9. September 2019

Cybercrime

Cyber-Kriminalität: Ein Praxisfall und die Wichtigkeit der Prävention

Cyber-Kriminalität: Ein Praxisfall und die Wichtigkeit der Prävention

Von Marco Fischer

Wie funktioniert Cyber-Kriminalität in der Praxis? Ein Schadenbeispiel eines Versicherungskunden zeigt anschaulich die Innovationskraft der Cyber-Kriminalität und die daraus entstehenden Herausforderungen für die Unternehmen.

Ein Schweizer KMU bestellt regelmässig Waren und Halbfabrikate im Ausland, unter anderem in China. Auf einer Messe lernt der Vertreter des KMU den künftigen Lieferanten, ein Startup aus China, kennen. Nach der Messe bleiben die beiden Unternehmen ausschliesslich via E-Mail in Kontakt. Der Startup-Gründer aus China benutzt dazu seine private Hotmail-Adresse. Eine erste Bestellung darüber verläuft problemlos und zur Zufriedenheit des Schweizer KMU. Einige Monate später werden weitere Komponenten auf die gleiche Weise bestellt. Die Details der Bestellung werden in mehreren E-Mails geklärt. Nach der Einigung mailt das chinesische Startup die Rechnung für eine Anzahlung. Das Schweizer KMU bezahlt die Rechnung prompt, da die Lieferung drängt. Weil das chinesische Unternehmen weitere E-Mails an die Hotmail-Adresse unbeantwortet lässt, erkundigt sich das Schweizer KMU telefonisch nach dem Liefertermin. Es stellt sich heraus, dass das Geld nie beim Lieferanten angekommen ist. Abklärungen ergeben, dass das chinesische Unternehmen seit längerer Zeit eine neue Mailadresse verwendet. Die Hotmail-Adresse wurde lediglich in der Startphase benutzt. Mittlerweile gibt es eine Firmen-Domain. Die Bestellung ist trotzdem beim chinesischen Unternehmen angekommen und auch die Rechnung wurde erstellt sowie verschickt. Wie ist das möglich?

«Man in the middle»

Die Analyse des Mailverkehrs zeigt, dass sich jemand den Zugang zum Postfach der Hotmail-Adresse des chinesischen Startups verschafft haben muss. Das chinesische Unternehmen bestätigt, dass dessen Hotmail-Konto vor einiger Zeit gehackt worden war und kein Zugriff mehr möglich ist. Ob die Übernahme des Postfachs durch eine Brute-Force-Attacke möglich war oder ob die Login-Daten in einem Data-Breach im Darknet veröffentlicht wurden, konnte nie abschliessend geklärt werden. Zusätzlich stellt sich heraus, dass in der Kommunikation zum eigentlichen chinesischen Unternehmen eine «gefälschte» Mailadresse mit dem Namen des Schweizer Kunden verwendet worden war. Der Hergang kann nach und nach rekonstruiert werden:

  1. Der Täter übernimmt die Hotmail-Adresse des chinesischen Startups.
  2. Der Täter erhält in diesem Postfach die Bestellung des Schweizer KMU.
  3. Der Täter erstellt eine gefälschte Mailadresse im Namen des Schweizer KMU.
  4. Der Täter leitet die Bestellung und alle nachfolgenden E-Mails mit der gefälschten Mailadresse des Schweizer KMU an die neue Mailadresse der chinesischen Unternehmung weiter.
  5. Als die Rechnung durch das chinesische Unternehmen an die gefälschte Mailadresse, sprich an den Täter, geschickt wird, manipuliert der Täter die Zahlungsverbindung (Name, Konto-Nr., Bank) und sendet diese mit der Hotmail-Adresse an das Schweizer KMU weiter.
  6. Das Schweizer KMU bezahlt die Rechnung an die manipulierte Zahlungsverbindung. Die Veränderungen gegenüber der ersten Bestellung werden nicht erkannt.

Als die Analyse abgeschlossen ist, war das falsche Konto bei der chinesischen Bank längst aufgelöst – und das Geld natürlich weg!

Innovation in der Cyber-Kriminalität

Dieser Fall zeigt anschaulich, mit welchen Tricks in der Cyber-Kriminalität gearbeitet wird. Die kriminelle Branche findet immer neue Angriffsmuster und neue Methoden, um mit Cyber-Kriminalität Geld zu verdienen.

Zu Beginn hatten wir es – zumindest im Zusammenhang mit dem E-Mailverkehr – hauptsächlich mit CEO-Fraud– und Fake-Sextortion-Fällen zu tun. Momentan häufen sich die aufwändigeren und massgeschneiderten Angriffsformen wie oben beispielhaft dargelegt. Unangefochtener Spitzenreiter in puncto Schadenursache ist jedoch Schadsoftware in Form von Ransomware. Solche Verschlüsselungstrojaner verschlüsseln die Daten auf den IT-Systemen des Opfers und es wird ein Lösegeld für die Entschlüsselung verlangt. Wir beobachten vermehrt auch Infektionen mit Banking-Trojanern, wie beispielsweise Emotet. Banking-Trojaner versuchen auf Offline-Zahlungssoftware oder Online-Banking-Plattformen zuzugreifen und diese zu manipulieren. Im Zusammenhang mit Schadsoftware erfolgt die Infektion oft über ungenügend geschützte Fernzugriffe (meist RDP mit 1-Faktor Authentisierung). Daneben sind auch Infektionen per E-Mail in Form von schädlichen Links oder Anhängen keine Seltenheit.

Ein Merkmal haben alle Angriffe gemeinsam: Die Bereicherungsabsicht der Cyber-Kriminellen.

Prävention ist unumgänglich

Die Sensibilisierung im Unternehmensbereich ist in den letzten Jahren und Monaten stetig gestiegen. Und doch argumentieren vorwiegend kleinere Unternehmen wie im erwähnten Fall, dass sie nicht zur Zielgruppe von Cyber-Kriminellen gehören und sich deshalb nicht speziell schützen müssten. Diesen Irrtum gilt es auszuräumen: KMU sind häufig von Cyber-Schadenfällen betroffen. Überraschend ist dies nicht. Die erwähnten Angriffe, wie Ransomware, Banking-Trojaner, etc. werden häufig nicht gezielt auf ein Unternehmen angepasst. Unsere Erfahrung zeigt, dass zum Beispiel willkürlich IP-Adressen nach offenen Firewall-Ports gescannt werden. Die dabei entdeckten Schwachstellen oder suboptimal konfigurierten Systeme werden anschliessend gnadenlos angegriffen. Cyber-Kriminelle haben in der ersten Phase des Angriffs meistens noch keine näheren Informationen über das Opfer. Dies zeigen die Erfahrungen aus der Kommunikation mit den Erpressern bei Ransomware-Angriffen. Erst in einem zweiten Schritt wird das infizierte System näher untersucht, um gezielt gegen das Opfer vorzugehen. Auch personalisierte Angriffe – wie CEO-Fraud und Fake-Sextortion – werden breit und automatisiert gestreut. Bei diesen automatisierten Angriffen fehlen meist nähere Angaben zu den Opfern.

Ich vermute, dass auch das im Beispiel erwähnte Schweizer KMU mit der manipulierten Rechnung zufällig getroffen wurde, nachdem der Täter in einem ersten Schritt die Mailadresse des chinesischen Gründers übernommen hatte. Gezielte Angriffe, beispielsweise sogenannte APT, erfolgen hauptsächlich auf grosse Unternehmen und Institutionen.

Wo anfangen?

Präventionstipps gibt es viele. Ich beschränke mich auf drei Massnahmen, welche aus meiner Schadenerfahrung einen Grossteil der Fälle verhindert oder zumindest das Ausmass minimiert hätten:

  1. Sensibilisieren und trainieren Sie Ihre Mitarbeitenden
    Speziell die Mitarbeitenden mit Zahlungskompetenzen müssen mit den obigen Themen vertraut sein. Gefälschte E-Mails, Links, Rechnungen und auch CEO-Fraud können nur durch aufmerksame Mitarbeitende erkannt werden.
  2. Sichern Sie Ihre Daten mittels Backup und üben Sie die Wiederherstellung
    Eine Infektion mit Schadsoftware kann nie zu 100% verhindert werden. Wappnen Sie sich für den Ernstfall und sichern Sie die Daten getrennt vom Kernsystem und in mehreren Generationen.
  3. Sichern Sie die Fernzugriffe auf Ihre Geschäftsdaten
    Oft ist ein Fernzugriff auf die Geschäftsdaten von extern nötig. Lösen Sie dies nicht mit der Standardlösung RDP, sondern investieren Sie in eine sichere VPN-Lösung.

Das Thema Cyber-Sicherheit gehört in die Geschäftsleitung jedes Unternehmens – auch der „Kleinen“. Diskutieren Sie die erwähnten Punkte intern im Rahmen des Risikomanagements, aber auch extern mit Ihren IT-Partnern, Versicherungen und gegebenenfalls Geschäftskunden. Es lohnt sich!

Autor: Marco Fischer

Marco Fischer, dipl. Versicherungswirtschafter HF, ist Teamleiter im Bereich Sachschaden der Mobiliar Versicherungsgesellschaft und Mitglied des internen „Cyber Competence Center“. Er hat in der Entwicklung der Cyber-Versicherungslösungen der Mobiliar mitgewirkt und ist im Team Schaden Cyber für die Schadenbearbeitung der Cyber-Schadenfälle mitverantwortlich.

Kommentare

0 Kommentare

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.