Spear-Phishing: Deutsche und österreichische Unternehmen im Visier von Angreifern

10. März 2023
Spear-Phishing

Die CERT.at GmbH (Computer Emergency Response Team Austria) und die Certitude Consulting GmbH weisen auf eine Zunahme von sogenannten Spear-Phishing-Angriffen auf deutsche und österreichische Unternehmen hin. Weshalb auch öffentliche Auftraggeber Opfer derartiger Angriffe werden können, erfahren Sie hier.

Im Zuge der Digitalisierung wandelt sich die Kommunikation unter Geschäftspartnern immer rasanter und gewinnt zunehmend an Komplexität. Dadurch ergeben sich zahlreiche neue Kommunikationskanäle, aber auch neue Angriffsflächen für Internetkriminelle. Diesen Trend sollten insbesondere öffentliche Auftraggeber und ihre Auftragnehmer beherzigen, denn sie geraten vermehrt ins Visier von "Spear-Phishern".

Nach Angaben von Certitude belaufen sich die Schadenssummen häufig auf mehrere hunderttausend Euro und führen zu Rechtsstreitigkeiten zwischen den betroffenen Unternehmen. Wie es den Angreifern gelingt, die beteiligten Geschäftspartner zu täuschen, zeigen wir in diesem Blogbeitrag auf.

Was ist Spear-Phishing?

Im Gegensatz zum "einfachen" Phishing zielt das sog. "Spear-Phishing" auf ausgewählte Ziele (Personen, Unternehmen) ab. Dem Angriff auf das jeweilige Ziel geht stets eine umfassende Recherche voraus, damit die Angreifer ihre Fake-Mails mit vertrauten Details schmücken können. Laut Certitude häuften sich in den letzten Monaten die Fälle, in denen Betrüger auf diese Weise die Änderung von Kontodaten der Auftragnehmer bei ihren Auftraggebern erwirken.

Dabei gehen die Internetkriminellen wie folgt vor: 

1. Recherche und gründliche Vorbereitung

Die Spear-Phisher beginnen mit einer umfassenden Recherche über ein ausgewähltes Unternehmen (z.B. "Stadtwerke X GmbH") und bringen auf diese Weise in Erfahrung, mit welchen Auftragnehmern das Unternehmen in Beziehung steht. Der Angreifer verwendet hierzu Pressemeldungen, EU-weite oder nationale Vergabebekanntmachungen, Social-Media Kanäle, Newssektionen etc. Die möglichen Informationsquellen sind schier unendlich.

Anschließend sendet der Angreifer unverdächtige E-Mail-Anfragen an die Unternehmen, hier also an die Stadtwerke X GmbH und ihre Auftragnehmer. Auf diese E-Mail-Anfragen erhält der Angreifer Antworten im offiziellen Corporate Design der jeweiligen Unternehmen.

Auf dieser Grundlage fälschen die Betrüger täuschend echt gestaltete E-Mails, um sich im nächsten Schritt in die Auftraggeber-Auftragnehmer-Beziehung einzuklinken.

beenhere

SPF, DKIM & DMARC nicht vernachlässigen

Technisch realisieren die Betrüger ihre Angriffe für gewöhnlich mithilfe von eigens registrierten Domains, die der echten Unternehmensdomain ähneln (z.B. stadtwerkex.de statt stadtwerke-x.de) oder sie versenden ihre E-Mails über die echte Unternehmensdomain (E-Mail-Spoofing). Möglich ist das E-Mail-Spoofing, wenn Domaininhaber keine entsprechenden technischen Schutzmaßnahmen wie DMARC, DKIM und SPF ergreifen.

2. Einklinken in die Auftraggeber-Auftragnehmer-Kommunikation

Im nächsten Schritt kontaktiert der Angreifer (getarnt als Auftraggeber) den Auftragnehmer und fragt nach offenen Rechnungen. Weil die E-Mail des Angreifers täuschend echt ist, schöpfen Auftragnehmer laut Certitude häufig keinen Verdacht und übermitteln in der Folge ihre offenen Rechnungspositionen und zugehörige Dokumente an die Angreifer.

Nun ist es dem Angreifer nicht bloß gelungen, die Rechnungsdokumente des Auftragnehmers an sich zu bringen. Häufig verbleiben E-Mail-Adressen der Angreifer zudem unbemerkt im Kommunikationsverlauf (z.B. im Cc-Feld) bei zukünftigen Rechnungsmails zwischen Auftraggeber und Auftragnehmer.

3. Übersenden der manipulierten Rechnung

Nachdem sich der Angreifer in die Auftraggeber-Auftragnehmer-Kommunikation eingeklinkt hat, tauscht er die Kontonummer in der Rechnung des Auftragnehmers aus. Diese manipulierte Rechnung sendet der Angreifer sodann im Namen des Auftragnehmers an den Auftraggeber und weist häufig sogar auf die geänderte Kontonummer hin.

Mit der nächsten Überweisung transferiert der Auftraggeber den Geldbetrag schließlich auf das Konto des Angreifers. Fehlüberweisungen fallen meistens erst nach Wochen oder Monaten auf und zusätzlich zum eigentlichen Schaden geraten Auftraggeber und Auftragnehmer in kostspielige Rechtsstreitigkeiten.

Spear-Phishing: Mögliche Präventionsmaßnahmen

Insbesondere öffentliche Auftraggeber und Auftragnehmer sind gut beraten, sich dieser wachsenden Gefahr stets bewusst zu sein. Denn die Digitalisierung der öffentlichen Beschaffung schreitet voran (vgl. BKMS, eForms, xRechnung).

Um es gar nicht erst so weit kommen zu lassen, kommen unterschiedliche technische und organisatorische Präventionsmaßnahmen in Betracht:

  • Wie oben bereits angeführt, sollte das sog. E-Mail-Spoofing technisch verhindert werden (DKIM, DMARC, SPF). Anderenfalls können Angreifer im Namen der ungeschützten Domains E-Mails versenden.
  • Mitarbeiterschulungen und selbst beauftragte Phishing-Kampagnen.
  • Kritische Prüfung von Absender E-Mails und Domains durch Mail-Empfänger.
  • Indem E-Mails und Rechnungen elektronisch signiert werden, dürften gefälschte Mails bzw. Dokumente schneller auffallen.

Quelle (News): certitude.consulting

Bildnachweis: Ibrahim Mushan, unsplash.com

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram