Phishing ist der häufigste Angriffsvektor und war 2021 an mehr als einem Drittel aller Sicherheitsverletzungen beteiligt. Ein Bereich, in dem diese Art von Angriffen besonders im Kommen ist, ist die Lieferkette. Wenn Angreifer in ein Unternehmen eindringen und dessen Verbindungen zu Drittanbietern ausnutzen, können sie auf Dutzende oder Hunderte anderer Unternehmen zugreifen.
Wenn Angreifer mit Phishing eine Lieferkette ins Visier nehmen, verwenden sie häufig Spear-Phishing- und Social-Engineering-Techniken, um E-Mails so aussehen zu lassen, als kämen sie von jemandem, den der Empfänger kennt und dem er vertraut. Bei diesen VEC-Angriffen (Vendor Email Compromise) folgen die schlechten Faktoren einem ähnlichen Muster:
- Zunächst starten die Cyberkriminellen einen Phishing-Angriff auf die E-Mail-Konten eines Anbieters.
- Anschließend übernehmen sie die kompromittierten Konten und leiten alle Nachrichten an sich selbst weiter.
- Tagelang oder wochenlang beobachten sie den E-Mail-Verkehr, um herauszufinden, wie sie legitime Transaktionen erfolgreich imitieren können.
- Schließlich beginnen sie, betrügerische Rechnungen an die Kunden des Verkäufers zu schicken, wobei die Zahlung auf deren Bankkonten erfolgt.
Um diese Angriffe zu verhindern, ist ein umfassender Ansatz zur Absicherung der Kommunikation von Drittanbietern in einem Unternehmen unerlässlich. Indem sie sich ansehen, wie einige der wichtigsten VEC-Angriffe abgelaufen sind und was sie überhaupt erfolgreich gemacht hat, können Sicherheitsverantwortliche die richtigen Schutzstrategien für ihre Unternehmen ermitteln und anwenden.
1. Über 500 Unternehmen von VEC-Angriff betroffen Ring Silent Starling
Silent Starling, einer der massivsten VEC-Angriffsringe, wurde Mitte 2019 entdeckt. Die Gruppe mit Sitz in Lagos, Nigeria, verschickte Phishing-Angriffe mit Anmeldedaten, übernahm E-Mail-Konten von Mitarbeitern der Finanzabteilung eines Unternehmens und nutzte diese legitimen E-Mail-Konten, um die Kunden eines Unternehmens zur Zahlung betrügerischer Rechnungen zu verleiten.
Die Angreifer sammelten die Anmeldedaten von über 700 Mitarbeitern aus 500 Unternehmen, wobei fast alle Opfer in drei Ländern - den USA, Kanada und dem Vereinigten Königreich - ansässig waren. Um Anmeldedaten zu stehlen, verknüpfte die Gruppe meist Phishing-Seiten, die Voicemail- und Fax-Benachrichtigungen sowie Anmeldeseiten von Microsoft OneDrive oder DocuSign imitierten.
Die Geschwindigkeit, mit der sie operieren konnten, war bemerkenswert. In einem Fall war ein Unternehmen allein zwischen September 2018 und März 2019 Ziel von fünf separaten Phishing-Angriffen. 39 Konten wurden kompromittiert, darunter die von Filialleitern, Vertriebsmitarbeitern, Mitarbeitern der Personalabteilung, Abrechnungsspezialisten, Unternehmensberatern und einem leitenden Angestellten.
2. Mitarbeiterdaten von General Electric nach Datenschutzverletzungen durch Dritte offengelegt
General Electric (GE), ein Unternehmen mit 205.000 Mitarbeitern in seinen Tochtergesellschaften, war ebenfalls das Ziel eines Angriffs auf einen Drittanbieter. Zwischen dem 3. und 14. Februar 2020 verschafften sich Cyberkriminelle Zugang zu den Computern eines Partners, Canon Business Process Services, der die Dokumentenverarbeitung und die Kreditorenbuchhaltung für viele große Unternehmen übernimmt.
Den Angreifern gelang es, nach einem erfolgreichen Phishing-Angriff ein Canon-E-Mail-Konto zu übernehmen. So konnten sie auf sensible Informationen über aktuelle und ehemalige GE-Mitarbeiter und Begünstigte zugreifen, darunter Geburts- und Sterbeurkunden, Formulare für direkte Einzahlungen, Steuerformulare und Führerscheine.
Die Systeme von GE wurden zwar nie angegriffen, aber böswillige Akteure erhielten Zugang zu einer beträchtlichen Menge an Informationen, die in kriminellen Untergrundforen verkauft oder für gezielte Phishing-Angriffe verwendet werden konnten.
3. Phishing-Angriff auf Anbieter von Managed Health Services LCP Transportation
Managed Health Services (MHS) von Indiana Health Plan befand sich 2018 in einer ähnlichen Situation wie GE. Mehrere Mitarbeiter eines ihrer Zulieferer, LCP Transportation, reagierten auf gezielte Phishing-E-Mails, die Cyberkriminellen über einen Monat lang Fernzugriff auf ihre Konten gewährten. Zu den Informationen in diesen E-Mail-Konten gehörten Namen, Versicherungs-ID-Nummern, Adressen, Geburtsdaten, Dienstdaten und Gesundheitszustände. Insgesamt waren etwa 31.000 MHS-Versicherungsnehmer von der Sicherheitsverletzung betroffen.
4. 110 Mio. Target-Kunden nach Sicherheitslücke bei Anbieter betroffen
Einer der bedeutendsten Angriffe auf die Lieferkette war der Angriff auf Target im Jahr 2013, bei dem die Kreditkarten- und persönlichen Daten von mehr als 110 Millionen Kunden offengelegt wurden. Die Angreifer schickten mit Malware infizierte Phishing-E-Mails an einen Zulieferer von Target im Bereich HLK, Fazio Mechanical Services. Auf diese Weise konnten sie sich mit gestohlenen Zugangsdaten des Lieferanten Zugang zum Netzwerk von Target verschaffen. Von dort aus konnten sie auch 40 Millionen Kredit- und Debitdatensätze stehlen, eine Datenpanne, die Target letztendlich zur Zahlung einer Entschädigung in Höhe von 18,5 Millionen Dollar verpflichtete.
5. Trezor Cryptocurrency Wallet-Inhaber werden nach Mailchimp-Kompromittierung angegriffen
Das E-Mail-Marketing-Unternehmen Mailchimp wurde Anfang 2022 Opfer eines erfolgreichen Social-Engineering-Phishing-Angriffs. Der Angriff ermöglichte es Cyberkriminellen, auf über 300 Mailchimp-Konten zuzugreifen und die Mailinglisten von 102 Konten zu exportieren.
Einem der Kunden von Mailchimp, dem Kryptowährungs-Wallet-Anbieter Trezor, wurde seine Mailingliste gestohlen und dazu verwendet, gefälschte E-Mails zu versenden, in denen mitgeteilt wurde, dass seine Server gehackt wurden und dass die Nutzer ihre Trezor Suite aktualisieren sowie eine neue PIN einrichten müssten, zusammen mit einem Link. Bei dem Link und dem, was die Nutzer anschließend herunterluden, handelte es sich um Malware, die den Angreifern vollen Zugriff auf die Geldbörse des Opfers ermöglichte.
Wie man das Risiko eines Phishing-Angriffs oder einer VEC-Attacke in der Lieferkette eindämmen kann
Auch wenn Unternehmen nicht in der Lage sind, Angriffe auf die Lieferkette vollständig zu verhindern, gibt es Schritte, die sie unternehmen können, um das Risiko von VEC-Angriffen deutlich zu verringern.
Tierarzt-Verkäufer
Es ist nicht ungewöhnlich, dass Unternehmen ein Maß an Vertrauen entwickeln, bei dem sie ihre Lieferkette nicht mehr überprüfen. Wenn Unternehmen jedoch nicht in der Lage sind, die Geschäftspraktiken ihrer Lieferanten zu prüfen und zu verifizieren, gehen sie ein erhebliches Risiko ein.
Die Erfassung aller Verbindungen einer Organisation ist eine sinnvolle Übung, um zu verstehen, wie ein bösartiger Akteur in die Organisation eindringen kann und wo eine Organisation ihre Bemühungen zur Risikominderung konzentrieren muss.
Darüber hinaus sollte bei allen Anbietern geprüft werden, ob sie Zugang zum Netz haben und ob dieser Zugang notwendig ist. Die Einschränkung des Lieferantenzugangs und der Anwendungsprivilegien kann dazu beitragen, einen VEC-Angriff zu verhindern.
Unternehmen sollten auch prüfen, welchen Sicherheitsprüfungen und Zertifizierungen ein Anbieter unterliegt (z. B. PCI für Zahlungsabwickler, SOC 2/2+/3 für Cloud-Anbieter usw.). Die Bewertung dieser Prüfungen kann Aufschluss darüber geben, ob der Anbieter die Sicherheit und die Einhaltung der Vorschriften ernst nimmt oder nicht.
In Schulungen zum Sicherheitsbewusstsein investieren
Bösewichte ändern ständig ihre Phishing-Angriffstaktiken, und wenn Unternehmen ihren Mitarbeitern keine regelmäßigen Schulungen zum Thema Cybersicherheit anbieten, vergrößern sie ihre Angriffsfläche. Die Mitarbeiter können eine wichtige Rolle beim Schutz der Daten und Prozesse eines Unternehmens vor Kompromissen spielen. Wenn sie über die neuesten Social-Engineering-Angriffsmethoden oder E-Mail-Bedrohungen informiert sind, wissen sie, worauf sie achten müssen, was sie tun und was sie nicht tun sollten.
Einführung von maschinenintelligenten E-Mail-Sicherheitslösungen
Ein wirksamer Schutz vor Angriffen auf die Lieferkette hängt von der richtigen E-Mail-Sicherheitslösung ab. Da VEC-Angriffe sehr zielgerichtet sind und keine traditionellen Angriffsindikatoren enthalten, reicht die Implementierung eines sicheren E-Mail-Gateways nicht aus. Diese traditionelle Verteidigungsmethode kann nicht vor ausgeklügelten Angriffen schützen, die auf Social Engineering beruhen.
Um die Risiken in der Lieferkette zu minimieren, ist ein neuer Ansatz zur Sicherung der digitalen Kommunikation eines Unternehmens mit Dritten erforderlich. Eine maschinenintelligente E-Mail-Sicherheitslösung kann Bedrohungen erkennen und stoppen, noch bevor sie den Posteingang der Mitarbeiter erreichen. Diese Lösungen verwenden einen mehrschichtigen Analyseansatz (Angriffsfläche, Beziehungen und Verhalten), um fortschrittliches Phishing und andere neue Cyber-Bedrohungen auf den ersten Blick zu erkennen und zu stoppen.
Wenn Sie erfahren möchten, wie die maschinenintelligente E-Mail-Sicherheitslösung von xorlab Ihr Unternehmen vor Angriffen auf die Lieferkette schützen kann, fordern Sie noch heute eine Demo an.
