausmass minimiert hätten:
Das Thema Cyber-Sicherheit gehört in die Geschäftsleitung jedes Unternehmens – auch der „Kleinen“. Diskutieren Sie die erwähnten Punkte intern im Rahmen des Risikomanagements, aber auch extern mit Ihren IT-Partnern, Versicherungen und gegebenenfalls Geschäftskunden. Es lohnt sich!
Kommentare
0 Kommentare
Danke für Ihren Kommentar, wir prüfen dies gerne.