![](https://www.computerweekly.com/visuals/German/article/email-envelope-adobe_searchsitetablet_520X173.jpg)
slava - stock.adobe.com
VEC: Wenn Angreifer vorgeben, Lieferanten zu sein
Bei der Angriffsform Vendor E-Mail Compromise (VEC) geben sich Angreifer als Anbieter oder Lieferanten aus, zu denen man ein bereits eine Geschäftsbeziehung hat.
Sowohl die Kompromittierung von Anbieter-E-Mails (Vendor E-Mail Compromise, VEC) als auch die Kompromittierung von Geschäfts-E-Mails (Business E-Mail Compromise, BEC) sind Taktiken, mit denen böswillige Akteure E-Mails als Druckmittel einsetzen.
Obwohl VEC- und BEC-Angriffe in vielerlei Hinsicht ähnlich sind, gibt es doch wichtige Unterschiede. Im Folgenden werden diese Unterschiede untersucht und es wird erläutert, wie sie funktionieren und wie Unternehmen verhindern können, dass diese Angriffe ihre Mitarbeiter und den Geschäftsbetrieb beeinträchtigen.
Was ist ein Vendor E-Mail Compromise (VEC)?
Angriffe auf die E-Mail-Konten von Anbietern liegen vor, wenn ein böswilliger Angreifer versucht, sich als das E-Mail-Konto eines Anbieters auszugeben oder dieses zu kompromittieren, um dessen Kunden zu täuschen. Die Kunden erhalten E-Mails, die legitim erscheinen, in Wirklichkeit aber betrügerische Mitteilungen sind, in denen Geld, sensible Informationen oder Handlungen des Opfers gefordert werden, die zu Informationen führen könnten, die dem Angreifer nützen.
VEC- Betrug umfasst oft sehr gezielte Phishing-Angriffe gegen einen Anbieter und dessen Lieferkette. Diese Angriffe haben in den letzten Jahren zugenommen und finanzielle Schäden für Unternehmen verursacht. Sie können auch den Ruf des Anbieters schwer schädigen und sich negativ auf die Geschäftsbeziehungen zu seinen Kunden auswirken.
Wie sich BEC und VEC unterscheiden?
BEC-Angriffe sind ähnlich, und die Begriffe werden oft synonym verwendet. Beide fallen unter denselben Begriff, und beide basieren auf Social Engineering und Phishing. VEC- und BEC-Betrug haben auch ein ähnliches Ziel, nämlich die Opfer so zu manipulieren, dass sie den Betrügern Geld oder sensible Daten liefern.
BEC- und VEC-Angriffe unterscheiden sich jedoch in ihrem Umfang und Ausmaß. BEC-Angriffe zielen auf die internen Mitarbeiter eines Unternehmens ab, insbesondere auf diejenigen mit Zugang zu Finanzkonten und -systemen. In einem klassischen BEC-Beispiel sendet ein als CEO getarnter Angreifer eine E-Mail an den Finanzchef des Unternehmens oder einen Mitarbeiter mit Zugang zu den Bankkonten des Unternehmens und fordert die Überweisung von Geldern an einen Dritten - und zwar umgehend. Ein anderes BEC-Szenario könnte darin bestehen, dass ein Angreifer, der sich als Partner eines Unternehmens ausgibt, eine E-Mail an die Finanzabteilung des Unternehmens sendet, um eine dringende Zahlung für eine Rechnung zu erbitten.
Beim Vendor E-Mail Compromise hingegen geben sich Cyberkriminelle als vertrauenswürdige Anbieter oder Lieferanten aus. Bei solchen Angriffen werden kompromittierte Anbieterkonten verwendet oder ähnlich aussehende E-Mail-Adressen erstellt, um die Opfer dazu zu bringen, finanzielle oder andere vertrauliche sensible Daten oder Gelder bereitzustellen.
VEC-Betrugsversuche sind in der Regel ausgefeilter als ihre BEC-Gegenstücke, da der Angreifer mehr Nachforschungen anstellt und sich auf gezielte Informationen stützt, um glaubwürdiger zu erscheinen.
Wie VEC-Angriffe funktionieren
VEC-Angriffe variieren je nach dem Zielunternehmen und der Art und Weise, wie ein Bedrohungsakteur den Angriff ausführt. Die meisten Angriffe folgen jedoch einer Reihe von Standardschritten:
- Umfassende Recherche.
- Phishing-Angriffe.
- Kontoübernahme und Überwachung.
- Der eigentliche Angriff.
1. Umfassende Recherche
In dieser Phase untersuchen die Bedrohungsakteure die Anbieter, die sie auszunutzen und zu imitieren beabsichtigen. VEC-Angriffe sind im Vergleich zu anderen E-Mail-Kompromittierungsangriffen sehr gezielt. Daher durchforsten die Bedrohungsakteure mehrere Quellen, um spezifische Informationen über den Anbieter zu erhalten, den sie angreifen wollen. Dazu gehört eine Analyse der Einnahmen des Unternehmens, anderer Finanzstrukturen, der Kunden, die mit dem Unternehmen zusammenarbeiten, der Arbeitsabläufe und mehr.
Die erlangten Daten sind in der Regel über öffentliche Ressourcen wie Suchmaschinen und Tools zur Vertriebsunterstützung verfügbar. Das Ziel der Angreifer ist es, ein Profil des Ziels zu erstellen, das die Partnerschaften und die Betriebsstruktur des Anbieters nachahmt. Dadurch wird sichergestellt, dass die betrügerische E-Mail-Kommunikation so legitim wie möglich erscheint.
2. Phishing-Angriffe
Sobald die Angreifer die benötigten Informationen gesammelt haben, starten sie eine Reihe von Phishing-Angriffen gegen die Mitarbeiter des Zielunternehmens. Ziel ist es, die Mitarbeiter dazu zu bringen, genügend Zugangsdaten zu geben, damit der Angreifer die E-Mail-Konten übernehmen kann.
Diese Phase des VEC-Lebenszyklus basiert auf bösartigen Links und Anhängen, die darauf abzielen, die für eine Übernahme erforderlichen Kontoinformationen zu erhalten oder alternativ Malware einzusetzen, um die E-Mail-Kontoinformationen der Benutzer zu stehlen.
3. Kontoübernahme und Überwachung
Wenn die Phishing-Angriffe erfolgreich sind, übernehmen die Angreifer die Benutzerkonten und erstellen Einstellungen und Weiterleitungsregeln, die die E-Mail-Postfächer auf bestimmte Anbieterinformationen überwachen. Dazu können Finanzunterlagen, Rechnungen, Zahlungspläne und die Kommunikation zwischen Kunden und Anbietern gehören.
Sobald Angreifer die Art der Kommunikation, die E-Mail-Muster und die Zahlungszyklen eines Anbieters mit seinen Kunden kennen, kopieren sie den Stil und den Umgangston dieses Anbieters, um seine Kunden besser davon zu überzeugen, dass die Kommunikation legitim ist.
4. Ausführung des Angriffs
Cyberkriminelle investieren viel Zeit und Mühe, um einen VEC-Angriff im großen Stil durchzuführen. Sobald die Angreifer ein vollständiges Bild davon haben, wie sie die Kunden eines Anbieters täuschen können, gehen sie zu einer größeren und gezielten Phishing-Kampagne über.
Der Zweck dieser Kampagnen besteht darin, den Kunden vorzugaukeln, dass die E-Mail-Korrespondenz, die sie erhalten, vom Anbieter und nicht von einem Betrüger stammt. Diese Vorgänge sind oft auf die Abrechnungszyklen abgestimmt, so dass die Angreifer betrügerische Zahlungsaufforderungen erstellen können. Solche E-Mails enthalten gefälschte Rechnungen oder Zahlungsanweisungen mit dem Ziel, den Kunden zu veranlassen, ihnen Geld zu überweisen.
Wenn ein Kunde glaubt, dass die E-Mails korrekt sind, folgt er möglicherweise den Anweisungen und überweist Geld auf das Konto der Angreifer. Oft verschwinden die Angreifer dann ganz und lassen sowohl den Anbieter als auch den Kunden mit finanziellen Verlusten zurück. In anderen Fällen verstärken die Kriminellen ihre Angriffe und haben es auf weitere Kunden abgesehen, wodurch sie noch mehr finanzielle Gewinne erzielen.
Wie man VEC-Angriffe erkennt und verhindert
Unternehmen sollten die folgenden Maßnahmen ergreifen, um E-Mail-Angriffe von vermeintlichen Anbietern zu erkennen und zu verhindern:
Überwachen und filtern Sie den E-Mail-Verkehr. Die meisten E-Mail-Dienstleister bieten Spam- und Phishing-Filter an. Diese Filterfunktionen allein reichen jedoch nicht aus, um einen VEC-Angriff zu erkennen und zu verhindern. Kombinieren Sie diese mit anderen Tools, beispielsweise mit Antimalware- und E-Mail-Schutzplattformen von Sicherheitsanbietern, um Anomalien im Datenverkehr effektiver zu erkennen.
Führen Sie regelmäßig Schulungen zum Thema Sicherheit durch. Konzentrieren Sie sich auf die Aufklärung der Mitarbeiter über Phishing-Kampagnen. Die Mitarbeiter sind die erste Verteidigungslinie eines Unternehmens gegen Phishing- und andere E-Mail-Angriffe. Schulungen helfen den Mitarbeitern, Phishing-Versuche zu erkennen, und geben ihnen die Möglichkeit, IT- und Sicherheitsteams zu benachrichtigen, wenn sie eine verdächtige E-Mail erhalten. Ziehen Sie auch Phishing-Simulationskampagnen in Betracht, um Schwachstellen zu erkennen und festzustellen, wo weitere Schulungen erforderlich sind.
Führen Sie strenge Zugriffs- und Sicherheitskontrollen ein. Dazu gehört die Verwendung sicherer E-Mail-Gateways und anderer Maßnahmen zum Schutz der Endgeräte.
Verwenden Sie technische Kontrollen für die E-Mail-Authentifizierung. Implementieren Sie DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF) und Domain-based Message Authentication, Reporting and Conformance (DMARC), um E-Mails zu authentifizieren und Spoofing-Risiken zu reduzieren (siehe auch E-Mail-Security: Schutz vor Phishing mit SPF, DKIM und DMARC).
Multifaktor-Autentifizierung einführen. Verwenden Sie MFA, wie zum Beispiel einmalige Passcodes oder biometrische Merkmale, um Angreifer daran zu hindern, auf die E-Mail-Konten der Opfer zuzugreifen, selbst wenn diese einen gültigen Benutzernamen und ein gültiges Passwort haben.