RSA Conference 2020

Was ist Email Account Compromise (EAC)?

Sie haben wahrscheinlich schon einmal den Begriff Business Email Compromise (BEC) gehört. Aber vielleicht nicht den Begriff Email Account Compromise (EAC), der ein enger Cousin des BEC ist. Tatsächlich sind BEC und EAC so eng miteinander verflochten, dass das FBI diese Betrügereien seit 2017 als eine einzige Verbrechensart verfolgt. Was genau ist also EAC?

Was ist EAC?

Email Account Compromise (EAC) ist ein hoch entwickelter Angriff, bei dem Taktiken wie Passwortspray, Phishing oder Malware eingesetzt werden, um die E-Mail-Konten der Opfer zu kompromittieren und Zugang zu legitimen Postfächern zu erhalten. EAC führt auch zu E-Mail-Betrug, bei dem der Angreifer Social Engineering einsetzt und das Opfer täuscht oder bedroht, damit er/sie eine finanzielle Zahlung leistet. Im Fall von EAC gibt es fast immer zwei Opfer – die Person, deren E-Mail-Konto kompromittiert wurde, und die andere Person, die auf die betrügerische Anfrage des kompromittierten E-Mail-Kontos hereinfällt. 

wie funktioniert EAC?

Angreifer können sich auf verschiedenen Wegen Zugang zu einem legitimen Postfach verschaffen. Ein Brute-Force-Angriff gehört zu den beliebtesten Methoden zum Knacken von Passwörtern. Hierbei setzt der Angreifer automatisierte Tools ein und probiert so lange alle möglichen Kombinationen von Benutzernamen und Passwörtern aus, bis er die richtige Kombination gefunden hat. Eine weitere, weit verbreitete Methode ist Phishing, bei dem Angreifer eine E-Mail mit einem Link zu einer gefälschten Website senden, auf der die Zugangsdaten gestohlen werden. Manchmal nutzen Angreifer auch Malware wie Keylogger oder Stealers, um in das Konto des Opfers einzubrechen. Ganz gleich welche Taktik angewendet wird: Das Ziel besteht darin, dass der Angreifer Ihre Identität annimmt.

Sobald Angreifer legitimen Zugriff auf das E-Mail-Konto des Opfers erhalten, haben sie Zugriff auf eine Fundgrube an Informationen – E-Mails, Kalender, wichtige Besprechungen mit Lieferanten oder Kunden, Unternehmensverzeichnis und sogar Dateien in den Dateifreigaben – und können ein Profil ihres Opfers erstellen. Die Angreifer erhalten den Zugriff auf das Konto aufrecht, indem sie Regeln für die E-Mail-Weiterleitung erstellen oder Kontoberechtigungen ändern, sodass sie das Opfer genau beobachten und das Unternehmen studieren können. Sie ahmen das Opfer nach, erstellen sehr überzeugende E-Mails und nutzen das gewonnene Wissen, um E-Mails zum richtigen Zeitpunkt zu versenden.

Zu den Zielen von EAC-Angriffen gehören Ihre Mitarbeiter (sowohl persönliche als auch Firmen-E-Mails), Ihre Geschäftspartner und Ihre Kunden. Email Account Compromise folgt oft einem der folgenden Schemata:

 

Lieferketten-Hijacking 

Szenario I: Ihre Buchhaltungsabteilung wurde kompromittiert

Der Angreifer kompromittiert das E-Mail-Konto eines Mitarbeiters Ihrer Buchhaltungsabteilung. Sobald er Zugang hat, erstellt der Angreifer eine Weiterleitungsregel innerhalb der E-Mail-Plattform und sammelt Kopien aller E-Mails. Dann nutzt er das gewonnene Wissen, wie z. B. den Zahlungsrhythmus und die Interaktion mit Kunden, um identisch aussehende Rechnungen unter Verwendung der richtigen Terminologie und Logos zu erstellen und diese an Ihren Kunden zu senden. Wenn der Kunde die Rechnung bezahlt, geht das Geld direkt auf das Bankkonto des Betrügers und nicht auf das Ihres Unternehmens. Der Kunde glaubt, dass er Ihr Unternehmen bezahlt, aber in Wirklichkeit bezahlt er unwissentlich den Betrüger. Folglich verliert Ihr Unternehmen nicht nur Geld, sondern bekommt auch ein ernstes Problem mit der Kundenzufriedenheit.

Szenario II: Die Buchhaltungsabteilung Ihres Lieferanten wurde kompromittiert 

Der Angreifer kompromittiert das E-Mail-Konto Ihres Lieferanten. Genau wie im obigen Beispiel erfährt der Angreifer von der Interaktion zwischen Ihnen und Ihrem Lieferanten und kennt alle Details. Er erstellt dann identisch aussehende Rechnungen und sendet sie an Ihr Unternehmen. Nur ersetzt der Angreifer dieses Mal die Bankdaten durch das Bankkonto, auf das Sie das Geld überweisen sollen. Infolgedessen erhält Ihr Lieferant keine Zahlung von Ihrem Unternehmen, und Ihr Unternehmen erleidet einen finanziellen Verlust, weil es Betrüger zu Unrecht bezahlt hat. Dies schadet auch Ihrer Geschäftsbeziehung zum Lieferanten.

Umleitung der gehaltsabrechnung

Der Angreifer kompromittiert das E-Mail-Konto eines Mitarbeiters und sendet eine E-Mail an die Personalabteilung mit der Bitte, die Kontoinformationen des geschädigten Mitarbeiters zu aktualisieren und durch das Bankkonto des Angreifers zu ersetzen. In einigen Fällen kompromittiert der Angreifer auch das E-Mail-Konto eines leitenden Angestellten und studiert das Geschäft des Opfers, wie z. B. Fusions- und Akquisitionsaktivitäten (M&A). Der Angreifer sendet dann unter Verwendung des kompromittierten Exekutivkontos eine E-Mail an die Buchhaltungsabteilung mit der Aufforderung, eine Geldüberweisung durchzuführen, um eine Übernahme abzuschließen, nur dass das Bankkonto durch das Konto des Angreifers ersetzt wurde.

BEC vs. EAC

Sowohl BEC als auch EAC nehmen Menschen ins Visier, setzen Social Engineering ein und sind darauf ausgelegt, betrügerische Überweisungen oder Zahlungen anzufordern oder Informationen zu stehlen. Der größte Unterschied zwischen Business Email Compromise (BEC) und Email Account Compromise (EAC) besteht darin, dass der Angreifer im Falle von BEC vorgibt, Sie zu sein, während Sie im Falle von EAC der Angreifer SIND. Beim BEC verwenden Angreifer oft Identitätsbetrugstaktiken wie Domain-Spoofing, Anzeigenamen-Spoofing und ähnliche Domains, um Personen dazu zu verleiten, Zahlungen auf betrügerische Konten vorzunehmen. Beim EAC finden Angreifer eine Möglichkeit, um Ihr E-Mail-Konto zu kompromittieren und Ihre Identität anzunehmen. Wenn sie Ihre legitime E-Mail-Adresse verwenden, um E-Mail-Betrug intern oder mit Ihren Geschäftspartnern oder Kunden zu betreiben, umgehen die Angreifer E-Mail-Authentifizierungskontrollen wie SPF, DKIM und DMARC.

SO VERTEIDIGEN SIE SICH GEGEN BEC/EAC

Da EAC und BEC so eng miteinander verbunden sind, ist es entscheidend, dass Sie einen ganzheitlichen Ansatz zum Schutz Ihres Unternehmens verfolgen. Mit anderen Worten, wenn Sie sich nur vor EAC schützen, sprechen Sie nur einen Teil des Problems an. Für einen wirksamen Schutz müssen Sie sowohl für BEC als auch für EAC eine Lösung finden.

Angesichts der Komplexität der verschiedenen Taktiken und Kanäle für diese Angriffe benötigen Sie eine umfassende Lösung, die alle Taktiken der Angreifer berücksichtigt. Wenn Sie sich nur auf eine einzige technische Kontrolle oder eine einzige Schulung des Sicherheitsbewusstseins verlassen, ist Ihr Unternehmen ungeschützt. Um mehr darüber zu erfahren, wie Sie Ihr Unternehmen vor BEC- und EAC-Angriffen schützen können, klicken Sie hier. Oder sehen Sie sich das Webinar How to Solve the $26 Billion Problem of Business Email & Account Compromise an.

  

Subscribe to the Proofpoint Blog