Die kriminelle Gruppierung „Crimson Kingsnake“ hat kürzlich eine Kampagne von BEC (Business E-Mail Compromise)-Angriffen gestartet, wobei sich die Betrüger als „echte“ Anwälte, Anwaltskanzleien und Inkassodienste ausgeben. Die Angreifer senden legitim aussehende Rechnungen, die genau auf das Zielunternehmen zugeschnitten sind, und fordern darin eine Zahlung von mehreren Tausend Dollar.
Diese täuschend echt aussehenden Rechnungen führen auch eine Rechnungsnummer, eine Kontoreferenznummer, Bankkontodaten und die tatsächliche Umsatzsteuer-ID des Unternehmens. Einige Rechnungen enthalten sogar eine Rechtsbelehrung und Informationen darüber, an wen man sich bei Fragen oder Bedenken wenden kann.
Aufgrund der Komplexität und der Detailliertheit der Rechnungen ist es möglich, dass Crimson Kingsnake manipulierte Versionen von legitimen Rechnungen verwendet.
Wenn die Bedrohungsakteure auf den Widerstand eines Mitarbeiters stoßen, passen sie ihre Taktik an und geben sich als eine Führungskraft des Zielunternehmens aus. So erhält ein Mitarbeiter, der den Zweck der Rechnungszahlung hinterfragt, eine neue E-Mail, in der auf etwas Bezug genommen wird, das angeblich mehrere Monate zuvor passiert ist. Infolgedessen wird der Mitarbeiter „autorisiert“, die Zahlung vorzunehmen.
Die Sicherheitsforscher von Abnormal Security stellen fest, dass Empfänger diese gefälschten E-Mails kaum als solche erkennen können, da die Angreifer die echte E-Mail-Adresse der Führungskraft in den Anzeigenamen aufnehmen. Unternehmen wird empfohlen, moderne E-Mail-Sicherheitslösungen zu implementieren und ihre Mitarbeiter darin zu schulen, solche Angriffstechniken zu erkennen.
Wenn Angriffe im Posteingang landen, ist es äußerst wichtig, dass robuste Prozesse für ausgehende Zahlungen vorhanden sind. Unternehmen sollten über ein Verfahren verfügen, mit dem sie sicherstellen können, dass das Geld an den richtigen Empfänger geschickt wird – insbesondere bei Rechnungen mit hohen Beträgen.
Gesteigerter Schutz durch Security Awareness Trainings
Um Unternehmen bestmöglich vor derartigen ausgefeilten Phishing-Angriffen zu schützen, empfehlen die Sicherheitsexperten von KnowBe4 Schulungen zur Stärkung des Sicherheitsbewusstseins anzubieten. „Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter zu etablieren", so Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
„Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden“.