Was ist die E-Mail-Kompromittierung von Lieferanten (VEC)?

Was ist die E-Mail-Kompromittierung von Lieferanten (VEC)?

Die Kompromittierung von Anbieter-E-Mails, auch „Kompromittierung der finanziellen Lieferkette“ genannt, ist eine gezielte Art der Kompromittierung von Geschäfts-E-Mails (Business Email Compromise oder kuz BEC), bei der sich Angreifer als ein Drittanbieter ausgeben, um die Kunden dieses Anbieters zu bestehlen. Anbieter haben oft viele verschiedene Kunden. Wenn ein Angreifer den Anbieter kompromittiert und sich als dieser Ausbieter ausgibt, kann er mehrere Betroffene dazu bringen, Geld oder sensible Informationen herauszugeben.

Was ist die Kompromittierung von Geschäfts-E-Mails?

Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise oder kurz BEC) ist eine Art von Social-Engineering-Angriff, bei dem die E-Mails des Opfers übernommen werden.Bei einem BEC-Angriff fälscht der Angreifer eine E-Mail-Nachricht im Klartext, um das Opfer zu einer bestimmten Aktion zu verleiten, z. B. zur Preisgabe sensibler Daten.

BEC zeichnet sich dadurch aus, dass es häufig auf eine bestimmte Person innerhalb einer Organisation abzielt. BEC lässt sich oft nur schwer erkennen. Herkömmliche E-Mail-Sicherheitslösungen übersehen diese E-Mails leicht. Schließlich enthalten sie weder Malware oder böswillige Links noch gefährliche E-Mail-Anhänge oder andere Elemente, die die E-Mail-Sicherheitslösung zum Filtern und Identifizieren von Phishing-E-Mails verwendet. BEC-E-Mails verwenden Klartext, der sorgfältig entworfen und gestaltet wurde, um den Empfänger auszutricksen und bestehende Sicherheitstechnologien zu umgehen. Die E-Mails sind in der Regel so formuliert, dass sie den Ton und den Inhalt von vertrauenswürdigen Absendern, wie z. B. Kollegen oder dem Chef, imitieren, um den Empfänger dazu zu verleiten, sich auf die E-Mails einzulassen.

Die Kompromittierung von Anbieter-E-Mails ist zwar eine Art von BEC-Angriff, aber nicht unbedingt gleichzusetzen. Eine typische BEC-Angriffskampagne zielt auf eine Person oder eine Führungskraft ab, um an vertrauliche Informationen zu gelangen. Eine Kampagne zur Kompromittierung von Anbieter-E-Mails erfordert dagegen in der Regel ein tieferes Verständnis der bestehenden Geschäftsbeziehungen, z. B. der Zahlungsstrukturen, Finanzinformationen und bestehenden Prozesse zwischen Anbieter und Kunde. Die Nachforschungen bei der Kompromittierung von Anbieter-E-Mails können Wochen bis Monate in Anspruch nehmen und der potenzielle Gewinn für den Angreifer ist weitaus größer.

Wie läuft die Kompromittierung von Anbieter-E-Mails ab?

Angriffe zur Kompromittierung von Anbieter-E-Mails sind ausgeklügelt, komplex und schwer zu erkennen. Ihre Entwicklung, Infiltrierung und vollständige Umsetzung dauert oft Monate, wenn nicht Jahre. Es gibt jedoch bestimmte Schritte, die bei jedem Angriff zur Kompromittierung von Anbieter-E-Mails gleich sind:

1. Es werden gründliche Nachforschungen über den Anbieter und seinen Kundenstamm angestellt. Mithilfe öffentlich zugänglicher Informationen erfahren Angreifer mehr über die Mitarbeiter, Kunden, Arbeitsabläufe, Abrechnungszyklen und andere Fakten des Zielanbieters.Dieser Prozess kann Wochen oder Monate in Anspruch nehmen, aber die Nachforschungen helfen dem Angreifer letztendlich, sich überzeugender als der Verteidiger auszugeben.
2. Phishing E-Mails werden an den Anbieter gesendet. Bevor die Angreifer ihre Angriffe auf ihre endgültigen Ziele ausführen können, müssen sie sich zunächst Zugang zum E-Mail-Konto des betreffenden Anbieters verschaffen. Dazu senden die Angreifer dem Anbieter oft mehrere Phishing-E-Mails mit böswilligen Links.
3. Kompromittiertes Konto wird übernommen.Sobald die Angreifer Zugriff auf das E-Mail-Konto des Anbieters erhalten haben, erstellen sie Regeln für die E-Mail-Weiterleitung, um relevante E-Mail-Kopien an den Posteingang des Angreifers zu senden. Von hier aus überwacht der Angreifer den Posteingang auf einschlägige Finanzinformationen wie Bankkonten, Rechnungsdetails und Zahlungsfristen.
4. Gezielte E-Mail-Angriffe an die Kunden des Anbieters werden gesendet.Der letzte Schritt besteht darin, eine äußerst raffinierte und schwer zu erkennende Spear-Phishing-Kampagne per E-Mail an die Kunden des Anbieters zu versenden, in der Regel um den Zeitpunkt der Rechnungsstellung herum.Mit den Informationen, die sie während der Recherche gesammelt haben, versuchen die Angreifer ihre Opfer davon zu überzeugen, dass sie dem Anbieter Geld schulden und die vermeintlich „erforderliche Zahlung“ auf das Konto des Angreifers überweisen sollen.

Welche Folgen hat eine Kompromittierung von Anbieter-E-Mails?

Kampagnen zur Kompromittierung von Anbieter-E-Mails betreffen zwei verschiedene Opfer: den kompromittierten Anbieter und die Kunden oder Lieferanten des Anbieters.

Kompromittierte Anbieter erleiden einen Imageschaden und finanzielle Verluste in Form von fehlgeleiteten Zahlungen. Der Angreifer gelangt durch Umleitung von Kundenzahlungen auf ein vom Angreifer angegebenes Konto an Zahlungen, die eigentlich für den Anbieter bestimmt sind. Und sobald die Angriffskampagne auffliegt, wird der Ruf des Anbieters in Mitleidenschaft gezogen, denn es besteht die Befürchtung, dass die privaten Daten eines bestehenden oder potenziellen Kunden preisgegeben werden.

Darüber hinaus können die „endgültigen“ Ziele – die Kunden oder Lieferanten, auf die das kompromittierte Konto des Anbieters abzielt – hohe finanzielle Einbußen und Dienstausfälle erleiden und die Lieferkette gefährden.

Ein Beispiel für eine Kompromittierung von Anbieter-E-Mails ist der Angriff auf die gemeinnützige Organisation One Treasure Island im Dezember 2020. Die Angreifer gaben sich als Buchhalter eines Drittanbieters aus, infiltrierten bestehende E-Mail-Ketten und schickten eine E-Mail mit einer Zahlungsaufforderung mit abweichenden Anweisungen für die Überweisung. Ein Mitarbeiter von Treasure Island überwies eine große Zahlung, die für den Partner bestimmt war, auf das Konto des Angreifers und verlor dabei 650.000 $. Dieser Angriff führte zu finanziellen Verlusten, einem Dienstausfall und einem geschädigten Anbieter für One Treasure Island sowie zu einem Reputations- und finanziellen Schaden für den kompromittierten Drittanbieter-Buchhalter.

Wie kann Cloudflare die Kompromittierung von Anbieter-E-Mails verhindern?

Cloudflare email security protects against a wide range of attacks, including preventing sophisticated and hard-to-detect targeted vendor email compromise campaigns. This advanced email protection is powered by Cloudflare’s global network, which blocks an average of 86 billion threats a day. As part of the Cloudflare Zero Trust platform, it helps provide continuous, comprehensive security and makes it easy for vendors and organizations to enforce secure, cloud-native, on-premise security solutions.