Angreifer nutzen die Lieferketten und verschiedenen Partner von Unternehmen inzwischen als neuen Bedrohungsvektor. Wie Proofpoint feststellen konnte, missbrauchen Angreifer kompromittierte Konten und geben sich als Lieferanten aus, um Malware zu verschicken, Anmeldedaten zu stehlen und Rechnungsbetrug zu begehen.
Neueste Studien von Proofpoint deuten darauf hin, dass 98 % der fast 3.000 überprüften Unternehmen in den USA, Großbritannien und Australien allein im Februar 2021 innerhalb von 7 Tagen eine Bedrohung über eine Lieferanten-Domäne erhalten haben. Das gilt unabhängig von Unternehmensgröße, Branche und Land und lässt darauf schließen, dass Unternehmen jeder Größe und Branche dieser „Lieferantengefahr“ ausgesetzt sind und dass dieses Phänomen eine allgemeine Bedrohung darstellt.
So sieht die Bedrohung durch „Lieferanten“ aus
Die meisten Menschen denken beim Stichwort „Bedrohung durch Lieferanten“ in erster Linie an Rechnungsbetrug. Laut unseren Untersuchen missbrauchen Angreifer Lieferanten und Geschäftspartner für alle möglichen Bedrohungen, also auch für Anmeldedaten-Phishing (zwecks Kontoübernahme), für Malware, zum Imitieren von Identitäten und für Business Email Compromise (BEC).
Untersuchungen haben gezeigt, dass Angreifer, die Lieferanten imitieren oder kompromittierte Lieferantenkonten nutzen, tendenziell auf Social Engineering setzen und die menschliche Natur ausnutzen: Bei 74 % der Bedrohungen handelt es sich um Phishing- oder Impostor-Angriffe. Weniger als 30 % der über Lieferanten-Domänen versendeten Bedrohungen waren Malware-bezogen. Das ist ein weiterer Beleg dafür, dass Angreifer es eher auf die Menschen als auf die Schwachstellen in der Unternehmensinfrastruktur abgesehen haben. Zudem folgen die Angreifer den Lieferanten auch in die Cloud und nutzen dort beliebte Zusammenarbeitsplattformen wie Microsoft 365, Google G-Suite und Dropbox aus, um Bedrohungen mit alarmierender Geschwindigkeit und Häufigkeit zu hosten oder zu versenden.
Wenig überraschend machen Impostor-Bedrohungen wie Domänen-Spoofing, Display Name-Spoofing und Doppelgänger-Domänen nur 3 % aller Bedrohungen durch Lieferanten-Domänen aus. Im Gegensatz zu diesen weit verbreiteten „Standardbedrohungen“ zielt diese Art von Bedrohung nur auf einen ganz kleinen Personenkreis in einem Unternehmen ab.
Obwohl Angriffe mit E-Mail-Betrug also selten und sehr spezifisch sind, führen sie oft zu großen Verlusten. Proofpoint hat Rechnungsbetrug von angeblichen Lieferanten in Millionenhöhe aufgedeckt und verhindert. Laut dem jährlichen Internet Crime Report des FBI von 2020 machten Business Email Compromise (BEC) und Email Account Compromise (EAC) einen Großteil der finanziellen Verluste im Jahr 2020 aus. Die Betrugsmaschen kosteten die betroffenen Unternehmen fast 1,9 Milliarden US-Dollar.
Kein Unternehmen ist gegen Bedrohungen von Lieferanten-Domänen immun. Dennoch sind große Konzerne öfter das Ziel. Fortune 1000-Kunden erhalten nicht nur E-Mails von doppelt so vielen Lieferanten-Domänen wie der Durchschnittskunde und sind damit stärker Bedrohungen durch falsche und kompromittierte Lieferanten ausgesetzt, sondern sie werden auch von einem höheren Anteil an Lieferanten-Domänen angegriffen. Sie erhielten in dem 7-Tage-Zeitraum über viermal mehr Nachrichten mit Bedrohungen von Lieferanten-Domänen als der durchschnittliche Kunde.
Sonstige Ergebnisse unserer Untersuchung
In den Branchen Finanzdienstleistungen, Fertigung, Versorgung/Kommunikation/Verkehr, Großhandel, Bau lag der Anteil der von Bedrohungen über Lieferanten-Domänen betroffenen Unternehmen bei 98 %, 99 %, 98 %, 99 % bzw. 100 %. Der Trend ist sowohl in den verschiedenen Branchen als auch in den untersuchten Regionen konstant: 98 % der US-amerikanischen, 100 % der australischen und 99 % der britischen Unternehmen haben Bedrohungen über Lieferanten-Domänen erhalten.
Ein Allheilmittel gegen diese Bedrohungen gibt es nicht. Zur besseren Abwehr von Bedrohungen durch falsche und kompromittierte Lieferanten benötigen Unternehmen eine ganzheitliche und mehrschichtige Lösung. Proofpoint bietet eine umfassende, integrierte Bedrohungsschutz-Plattform, die von kompromittierten bzw. falschen Lieferanten gesendete Bedrohungen stoppt. Außerdem können Sie Endnutzer in der Erkennung und Meldung verdächtiger E-Mails schulen, Vorfall-Untersuchungen und die Reaktion darauf automatisieren und sich einen Überblick darüber verschaffen, welche Lieferanten eine Gefahr darstellen.