[datensicherheit.de, 23.08.2019] Zahlreiche US-Medien haben darüber berichtet – unter anderen die „WashingtonPost“ („US indictment charges 80 in fraud, money laundering case“, „TechCrunch“ („Justice Dept. indicts 80 over massive business email scam“), CNN („Feds indict 80 people in massive web of scams tied to Nigerians“), „ABCNews“ („FBI takes down Nigerian fraudsters in $46M case“), NBC („U.S. indictment charges 80 in fraud case“). Demnach haben die US-Justizbehörden am 22. August 2019 80 Personen im Zusammenhang mit Cyber-Kriminalität verhaftet, weil sie im Verdacht stehen, in bedeutendem Umfang an E-Mail-Betrug („BEC Fraud“, in Deutschland auch „CEO-Masche“ genannt) und Geldwäsche beteiligt zu sein. Die meisten der angeklagten Personen stammten aus Nigeria. Auf das Konto dieser und anderer Cyber-Krimineller gehe der massive Anstieg von BEC-Angriffen von 476 Prozent – und dass mittlerweile fünf von sechs Unternehmen dieser Form von Attacken ausgesetzt seien.

Immer ausgefeiltere Social-Engineering-Techniken kommen zum Einsatz

Chris Dawson, „Threat Intelligence Lead“ bei Proofpoint, warnt dennoch davor, an einen Rückgang der Aktivitäten der Cyber-Kriminellen zu glauben: „Die gestrige Aktion des US-Justizministeriums verdeutlicht einmal mehr, dass Cyber-Kriminelle den E-Mail-Kanal weiterhin nutzen, um Einzelpersonen unfreiwillig für ihre Machenschaften einzuspannen. Tatsächlich verdreifachten sich im Vergleich der Jahre 2017 und 2018 die Anzahl der Fälle, in denen sich Unternehmen mit Attacken konfrontiert sahen, bei denen legitime E-Mails vorgetäuscht wurden – einschließlich BEC. Dabei kamen immer ausgefeiltere Social-Engineering-Techniken zum Einsatz.“
Leider sei es angesichts der doch relativ hohen Erfolgsrate und der niedrigen Kosten solcher Angriffe wahrscheinlich, „dass wir hier nur die Spitze des Eisbergs sehen, sowohl in Bezug auf direkte als auch indirekte Schäden – zudem werden diese in Zahl und Häufigkeit weiter ansteigen“. Jedoch verdeutlichten diese Verhaftungen auch den wirklich globalen Charakter von Cyber-Kriminalität – das Einzige, was diese Kriminellen brauchten, um ihre vorgesehenen Opfer zu erreichen, sei eine Internetverbindung. „Und dadurch wird eines ganz deutlich: Zwar sind solche Anklagen sehr wichtig, doch bleibt Cyber-Sicherheit ein ,Katz-und-Maus-Spiel‘, bei dem neue Kriminelle bereits in den Startlöchern stehen, um die durch die nun erfolgten Verhaftungen entstandene Lücke zu füllen.“

E-Mails, die Passwortänderungen, Geldtransfers oder Links anfordern, misstrauen!

Es sei wichtig, „dass die Verbraucher im privaten wie im geschäftlichen Umfeld äußerst wachsam sind und keineswegs jeder E-Mail im Posteingang vertrauen“. Sie sollten sich immer rückversichern, dass E-Mails, die dringend eine Passwortänderung, einen Geldtransfer oder einen Link anfordern, auch wirklich rechtmäßig sind. Um diese Rechtmäßigkeit zu prüfen, sollten sie aber einen anderen Kanal als die E-Mail wählen. Die Anwender könnten beispielsweise direkt die Website eines Unternehmens aufrufen, um Kontoänderungen vorzunehmen und nicht irgendeinem Link in einer E-Mail folgen.
Auch eine telefonische Rückfrage beim vermeintlichen Absender, um eine Anfrage zu verifizieren oder ein dringendes Problem zu lösen, wegen dem sie kontaktiert wurden, sei durchaus sinnvoll. Eine weitere Option sei die Multifaktor-Authentifizierung. Diese sollte man nutzen, wo immer sie angeboten wird. „Es gilt auch Kontoauszüge stets genau zu prüfen und – wenn möglich – mit der Bank strenge Richtlinien für Kontoüberziehungen oder Kredite zu vereinbaren“, rät Dawson. Das reduziere im Falle eines Betrugs zumindest den Schaden.

Weitere Informationen zum Thema:

proofpoint, 07.02.2019
Proofpoint releases Q4 2018 Threat Report and Year in Review

datensicherheit.de, 08.08.2019
proofpoint und amazon entfernen Betrüger-Webseiten

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

[datensicherheit.de, 10.05.2019] Die Unit 42, das Malware-Forschungsteam bei Palo Alto Networks, geht in einer aktuellen Stellungnahme auf den Umstand ein, dass sich in den letzten fünf Jahren „Business Email Compromise“-Programme (BEC) als „eine der profitabelsten und am weitesten verbreiteten cyber-kriminellen Aktivitäten etabliert“ haben. Dieser rasante Anstieg habe nationale und internationale Strafverfolgungsbehörden in Alarmzustand versetzt.

Jährlicher Schaden über 1,29 Milliarden US-Dollar

Im Jahr 2016 bezifferte demnach das Internet Crime Complaint Center (IC3) in seinem Jahresbericht den geschätzten jährlichen Schaden durch BEC auf 360 Millionen US-Dollar. Seitdem sei dieser deutlich angestiegen und der Anstieg habe auch zuletzt keine Anzeichen einer Verlangsamung gezeigt. Laut dem kürzlich veröffentlichten Bericht von IC3 für das Jahr 2018 soll der jährliche Schaden inzwischen 1,29 Milliarden US-Dollar überstiegen haben.
Die Unit 42 hat nach eigenen Angaben die Entwicklung dieser Bedrohung insbesondere für Unternehmen – mit Schwerpunkt auf der nigerianischen Cyber-Kriminalität – aktiv verfolgt. Während BEC eine globale Bedrohung darstelle, gebe der Fokus von Unit 42 Einblicke in die von Nigeria aus erfolgten Aktivitäten, „das als einer der fünf wichtigsten Hotspots für Cyber-Kriminalität gilt“.

2018 Zahl der „SilverTerrier“-Angreifer bei über 400

Im Jahr 2014 habe die Unit 42 ihren ersten Bericht „419 Evolution“, „der einen der ersten Fälle dokumentierte, in denen Cyber-Kriminelle aus Nigeria Malware zur finanziellen Bereicherung einsetzten“, veröffentlicht – zwei Jahre später dann „The Next Evolution of Nigerian Cybercrime“. Darin sei das enorme Wachstum dieser Masche beschrieben und den Kriminellen der Codenamen „SilverTerrier“ zugeschrieben worden. Im Jahr 2017 beobachtete die Unit 42, „dass sich die Bedrohung auf Hunderte von Akteuren ausgedehnt hatte, was in ,The Rise of Nigerian Business Email Compromise‘ veröffentlicht wurde“. 2018 habe die Zahl der „SilverTerrier“-Angreifer bei über 400 gelegen.
Zusammengenommen würden diesen Kriminellen heute über 51.000 Malware-Samples und 1,1 Millionen Angriffe in den letzten vier Jahren zugeordnet. Der aktuelle Blog-Beitrag der Unit 42 zu diesem Thema „beschreibt die neuesten ,SilverTerrier‘-Malware-Trends und gibt einen Überblick zu den Maßnahmen, die von Strafverfolgungsbehörden und der Industrie zur Bekämpfung dieser Aktivität ergriffen wurden“.

Alarmierende jährliche Zunahme von 54 Prozent

Insgesamt hätten die nigerianischen Cyber-Akteure ihre Fähigkeit unter Beweis gestellt, ein beträchtliches Wachstum der Angriffe im Jahresvergleich zu erzielen. Im Jahr 2017 beobachteten die Forscher demnach durchschnittlich 18.294 Angriffe pro Monat, „was einem Anstieg von 23 Prozent gegenüber 2016 entspricht“. Dieser Zeitraum beinhaltete auch einen neuen Rekord von 41.000 Angriffen im August 2017. Im Jahr 2018 sei die Zahl der Angriffe auf durchschnittlich 28.227 pro Monat gestiegen, „wobei die Anstiege im März und April jeweils die bisherigen Rekorde übertrafen“.
Dieses Wachstum stelle eine alarmierende jährliche Zunahme von 54 Prozent dar und bedeute, „dass sowohl die Anzahl als auch das Tempo der Angriffe zunimmt“. Darüber hinaus sei zu beachten, dass diese Zahlen nur Angriffe auf den Kundenstamm von Palo Alto Networks widerspiegelten. Es sei sehr wahrscheinlich, dass „die tatsächliche Anzahl der globalen Angriffe diese Zahlen weit übersteigt“.

Angriffe quer durch alle Branchen

Neben dem quantitativen Wachstum setzten die nigerianischen Cyber-Kriminellen ihre Angriffe quer durch alle Branchen fort. Die Daten der Unit 42 zeigten, dass die High-Tech-Industrie die meisten Angriffe erlitten habe, mit einer Zunahme im vergangenen Jahr von 46.000 auf 120.000.
Der Großhandel folge an zweiter Stelle und habe ab 2017 ein Wachstum von 400 Prozent verzeichnet. Das verarbeitende Gewerbe weise ebenfalls einen deutlichen Anstieg der Angriffe von 32.000 auf 57.000 auf, gefolgt vom Bildungswesen und Dienstleistungsbereich, ebenfalls mit starkem Wachstum.

E-Mail-Anwendungen ganz oben auf der Liste

Die Analyse der Angriffsvektoren habe ein einheitliches Ranking zwischen 2017 und 2018 ergeben. E-Mail-Anwendungen stünden ganz oben auf der Liste mit SMTP, POP3 und IMAP an erster, zweiter und vierter Stelle als häufigste Bereitstellungsanwendungen. Web-Browsing sei die dritthäufigste Bereitstellungsanwendung gewesen und FTP sei mit deutlichem Abstand an fünfter Stelle gefolgt.
Diese Zahlen lieferten wertvolle Erkenntnisse für Netzwerkadministratoren und zeigten den Bedarf an E-Mail-basierten Erkennungsfunktionen auf, um sich angemessen gegen diese Bedrohung zu schützen.

Weitere Informationen zum Thema:

unit 42, 09.05.2019
SilverTerrier – 2018 Nigerian Business Email Compromise

datensicherheit.de, 19.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht

datensicherheit.de, 08.09.2018
Security-Systeme: Business Email Compromise-Angriffe schwer erkennbar

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

[datensicherheit.de, 19.07.2018] Aktuell kursierten wieder einige kuriose Phishing-E-Mails, in denen ahnungslose Menschen gebeten werden, persönliche Daten preiszugeben. Betrügerische E-Mails, die Empfängern riesige Geldsummen versprechen, gebe es schon so lange wie es das Internet gibt. Einige Exemplare dieser Masche seien sogar schon per Briefpost verschickt worden. Derzeit kursierten wieder verstärkt kuriose Nachrichten dieser Art. G DATA greift zwei Beispiele in einer aktuellen Stellungnahme auf.

„Leutnant Andrew Ferrara“

Die erste E-Mail stamme von einem angeblichen Militär-Angehörigen. Welcher Nationalität er angehört, werde allerdings im Verlaufe des Textes nicht klar. Auffällig sei, dass an mehreren Stellen kyrillische Zeichen auftauchten. In der Nachricht werde behauptet, dass er zusammen mit seinem Einheit einen „radikalen Taliban-Kurier“ abgefangen habe, der eine größere Geldsumme bei sich getragen hätte. Da man aber befürchte, dass die afghanische Polizei, der man den Kurier übergeben wolle, das Geld in die eigene Tasche steckt, wolle man das Geld stattdessen lieber dem Empfänger der E-Mail zukommen lassen. Dazu solle der Empfänger den vollen Namen, die Telefonnummer sowie die Postanschrift übersenden.

„Kubanische Europa-Lotterie“

Der Empfänger einer solchen E-Mail habe angeblich 650.000 Euro bei „Euro Millions“ gewonnen. Auffällig hier sei, dass die Absenderadresse die Länder-Domain für Kuba trage, der angebliche Absender jedoch einen sehr deutsch klingenden Namen habe. Unter der Signatur finde sich auch ein kurioser Hinweis auf den „Siebten Kubanischen Kongress für Regionalentwicklung“, der im März 2019 stattfinden solle.

Opfer können Teil eines kriminellen Netzwerks werden

Möglicherweise verließen sich die Macher darauf, dass Empfänger die Geschichte glaubten, weil sich so etwas keiner ausdenken könne. Doch G DATA rät: „Solche Nachrichten gehören umgehend in den elektronischen Papierkorb – auf gar keinen Fall sollten Anwender hier persönliche Daten preisgeben und erst recht nicht auf so eine Mail antworten.“
So sehr solche Geschichten auch zum Schmunzeln anregten, sei der Hintergrund tatsächlich ernst. Mit E-Mails dieser Art sollen offensichtlich persönliche Daten gesammelt werden bzw. ein sogenannter Vorschussbetrug begangen werden.
Aber das Opfer erhalte keine Gegenleistungen und bleibe als Geschädigter zurück. Schlimmer noch: Es drohten ggf. sogar strafrechtliche Konsequenzen wegen Beteiligung an Geldwäschegeschäften. Mit erbeuteten persönlichen Daten sei es den Absendern solcher E-Mails möglich, im Namen und auf Kosten der Opfer Geschäfte im Internet abzuwickeln oder die Daten gewinnbringend weiter zu verkaufen.

Weitere Informationen zum Thema:

G DATA Security Blog, Tim Berghoff, 19.07.2018
Afghanische Millionen und die kubanische Euro-Lotterie / Aktuelle Kuriositäten aus Abzock-Emails

datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden

G DATA
Phishing-Mails erkennen / Glückwunsch, Sie haben gewonnen! Oder verlieren Sie womöglich Ihre Daten an Kriminelle?

[datensicherheit.de, 08.11.2016] Wer kennt nicht diese E-Mail, nach denen z.B. ein vermeintlich verstorbener Onkel oder großzügiger Unternehmer aus Afrika dem Adressaten Millionenbeträge überweise wollen? Mit solchen, oft sehr schlecht gemachten Betrugsmails ist laut einer aktuellen Stellungnahme von paloalto Networks ein Hackernetzwerk aus Nigeria, bekannt unter dem Namen „419“, vor über zehn Jahren auf Betrugstour gegangen. Seither aber hätten sich die Cyber-Kriminellen aus Afrika massiv verstärkt und aufgerüstet. Ihre wachsende Zahl an Attacken werde zunehmend professioneller und somit auch gefährlicher. Die Anti-Malware-Experten von paloalto Networks in der „Unit 42“ haben am 3. November 2016 einen umfassenden Report vorgestellt, in dem das Treiben der wohl gefährlichsten Hackertruppe aus Afrika unter die Lupe genommen wird.

100 Hackergruppen unternehmen weltweite Cyber-Angriffe

Seit über zehn Jahren treibe in Nigeria ein Netz aus Kriminellen sein Handwerk – und das online weltweit. Die fundierten Analysen von über 8.400 Malware-Dateien hätten zur Enttarnung von über 500 Domains geführt, von denen aus die rund 100 Hacker bzw. -gruppen weltweite Cyber-Angriffe starteten.
Die Breite und Tiefe der Nachforschungen ermöglicht demnach eine „hochaktuelle, umfassende Bewertung2, die sich nicht nur auf einzelne Akteure konzentriert, sondern die das gesamte Bedrohungspotenzial dieser weltweit aktiven Cyber-Kriminellen beleuchten soll.“

Malware-Angriffe in den letzten zwei Jahren zugenommen

Zusammenfassend gesagt haben die Forscher der „Unit 42“ nach eigenen Angaben beobachtet, dass sich die nigerianische Akteure von ihren traditionellen Betrugs-E-Mails im „419er-Stil“ (benannt nach dem relevanten Paragrafen 419 des nigerianischen Strafgesetzbuchs) deutlich weiterentwickelt haben.
Die Malware-Angriffe hätten in den letzten zwei Jahren kontinuierlich zugenommen – von weniger als 100 Angriffen im Juli 2014 auf ihre aktuelle Rate von 5.000 bis 8.000 pro Monat. Diese Attacken hätten weitgehend keine gezielten Opfer und konzentrieren sich weniger auf Einzelpersonen als auf Unternehmen, verteilt über alle wichtigen Branchen.
Nachdem die Hacker gelernt hätten, wie man problemlos verfügbare Malware-Tools mit Präzision erfolgreich einsetzen kann, hätten die Kriminellen hohe Umsätze erzielt, die von jeweils zehntausend bis zu Millionen von US-Dollar allein im vergangenen Jahr reichten.
Angesichts der aktuellen Erkenntnisse ist die „Unit 42“ der Ansicht, dass die bisherigen Bewertungen dieser Bedrohung nicht mehr angemessen seien und neu bewertet werden müssten. Die Akteure hätten zuletzt mehrfach gezeigt, dass sie eine gewaltige Bedrohung für Unternehmen und Regierungsorganisationen weltweit darstellten.

Umfassenden Report Anfang November 2016 vorgestellt

Der umfassende Report, den die „Unit 42“ Anfang November 2016 vorgestellt hat, beschreibt die Geschichte der nigerianischen Cyber-Kriminellen, die Taktiken, die eingesetzt werden, und gibt erstmalig Einblicke, wie die Bedrohung in Größe, Komplexität und technischer Kompetenz in den letzten zwei Jahren zugenommen hat. Darüber hinaus soll der Bericht einen detaillierten Blick auf die folgenden Aspekte bieten:

1. Profile der Akteure
   Die Zuordnung dieser Akteure habe ergeben, dass sie in erster Linie gebildet seien. Viele hätten weiterführende Schulen besucht und in technischen Bereichen studiert.
   Das Altersspektrum reiche vom späten Teenager-Alter bis Mitte 40, was eine breite Palette von Generationen abdecke. Daraus ergebe sich eine interessante Kombination: Ältere Akteure, die mit traditionellem „419er“-Betrug und „Social Engineering“ erfolgreich gewesen seien, arbeiteten jetzt mit jüngeren Akteuren zusammen, die mehr aktuelles Malware-Know-how einbrächten.
   Noch wichtiger sei, dass diese Akteure zunehmend besser organisiert seien. Sie kommunizierten mittels Sozialer Medien, um ihre Tools und Techniken zu koordinieren und zu teilen.
2. Finanzielle Schäden
   Die finanziellen Verluste hätten erhebliche Auswirkungen auf Unternehmen weltweit. Für 2015 seien in einem vom FBI Internet Cyber Crime Center veröffentlichten Jahresbericht 30.855 Opfer von herkömmlichem „419er“-Betrug und „Social Engineering“ identifiziert worden, mit Verlusten von 49 Millionen US-Dollar. Diese bereits hohe Zahl sei 2016 noch getoppt worden:
   Am 1. August 2016 hat Interpol laut „Unit 42“ die Verhaftung eines nigerianischen Akteurs vermeldet, der für weltweite Verluste von über 60 Millionen US-Dollar verantwortlich sein soll. Davon sollen über 15,4 Millionen US-Dollar allein von einem einzigen, diesem Akteur zum Opfer gefallenen Unternehmen stammen.
3. Techniken
   „Business E-Mail Compromise“ (BEC) und „Business E-Mail Spoofing“ (BES), also die Nutzung von geschäftlichen E-Mails zu Kompromittierungs- und Betrugszwecken, seien zwei Techniken, die vor Kurzem an Beliebtheit gewonnen hätten.
   Hierzu würden Domains erstellt, um legitime Unternehmen nachzuahmen. Es würden „Krypter“ verwendet, um gängige Malware zu verbergen, und andere Methoden, um innerhalb eines Opfernetzwerks Fuß zu fassen. Sobald dies gelingt, kämen Social-Engineering-Methoden zum Einsatz, um die Opfer bei der Autorisierung elektronischer Banküberweisungen zu täuschen.

Weitere Informationen zum Thema:

paloalto Networks / Unit 42
„SilverTerrier: The Next Evolution in Nigerian Cybercrime“

paloalto Networks auf YouTube, 03.11.2016
SILVERTERRIER: The Next Evolution in Nigerian Cybercrime (Unit 42)