Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Millionenschaden durch Business E-Mail Compromise: Wie gingen die Angreifer dabei vor?
![](https://specopssoft.com/de/wp-content/uploads/sites/8/2022/04/banner_weblog-1024x535.jpg)
Bei Cyberangriffen per E-Mail denken die meisten an die vielen Phishing-Versuche, mit denen jeder Benutzer laufend konfrontiert ist. Im vorliegenden Fall hackten die Angreifer aber Outlook Web App (OWA) über eine Brute-Force-Attacke und nutzten ein kompromittiertes Mail-Konto, um eine größere Transaktion auf ihr Bankkonto umzuleiten. Ein typisches Fall von Business E-Mail Compromise.
Im ersten Schritt versuchten die Hacker, Zugang zu einem Mail-Konto aus der Finanzabteilung eines Lieferanten zu erhalten. Damit würden sie dann einen großen Kunden dieser Firma kontaktieren und diesen über eine angebliche Änderung der Bankverbindung des Lieferanten benachrichtigen. Der Betrag für eine ausstehende Rechnung sollte dann dorthin überwiesen werden.
Da die kriminellen Akteure die Korrespondenz des betreffenden Mitarbeiters in der Finanzabteilung mitlesen konnten, waren sie über fällige Zahlungen informiert und konnten gegenüber dem Opfer eine legitime Forderung geltend machen.
![Ablauf Business E-Mail Compromise](https://specopssoft.com/de/wp-content/uploads/sites/8/2022/04/specops-hacker-angriff-mail-ablauf-1024x569.png)
OWA als Angriffsziel für Business E-Mail Compromise
Die Hacker suchten offenbar gezielt nach Unternehmen, deren Outlook Web App (OWA) von außen direkt zugänglich ist. Dies lässt sich durch Scannen eines größeren IP4-Bereichs auf Port 443 relativ leicht herausfinden. Tools wie Shodan erleichtern diese Aufgabe.
Wenn die Anmeldung an OWA über die Mail-Adresse erfolgt, dann müssen Angreifer diese für die betreffende Zielperson ermitteln. Eine naheliegende Methode besteht darin, in Google nach Informationen über Mitarbeiter dieser Firma zu suchen und so das Muster herauszufinden, nach dem die Mail-Adressen aufgebaut sind (zum Beispiel Vorname.Nachname@firma.com).
Bei Exchange können sich Hacker dessen Eigenart zunutze machen, dass die Antwortzeit bei nicht existierenden Konten verschieden lang ist, je nachdem ob das Adressformat stimmt oder nicht.
Eine weitere Quelle sind Metadaten in Office-Dokumenten. Wenn Unternehmen etwa PowerPoint-Präsentationen über ihre Website publizieren, ohne diese zu bereinigen, dann können potenzielle Angreifer daraus Benutzernamen entnehmen, die oft alternativ zur Mail-Adresse für die Anmeldung verwendet werden.
Kennwörter als Schwachpunkt
Sind die Cyberkriminellen bis hierher vorgedrungen, dann werden sie jetzt versuchen, die Passwörter zu knacken. Im konkreten Fall nutzten sie einen Brute-Force-Angriff, bei dem typischerweise Dictionaries und Listen mit kompromittierten Kennwörtern zum Einsatz kommen.
![Schritte der Angreifer bei Business E-Mail Compromise](https://specopssoft.com/de/wp-content/uploads/sites/8/2022/04/specops-hacker-angriff-owa-schritte-1024x583.png)
Anstatt einzelne Accounts mit zahlreichen Login-Versuchen zu bombardieren, die der Systemverwaltung auffallen könnten, verlegen sich Angreifer oft auf das Password Spraying. Dabei werden häufig verwendete (triviale) Passwörter bei vielen Benutzern ausprobiert, so dass pro Konto nur wenige fehlgeschlagene Anmeldeversuche auflaufen.
Um solchen Attacken vorzubeugen, können IT-Verantwortliche mit dem kostenlosen Specops Password Auditor prüfen, ob alle Benutzer im Active Directory starke Passwörter verwenden. Das Tool untersucht die Hashes nach allen möglichen Kriterien und vergleicht sie zusätzlich mit einer langen Liste kompromittierter Kennwörter.
Schwache Passwörter verhindern
Die Diagnose des Ist-Zustands kann aber nur ein erster Schritt sein. Entscheidend sind Maßnahmen, um den Einsatz leicht zu erratender Passwörter zu verhindern.
Specops Software bietet dafür ein Tool namens Password Policy an. Es erweitert die Passwortrichtlinien des Active Directory, so dass Admins triviale und unerwünschte Kennwörter über diverse Regeln ausschließen zu können.
![Dynamisches Feedback bei der Passwortvergabe](https://specopssoft.com/de/wp-content/uploads/sites/8/2021/12/Feedback-at-Password-Change-1024x711.png)
Wenn Benutzer ihre Passwörter wechseln (müssen), kann Specops Password Policy diese anhand einer Liste mit Milliarden kompromittierter Kennwörter prüfen. Die Bedeutung dieses Features erschließt sich aus dem obigen Fallbeispiel für einen erfolgreichen Brute-Force-Angriff.
Möchten Sie gerne mehr darüber erfahren, wie Specops Password Policy in Ihrer Organisation zu mehr IT-Sicherheit beitragen kann?
Detaillierte Analyse des Angriffs
Eine Aufzeichnung des Webinars, in dem der Sicherheitsexperte Dr. Siegfried Rasthofer den erfolgreichen Cyber-Betrug ab Minute 7:00 im Detail erklärt, können Sie im folgenden Video ansehen. Er benennt auch Maßnahmen, mit denen sich die involvierten Unternehmen gegen diesen Angriff hätten schützen können.
(Zuletzt aktualisiert am 19/10/2023)