Gastbeitrag: Spoofed Invoice Fraud - Cyber Vorfälle treffen Österreichs Industrie (Andreas Tomek)

Österreich – Land des Mittelstandes, der Familienbetriebe und der Branchenkaiser. Ende 2014 und 2015 wurden vor allem diverse Industriebetriebe Opfer des Spoofed Invoice Frauds. Im Rahmen der Aufklärung und bei der Maßnahmenberatung vor Ort hat SBA Research gemeinsam mit CERT.at Lessons Learned aus diesen Vorfällen abgeleitet, die nachfolgend vorgestellt werden.

Rückblickend auf das Internetjahr 2015 wissen wir von mehr als einem halben Duzend dieser Angriffe. Manche davon waren erfolgreich, manche davon wurden durch Sicherheitsbewusstsein abgewehrt. Es entstanden dadurch teilweise direkte und indirekte finanzielle Schäden im sechs- und siebenstelligen Euro Bereich.

Dabei bedienen sich Angreifer der Methode eines so genannten "Business E-Mail Compromises" und folgen dabei zumeist einem ähnlichen Schema:

  • Unternehmen A stellt per E-Mail eine Rechnung an Unternehmen B, über einen langjährigen Sales-Agent oder direkt.
  • Einige Stunden später folgt ein zweites E-Mail von einer neu registrierten (mit Hilfe eines WebHoster Trial Accounts mit gefälschten Daten) und ähnlich klingenden/aussehenden Domain-Namen (der sich zum Beispiel dadurch unterscheidet, dass anstatt des Großbuchstaben "L" nun der Kleinbuchstabe "l" verwendet wird).
  • Der gesamte Inhalt der E-Mail ist mit der vorigen ident, inklusive Adressaten, Anhängen und CC-Empfängern. Die Adressen der letzteren beinhalten aber nun alle die gefälschte Domain.
  • In der neuen E-Mail gibt es nun einen neuen Passus, der eine Änderung des Empfängerkontos verlangt. Mögliche angegebene Gründe dafür: Die Finanz sperrte ein Konto wegen Audit o.ä.
  • Kommt es zu Rückfragen durch das Unternehmen B, wird vom Angreifer geantwortet, das wiederum teils mit gefälschten Dokumenten.
  • Erkennt Unternehmen B diesen Angriffsversuch nicht, überweist es das Geld somit auf ein falsches Konto, nämlich jenes des Angreifers.

Das Federal Bureau of Investigation (FBI) warnt in einem Public Service Announcement vor dieser Bedrohung und nennt auch konkrete Zahlen: So gab es alleine 2013 über 2.100 bekannte Opfer weltweit mit einem Schaden von insgesamt rd. 215 Millionen US-Dollar, der nur auf diese bestimmte Betrugsform zurückzuführen ist. Aber auch hier dürfte die Dunkelziffer deutlich höher liegen und das FBI geht davon aus, dass die Opferzahlen und Schadenshöhen weiter steigen werden.

Das Gefährliche am Rechnungsbetrug

Glaubhaft waren die Angriffe vor allem dadurch, dass die Angreifer dabei zum entscheidenden Zeitpunkt in eine bestehende Kommunikation eingegriffen haben. Häufig wird dieses Vorgehen beim gleichen Opfer öfters wiederholt (2-3 mal pro Zielunternehmen), bis es zum Erfolg führt oder auffliegt. Typischerweise glauben Unternehmen erst beim zweiten Mal an interne Probleme. Dabei war zu beobachten, dass es sich bei fast allen betroffenen Unternehmen um produzierende Industrieunternehmen mit globalen Märkten bzw. Niederlassungen handelte. Auch dürften auf Angreiferseite mehrere Gruppen arbeitsteilig tätig sein, da z.B. die Domainanlage nicht mit dem Versandzeitpunkt der E-Mails abgestimmt war und so Angriffe aufflogen.

Die Kernfrage für Unternehmen lautet: Woher kommen meine E-Mails?

Unternehmen sollten sich daher jedenfalls immer wieder folgende Fragen stellen, um womöglich nicht selbst Opfer von Spoofed Invoice Fraud zu werden: Woher kommen die Original-E-Mails? Woher die Anhänge und teilweise die Unterschriften? Denn das sind Fragen, die Forensiker in jedem der Fälle beschäftigen. Hintergrund ist, dass es nämlich ein breites Spektrum an Optionen gibt, wo und wie ein Angreifer zuschlagen kann.

Potenzielle menschliche Täter können sein: Insider, das Management, Administratoren, Zwischenhändler, MitarbeiterInnen von TelKo-Anbietern oder Mailprovidern – sowohl auf Seite des Unternehmens, wie auch beim Kunden.

Auch die technischen Optionen sind vielfältig und reichen vom Client PC (User, Admin, Management), lokalem Mail-Server, LAN und Corporate WAN, Mail Provider, Internet, der IT-Infrastruktur beim Kunden bis hin zu Malware.

Forensische Untersuchung & Lessons Learned

Was kann man nun aus diesen Fällen mitnehmen? Der Status des Security Managements und der Incident Response ist in den ersten Stunden und Tagen entscheidend. Kernfragen wie "an wen wendet sich das Unternehmen" oder "wer koordiniert externe HelferInnen und Parteien" müssen vorab geklärt und geregelt sein. Gerade zu Urlaubs- und auch Ferienzeiten stellt sich die Frage, wer überhaupt Zeit und technische Mittel zur Untersuchung verfügbar hat und wie man im Falle des Falles schnell Hilfe bekommt. Oft sind auch rechtliche Fragen offen, wie zum Beispiel, wem man einen Angriff melden muss und wie man eine erkannte Fraud Domain abschalten lässt. Und auch der Versicherungsschutz und die Schadensübernahme sind im Nachhinein oft Themen, welche die Kraft des gesamten Unternehmens binden und es somit lähmen können.

Was Unternehmen tun können

In Bezug auf die in Österreich bekannt gewordenen Fälle können folgende Punkte als Lessons Learned weitergegeben werden:

  • Einrichten eines Domain Monitorings der eigenen Firmennamen, Produkte & Webseiten.
  • Etablierung eines Security Managements & Prozesse, sowie Festlegung einer Incident Response & Kommunikationsstrategie.
  • Etablierung technischer Voraussetzungen für eine forensische Auswertung, insbesondere: Logs, Logs, Logs! Moderne AV (Anti-Viren) und APT (Advanced Persistent Threat) Tools, Firewall und Mail Server Auswertungen sowie AD (Access Directory) Access Logs
  • AnsprechpartnerInnen und Dienstleister definieren, sowie Dienstleister in die rechtliche Pflicht nehmen (z.B. Mailprovider).

Und zu guter Letzt muss natürlich auch das Sicherheitsbewusstsein beim Senior Management und den MitarbeiterInnen geschaffen werden. Auf jeden Fall braucht es mehr gut ausgebildete ErsthelferInnen und wir müssen die Kommunikation in der Sicherheits Community forcieren. Denn Vorfälle können klein anfangen und sich rasch ausdehnen. Das ist vor allem eine Gefahr für den gehobenen Unternehmensmittelstand, der oft noch nicht bereit ist, eine solche Situation alleine zu meistern.

Gastbeitrag von: Dipl.-Ing. Mag. Andreas Tomek

Andreas Tomek ist Geschäftsleiter für Professional Services & Business Development bei SBA Research. Er hat über 15 Jahre IT-Erfahrung in den Bereichen System Engineering & Administration, IT Security sowie IT Audit & Training. Sein Forschungsschwerpunkt liegt bei Konzepten der Softwaresicherheit sowie IT Auditing & Governance. Dazu ist er Lektor an der Donau-Universität Krems.





<< Vorige Nächste >>