Flexible Security for Your Peace of Mind

Millionenschaden durch Business E-Mail Compromise: Wie gingen die Angreifer dabei vor?

Bei Cyberangriffen per E-Mail denken die meisten an die vielen Phishing-Ver­suche, mit denen jeder Benutzer laufend kon­frontiert ist. Im vorliegenden Fall hackten die An­greifer aber Outlook Web App (OWA) über eine Brute-Force-Attacke und nutzten ein kompromit­tiertes Mail-Konto, um eine größere Trans­aktion auf ihr Bank­konto um­zuleiten. Ein typisches Fall von Business E-Mail Compromise.

Im ersten Schritt versuchten die Hacker, Zugang zu einem Mail-Konto aus der Finanzabteilung eines Lieferanten zu erhalten. Damit würden sie dann einen großen Kunden dieser Firma kontaktieren und diesen über eine angebliche Änderung der Bankverbindung des Lieferanten benachrichtigen. Der Betrag für eine ausstehende Rechnung sollte dann dorthin überwiesen werden.

Da die kriminellen Akteure die Korrespondenz des betreffenden Mitarbeiters in der Finanzabteilung mitlesen konnten, waren sie über fällige Zahlungen informiert und konnten gegenüber dem Opfer eine legitime Forderung geltend machen.

Ablauf Business E-Mail Compromise
Ablauf des Cyber-Betrugs, bei dem die Angreifer eine Banküberweisung auf ihr Konto umleiteten

OWA als Angriffsziel für Business E-Mail Compromise

Die Hacker suchten offenbar gezielt nach Unternehmen, deren Outlook Web App (OWA) von außen direkt zugänglich ist. Dies lässt sich durch Scannen eines größeren IP4-Bereichs auf Port 443 relativ leicht herausfinden. Tools wie Shodan erleichtern diese Aufgabe.

Wenn die Anmeldung an OWA über die Mail-Adresse erfolgt, dann müssen Angreifer diese für die betreffende Zielperson ermitteln. Eine naheliegende Methode besteht darin, in Google nach Infor­mationen über Mitarbeiter dieser Firma zu suchen und so das Muster herauszufinden, nach dem die Mail-Adressen aufgebaut sind (zum Beispiel Vorname.Nachname@firma.com).

Bei Exchange können sich Hacker dessen Eigenart zunutze machen, dass die Antwortzeit bei nicht existierenden Konten verschieden lang ist, je nachdem ob das Adressformat stimmt oder nicht.

Eine weitere Quelle sind Metadaten in Office-Dokumenten. Wenn Unternehmen etwa PowerPoint-Präsentationen über ihre Website publizieren, ohne diese zu bereinigen, dann können potenzielle Angreifer daraus Benutzer­namen entnehmen, die oft alternativ zur Mail-Adresse für die Anmeldung verwendet werden.

Kennwörter als Schwachpunkt

Sind die Cyber­kriminellen bis hierher vorgedrungen, dann werden sie jetzt versuchen, die Passwörter zu knacken. Im konkreten Fall nutzten sie einen Brute-Force-Angriff, bei dem typischerweise Dictionaries und Listen mit kompro­mittierten Kennwörtern zum Einsatz kommen.

Schritte der Angreifer bei Business E-Mail Compromise
Schritte zur Kompromittierung eines Mail-Accounts in Outlook Web App

Anstatt einzelne Accounts mit zahlreichen Login-Versuchen zu bombardieren, die der System­verwaltung auffallen könnten, verlegen sich Angreifer oft auf das Password Spraying. Dabei werden häufig verwendete (triviale) Passwörter bei vielen Benutzern ausprobiert, so dass pro Konto nur wenige fehlgeschlagene Anmeldeversuche auflaufen.

Um solchen Attacken vorzubeugen, können IT-Verantwortliche mit dem kostenlosen Specops Password Auditor prüfen, ob alle Benutzer im Active Directory starke Passwörter verwenden. Das Tool untersucht die Hashes nach allen möglichen Kriterien und vergleicht sie zusätzlich mit einer langen Liste kompro­mittierter Kennwörter.

Schwache Passwörter verhindern

Die Diagnose des Ist-Zustands kann aber nur ein erster Schritt sein. Entscheidend sind Maßnahmen, um den Einsatz leicht zu erratender Passwörter zu verhindern.

Specops Software bietet dafür ein Tool namens Password Policy an. Es erweitert die Passwort­richtlinien des Active Directory, so dass Admins triviale und unerwünschte Kennwörter über diverse Regeln ausschließen zu können.

Dynamisches Feedback bei der Passwortvergabe
Specops Password Policy zeigt dem User beim Wechsel des Passworts an, welchen Vorgaben es genügen muss.

Wenn Benutzer ihre Passwörter wechseln (müssen), kann Specops Password Policy diese anhand einer Liste mit Milliarden kompromittierter Kennwörter prüfen. Die Bedeutung dieses Features erschließt sich aus dem obigen Fallbeispiel für einen erfolgreichen Brute-Force-Angriff.

Möchten Sie gerne mehr darüber erfahren, wie Specops Password Policy in Ihrer Organisation zu mehr IT-Sicherheit beitragen kann?


Detaillierte Analyse des Angriffs

Eine Aufzeichnung des Webinars, in dem der Sicherheits­experte Dr. Siegfried Rasthofer den erfolg­reichen Cyber-Betrug ab Minute 7:00 im Detail erklärt, können Sie im folgenden Video ansehen. Er benennt auch Maßnahmen, mit denen sich die involvierten Unternehmen gegen diesen Angriff hätten schützen können.

(Zuletzt aktualisiert am 19/10/2023)

Zurück zum Blog