Alle 14 Tage aktuelle News aus der IT-Szene   >   
Nagarro fördert Digitalisierungsideen 19. 02. 2024
Nagarro sucht erneut innovative Ideen zu digitalen Geschäftsmodellen, Produkten und Services. Als Gewinn winkt ein Realitätscheck durch Expert:innen im Wert von 50.000 Euro.
Einfacher Weg zur Cloud-First-Strategie 12. 02. 2024
SAP präsentiert neue Möglichkeiten für Migration und Modernisierung von Softwaresystemen.
Dätwyler IT Infra übernimmt Seabix 18. 12. 2023
Der IT-Infrastruktur-Anbieter holt sich eine intelligente Kommunikationslösung ins Portfolio.
Bechtle konsolidiert Geschäft in Österreich 18. 12. 2023
Die beiden österreichischen Unternehmen der Bechtle-Gruppe gehen ab 2024 gemeinsame Wege.
hosttech launcht Kl-gestützte Domainsuche 15. 12. 2023
Der Internet Service Provider lanciert mit Domain GPT eine eigens entwickelte Kl-gestützte Domainsuche.
BOLL übernimmt Distribution von WALLIX in Österreich 15. 12. 2023
Der Security-VAD nimmt die Privileged-Access-Management(PAM)-Lösung des französischen Softwareanbieter ins Programm für Österreich.
vshosting expandiert nach DACH 14. 12. 2023
Der europäische Business Cloud Provider bietet seine Dienstleistungen nun auch im deutschsprachigen Raum an.
BestRecruiters 2023: BEKO holt Gold 01. 12. 2023
Der österreichische Technologiedienstleister sichert sich den Sieg in der Kategorie „Arbeitskräfteüberlassung“.
Trusted Access Client: Rundum-Schutz fürs Netzwerk 30. 11. 2023
Mit der Cloud-managed Remote Network Access-Lösung sorgt LANCOM für Sicherheit beim hybriden Arbeiten.
BOLL schließt Distributionsverträge mit Tenable und ALE 30. 11. 2023
Der DACH-IT-Security-VAD BOLL Engineering ist ab sofort Distributor für die Lösungen von Tenable in Österreich und in der Schweiz sowie ab 2024 für Alcatel-Lucent Enterprise in Österreich.
SVS setzt auf SuccessFactors 29. 11. 2023
Die HR-Lösung aus dem Hause SAP sorgt bei der SVS für Datentransparenz und eine aktive Einbindung der Belegschaft in die Geschäftsprozesse.
Trend Micro zeigt KI-gestützten Cybersecurity-Assistenten 28. 11. 2023
Der Companion unterstützt Analysten, um die Erkennung von und Reaktion auf Bedrohungen zu beschleunigen.
Nagarro bringt neue KI-Plattformen auf den Markt 23. 11. 2023
Genome AI, Ginger AI und Forecastra AI ermöglichen einen schnellen Einstieg in die KI-Welt.
Linzer IT-Spezialisten fusionieren 23. 11. 2023
Der neu entstehende Spezialist für Microsoft-Lösungen verfügt über ein Team von rund 150 Spezialist:innen.
Eviden Austria ist „Top-Lehrbetrieb“ 22. 11. 2023
Die Auszeichnung der Sozialpartner wurde kürzlich im Wiener Rathaus an vorbildliche Lehrbetriebe mit Standort Wien vergeben.
Arbeitsmarkt: Nachfragerückgang hält an 14. 11. 2023
Der Abwärtstrend im Expertensegment des Arbeitsmarkts hält auch im Herbst an.
IT-Fachkräftemangel hemmt das Wirtschaftswachstum 08. 11. 2023
Der aktuelle Österreichische Infrastrukturreport zeigt die prekäre Lage bei der Verfügbarkeit von IT-Fachkräften auf.
KI hilft bei der Firmengründung 07. 11. 2023
Ein österreichisches Start-up präsentierte kürzlich eine Lösung, die Businesspläne mithilfe künstlicher Intelligenz erstellt.
weiter
Cybercrime

Verborgene Eindringlinge im E-Mail-Postfach

Gastbeitrag: Wie Angreifer Posteingangsregeln missbrauchen und wie sich Unternehmen dagegen schützen, erklärt Klaus Gheri von Barracuda Networks.

Foto: Alexander Müller Der Autor Klaus Gheri ist Vice President & General Manager Network Security bei Barracuda Networks Automatisierte Regeln für den E-Mail-Posteingang sind eine nützliche und vertraute Funktion der meisten E-Mail-Programme. Sie helfen bei der Verwaltung des Posteingangs und der täglichen Flut an erwünschten und unerwünschten Nachrichten, indem sie es ermöglichen, E-Mails in bestimmte Ordner zu verschieben, sie bei Abwesenheit an Kollegen weiterzuleiten oder sie automatisch zu löschen. Haben Angreifer jedoch ein Konto kompromittiert, können sie Posteingangsregeln missbrauchen, um weitere Angriffe zu tarnen, indem sie zum Beispiel Informationen mittels Weiterleitung unbemerkt aus dem Netzwerk schleusen, sicherstellen, dass das Opfer keine Sicherheitswarnungen sieht, und bestimmte Nachrichten löschen.

Auch wenn die E-Mail-Security sich weiterentwickelt und der Einsatz von maschinellem Lernen es einfacher gemacht hat, verdächtige Posteingangsregel-Erstellungen zu erkennen, setzen Angreifer diese Technik weiterhin erfolgreich ein. Da hierfür ein kompromittiertes Konto erforderlich ist, sind die Gesamtzahlen dieser Bedrohung vermutlich niedrig, dennoch stellt sie eine ernsthafte Bedrohung für die Integrität der Daten und Vermögenswerte eines Unternehmens dar – nicht zuletzt, weil die Regel-Erstellung durch einen Angreifer eine Technik ist, die nach der Kompromittierung erfolgt, was bedeutet, dass er sich bereits im Netzwerk befindet und sofortige Gegenmaßnahmen erforderlich sind.

Im Folgenden wird beleuchtet, wie Angreifer automatisierte E-Mail-Regeln missbrauchen und wie sich Unternehmen effektiv schützen können.

E-Mail ist ein primärer Angriffsvektor

E-Mail-basierte Angriffe haben eine hohe Erfolgsquote und sind ein gängiger Einstiegspunkt für viele weitere Cyberangriffe. Eine Untersuchung von Barracuda ergab, dass 75 Prozent der weltweit befragten Unternehmen im Jahr 2022 mindestens eine Sicherheitsverletzung per E-Mail verzeichnet haben. Diese Angriffe reichen von einfachen Phishing-Angriffen und bösartigen Links oder Anhängen bis hin zu ausgefeilten Social-Engineering-Techniken wie Business Email Compromise (BEC), Conversation Hijacking und Account Takeover. Einige der fortschrittlichsten Arten sind mit bösartigen E-Mail-Regeln verbunden.

Wie Angreifer automatisierte E-Mail-Regeln erstellen

Um bösartige E-Mail-Regeln zu erstellen, müssen die Angreifer ein Zielkonto kompromittiert haben, zum Beispiel durch eine erfolgreiche Phishing-E-Mail oder mittels gestohlener Anmeldedaten, die bei einem früheren Einbruch erbeutet wurden. Sobald der Angreifer die Kontrolle über das E-Mail-Konto des Opfers erlangt hat, kann er eine oder mehrere automatisierte E-Mail-Regeln einrichten.

E-Mail-Regeln für Informationsdiebstahl und Tarnung

Angreifer können eine Regel einrichten, um alle E-Mails mit sensiblen und potenziell lukrativen Schlüsselwörtern wie „Zahlung“, „Rechnung“ oder „vertraulich“ an eine externe Adresse weiterzuleiten. Weiterhin können sie auch E-Mail-Regeln missbrauchen, um bestimmte eingehende E-Mails zu verbergen, indem sie diese Nachrichten in selten genutzte Ordner verschieben, E-Mails als gelesen markieren oder einfach löschen. Beispielsweise, um Sicherheitswarnungen, Command-and-Control-Mitteilungen oder Antworten auf interne Spear-Phishing-E-Mails, die von dem kompromittierten Konto aus gesendet werden, zu verbergen oder um ihre Spuren vor dem Kontobesitzer zu verwischen, der das Konto wahrscheinlich zur gleichen Zeit benutzt, ohne von den Eindringlingen zu wissen. Darüber hinaus können Angreifer auch E-Mail-Weiterleitungsregeln missbrauchen, um die Aktivitäten eines Opfers zu überwachen und Informationen über das Opfer oder die Organisation des Opfers zu sammeln, um sie für weitere Angriffe oder Operationen zu nutzen.

Verwendung von E-Mail-Regeln für BEC-Angriffe

Bei BEC-Angriffen (Business Email Compromise) versuchen Cyberkriminelle ihre Opfer davon zu überzeugen, dass eine E-Mail von einem legitimen Benutzer stammt, um das Unternehmen und seine Mitarbeiter, Kunden oder Partner zu betrügen. Angreifer können beispielsweise eine Regel einrichten, die alle eingehenden E-Mails eines bestimmten Mitarbeiters oder Vorgesetzten wie zum Beispiel dem Chief Finance Officer (CFO) löscht. Auf diese Weise können Kriminelle sich selbst als CFO ausgeben und Mitarbeitern gefälschte E-Mails schicken, um sie davon zu überzeugen, Unternehmensgelder auf ein von den Angreifern kontrolliertes Bankkonto zu überweisen.

Im November 2020 veröffentlichte das FBI eine Meldung darüber, wie Cyberkriminelle die fehlende Synchronisierung und Sicherheitstransparenz zwischen webbasierten und Desktop-E-Mail-Clients ausnutzen, um Regeln für die E-Mail-Weiterleitung festzulegen und so die Wahrscheinlichkeit eines erfolgreichen BEC-Angriffs zu erhöhen.

Einsatz von E-Mail-Regeln bei gezielten nationalstaatlichen Angriffen

Bösartige E-Mail-Regeln werden auch bei gezielten nationalstaatlichen Angriffen eingesetzt. Im MITRE ATT&CK® Framework of Adversary Tactics and Techniques werden drei APTs (Advanced Persistent Threat Groups) genannt, die die Technik des bösartigen Weiterleitens von E-Mails (T1114.003) einsetzen. Dabei handelt es sich um Kimsuky, eine nationalstaatliche Cyberspionage-Bedrohungsgruppe, LAPSUS$, die für ihre Erpressungs- und Störungsangriffe bekannt ist, und Silent Librarian, eine weitere nationalstaatliche Gruppe, die mit dem Diebstahl von geistigem Eigentum und Forschung in Verbindung gebracht wird.

MITRE stuft E-Mail-Versteckregeln (T1564.008) als eine Technik ein, die zur Umgehung der Sicherheitsverteidigung eingesetzt wird.  Eine APT, von der bekannt ist, dass sie diese Technik einsetzt, ist FIN4, ein finanziell motivierter Bedrohungsakteur, der in den Konten der Opfer Regeln erstellt, um automatisch E-Mails zu löschen, die Wörter wie „gehackt", „Phish“ und „Malware“ enthalten, wahrscheinlich um das IT-Team des Opfers daran zu hindern, Mitarbeiter und andere Personen über ihre Aktivitäten zu informieren.

Sicherheitsmaßnahmen, die allein nicht funktionieren

Wenn eine bösartige Regel nicht entdeckt wird, bleibt sie auch dann in Kraft, wenn das Kennwort des Opfers geändert, eine mehrstufige Authentifizierung aktiviert, andere strenge Richtlinien für den bedingten Zugriff eingeführt oder der Computer komplett neu aufbaut wird. Solange die Regel in Kraft bleibt, bleibt sie auch wirksam.

Auch wenn verdächtige E-Mail-Regeln ein gutes Indiz für einen Angriff sein können, ist die isolierte Betrachtung dieser Regeln kein ausreichendes Signal dafür, dass ein Konto kompromittiert wurde. Abwehrmaßnahmen müssen deshalb mehrere Signale nutzen, um irrelevante Informationen zu reduzieren und das Sicherheitsteam auf einen wahrscheinlich erfolgreichen E-Mail-Angriff aufmerksam zu machen. Die dynamische und sich weiterentwickelnde Natur von Cyberangriffen, einschließlich der Verwendung ausgefeilter Taktiken durch Angreifer, erfordert einen vielschichtigen Ansatz zur Erkennung und Abwehr.

Wirksame Abwehrmaßnahmen

Da die Erstellung von Posteingangsregeln eine Technik ist, die erst nach der Kompromittierung zum Einsatz kommt, besteht der wirksamste Schutz in der Prävention, also darin, Angreifer daran zu hindern, das Konto überhaupt zu kapern. Unternehmen benötigen jedoch auch wirksame Maßnahmen zur Erkennung und Reaktion auf Vorfälle, um angegriffene Konten zu identifizieren und die Auswirkungen dieser Angriffe zu mindern.

Dazu gehört die vollständige Transparenz aller Aktionen, die im Posteingang eines jeden Mitarbeiters durchgeführt und welche Regeln erstellt werden, was geändert oder worauf zugegriffen wurde, der Anmeldeverlauf des Benutzers, die Zeit, der Ort und der Kontext der gesendeten E-Mails und vieles mehr.

Fortschrittliche KI-basierte E-Mail-Security-Lösungen nutzen diese Daten, um ein intelligentes Kontoprofil für jeden Benutzer zu erstellen, und markieren sofort jede noch so kleine Anomalie. Eine Schutzfunktion gegen Identitätsdiebstahl nutzt zudem mehrere Signale wie Anmeldedaten, E-Mail-Daten und statistische Modelle zusammen mit Regeln, um einen Account-Takeover-Angriff zu erkennen.

Schließlich können erweiterte Erkennungs- und Reaktionsmaßnahmen (Extended Detection and Response, XDR) und eine 24/7-Überwachung durch ein Security Operations Center (SOC), dazu beitragen, dass selbst tief verborgene und verschleierte Aktivitäten erkannt und neutralisiert werden. Der Missbrauch von Posteingangsregeln gehört zu einer der perfidesten Taktiken von Cyberkriminellen. Mit den obengenannten Maßnahmen können sich Unternehmen jedoch adäquat gegen diese Bedrohung verteidigen, um ihre sensiblen Daten und Assets zu schützen.

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at