Von Stu Sjouwerman, CEO bei KnowBe4
Wenn es böswilligen Akteuren gelingt, das eigene Netzwerk und die Apps von Google zu nutzen, um ein weitverbreitetes Phishing-Schema auszuführen, oder Ransomware mit einem Exploit-basierten Netzwerkwurm zu verschmelzen, hat das massive Auswirkungen auf die IT-Sicherheitsbranche.
Ältere, weniger ausgeklügelte Phishing-Programme behalten ihre Fähigkeit, gezielt Unternehmen und -Organisationen Schaden zuzufügen. Dafür nutzen die Cyberkriminellen Social-Engineering-Programme und spionieren Mitarbeiter aus, die allzu viele Aspekte ihrer Arbeit als reine Routine ansehen und nicht auf Auffälligkeiten achten.
Im Folgenden untersuchen wir ein bestimmtes Angriffs-Schema, das per E-Mail gegen Unternehmen und Organisationen der Luftfahrtindustrie durchgeführt wurde. Eine Phishing-Kampagne, die seit mindestens 2010 durchgeführt wird. Obwohl nur wenige Daten darüber vorliegen, wie erfolgreich diese Kampagne war, verfolgen die Cyberkriminellen diese weiter und scheinen einen gewissen Erfolg damit zu haben. Noch wichtiger ist jedoch, dass diese Kampagne eine Blaupause für die Durchführung ähnlicher zielgerichteter, branchenspezifischer Phishing-Kampagnen bietet.
Was ist Eurocontrol?
Dieses spezielle Vertrauensschema ist eine Variation des typischen CEO-Frauds oder Business E-Mail Compromise Phishings. Einige Merkmale ähneln dem inzwischen berüchtigten 419 Scam und anderen Gebührenbetrugsmaschen. Sie richtet sich an Unternehmen und Organisationen, die in der Luftfahrtindustrie tätig sind, und nutzt die routinemäßige Abrechnung, um Zugriff auf Daten von Eurocontrol zu erhalten.
Eurocontrol ist die Europäische Organisation für Sicherheit in der Luftfahrt. Auf der Webseite heißt es: „EUROCONTROL ist eine zwischenstaatliche Organisation mit 41 Mitgliedstaaten und zwei Staaten mit umfassenden Abkommen. Wir sind entschlossen, gemeinsam mit unseren Partnern einen einheitlichen europäischen Luftraum zu schaffen, der die für das 21. Jahrhundert und darüber hinaus erforderliche Leistung des Flugverkehrsmanagements (ATM) erbringen wird.“
Das Unternehmen Eurocontrol erbringt eine Reihe von Flugverkehrsmanagement-Dienstleistungen für Flughäfen im Rahmen größerer Anstrengungen zur Schaffung eines effizienten, integrierten Flugverkehrsmanagementsystems (ATM) für ganz Europa. Fluggesellschaften und Luftverkehrsdienstleister, die regelmäßig Flughäfen von Eurocontrol anfliegen, werden von Eurocontrol regelmäßig mit Strecken- und Terminalgebühren belastet.
Es ist dieser routinemäßige, regelmäßige Rechnungsstellungsprozess, der die Aufmerksamkeit der Bösewichte auf sich zog. Sie versuchten in diesen Prozess einzugreifen und sich betrügerisch an den getätigten Zahlungen zu bedienen, die zu Recht an Eurocontrol für erbrachte ATM-Dienste gehen sollten.
Der Eurocontrol Phishing-Angriff
In diesem Zusammenhang versenden böswillige Akteure branchenspezifische Phishing-Kampagnen, die sich als E-Mails von Eurocontrol-Mitarbeitern tarnen und an ausgewählte Mitarbeiter (in der Regel in den Bereichen Buchhaltung oder Finanzen) von Fluggesellschaften und Luftverkehrsdienstleistern verschickt wurden. Das Kampagne versucht die betroffenen Mitarbeiter davon zu überzeugen, dass sich die Zahlungsprozesse bei Eurocontrol in letzter Zeit geändert haben und dass zukünftige Zahlungen auf ein aktualisiertes Bankkonto überwiesen werden sollten, das natürlich von den Bösewichten selbst kontrolliert wird.
Es gibt zwei grundlegende Varianten der ersten E-Mail, die die betroffenen Mitarbeiter erhalten: die Kurzversion und die Langversion. Die Kurzfassung fordert die Mitarbeiter lediglich dazu auf, die Bösewichte (die sich als Eurocontrol-Mitarbeiter ausgeben) zu informieren, wenn sie eine neue Rechnung von Eurocontrol erhalten:
Mitarbeiter, die wie gewünscht reagieren, können damit rechnen, an einem E-Mail-Austausch teilzunehmen, bei dem, die Verbrecher „aktualisierte“ Zahlungsanweisungen zur Verfügung stellen. In der längeren Version dieser Phishing-Version wird den Mitarbeitern mitgeteilt, dass die Zahlung auf den neuesten Eurocontrol-Rechnungen nicht eingegangen ist, und dass sie mit aktualisierten Zahlungsanweisungen für ein neues Bankkonto rechnen müssen:
Eine seltenere Version des längeren Phishings sieht vor, dass die Verbrecher einfach direkt zum Hauptpunkt, den aktualisierten Bankverbindungen, übergehen:
Viele Leser werden Ähnlichkeiten zwischen dem Eurocontrol-Phishing und dem CEO-Fraud oder dem Business Email Compromise Phishing wie dem allgegenwärtigen Wire Fraud Phishing und dem W-2 Phishing erkennen. Der wesentliche Unterschied besteht natürlich darin, dass die Verbrecher hier nicht vom Präsidenten oder CEO eines Unternehmens, sondern von einer externen Organisation, mit der die betroffenen Mitarbeiter bereits vertraut sein sollten, kommen.
Wie es funktioniert:
Bei den Eurocontrol-Phishings konnte festgestellt werden, wie die Verbrecher eine Reihe von Techniken eingesetzt haben, um diese Kampagne zu un terstützen:
- Die Verbrecher täuschen oft vor, echte Eurocontrol-Mitarbeiter zu sein, deren persönliche Daten und Position tatsächlich auf den Webseiten von Eurocontrol gefunden werden können. Tatsächlich können die Mitarbeiter bereits in früheren Gesprächen mit den realen Eurocontrol-Personen kommuniziert haben. Selbst wenn sie nicht vortäuschen die tatsächlichen Mitarbeiter von Eurocontrol zu sein, setzen die Verbrecher alles daran, überzeugend zu wirken, indem sie vollständige, detaillierte E-Mail-Signaturblöcke mit sorgfältig ausgewählten Personennamen verwenden, die vage europäisch klingen.
- Die Verbrecher verwenden oft anonym registrierte, gefälschte Eurocontrol-Domains. Die eigentliche Domäne von Eurocontrol ist eurocontrol.int, es wurden jedoch unter anderem die folgenden gefälschten Eurocontrol-Domänen verwendet:
eurocontrolt.net
eurocontrolint-eu.com
eurocontrolont.ml
eurcontrolint.net
eurocontrolinc.com
Manchmal sind die Verbrecher faul genug, um direkt von Gmail oder anderen kostenlosen E-Mail-Konten aus zu mailen. Aber auch dann werden sie versuchen, die echte Eurocontrol-Domäne zu manipulieren und Mitarbeiter, die die tatsächliche E-Mail-Adresse, auf die sie antworten, nicht überprüfen, können trotzdem in die Falle tappen.
- Eurocontrol-Phishings sind oft durch schlechte Rechtschreibung, Interpunktion und Grammatik gekennzeichnet, wie einige der oben aufgeführten Beispiele zeigen.
- Eurocontrol-Phishings sind auch durch eine ausgeklügelte, übertrieben formale Sprache gekennzeichnet – etwas, das die Mitarbeiter skeptisch machen sollte, die mit dem einfachen, knappen und punktgenauen Stil der westlich orientierten Geschäftskorrespondenz vertraut sind:
Es ist diese seltsame Eigenschaft, die eine Art Verbindung zu den 419scam-Betrügereien und anderen Phishing-Angriffen suggeriert. Der vielleicht bemerkenswerteste Aspekt dieses Vertrauenssystems ist jedoch, dass es sich darauf stützt, dass die Mitarbeiter selbst das Rohmaterial für böswillige Akteure bereitstellen, indem sie in den sozialen Medien so viele Informationen über sich selbst preisgeben. Wenn leichtgläubige Mitarbeiter auf eine erste Phishing-E-Mail von Eurocontrol mit Daten über die neuesten Rechnungen, die sie von der echten Eurocontrol erhalten haben, reagieren. Wenn sie sogar Kopien dieser Rechnungen sowie Kopien früherer E-Mails bereitstellen, geben sie den Bösewichten einfach alle Werkzeuge an die Hand, um diesen Phishing-Angriff zu einem erfolgreichen Abschluss zu bringen.
Warum kommen die böswilligen Akteure mit dieser Masche ungeschoren davon? Die Antwort ist einfach: Weil sie sich auf die Tatsache verlassen können, dass allzu viele Mitarbeiter, die sie ansprechen, alles, was mit der Rechnungsstellung von Eurocontrol zu tun hat, für routinemäßig und alltäglich halten. Alle diese Vorgänge bedürfen keiner erhöhten Aufmerksamkeit oder Kontrolle. Mitarbeiter, die sich an bestimmte Phishing-Angriffe gewöhnt haben, die auf regelmäßige Tätigkeiten ihrer Arbeit abzielen, sind eine Bedrohung für jedes Unternehmen – besonders wenn diese Mitarbeiter in der Lage sind, hart verdientes Geld in die Hände von Betrügern zu geben.
Langweilig, Low-Tech, aber immer noch tödlich
Der Phishing-Angriff via Eurocontrol ist seit mindestens sieben Jahren bekannt. Welche Lehren lassen sich nun daraus ziehen? Erstens bleiben ältere, einfachere Phishing-Programme eine Bedrohung für Unternehmen und Organisationen, auch wenn Ransomware und andere technisch bemerkenswerte Angriffe die Aufmerksamkeit der Sicherheitsbranche auf sich ziehen. Mitarbeiter und IT-Abteilungen müssen wachsam bleiben.
Zweitens bleiben routinemäßige, alltägliche Abrechnungsprozesse ein Ziel für böswillige Akteure. Viele der betroffenen Mitarbeiter achten bei der Bearbeitung von Rechnungen nicht, ob diese tatsächlich von den Unternehmen und Organisationen stammen, mit denen sie im Kontakt stehen. Der Eurocontrol-Phish kann also tatsächlich eine Blaupause für ähnlich gezielte, branchenspezifische Phishing-Angriffe liefern.
Fazit
Schließlich ist eine Security Awareness-Schulung der Mitarbeiter ein Muss. Wenn Mitarbeiter mit erfahrenen böswilligen Akteuren konfrontiert werden, die versuchen, Gelder von Unternehmen zu stehlen, benötigen diese Mitarbeiter ein Security Awareness-Training der neuen Schule. Diese Art von Training hilft Mitarbeitern, zu erkennen, wann sie angegriffen werden, indem sie ihnen beibringen, wichtige Merkmale von Phishing-E-Mails zu erkennen. Simulierte Phishing-Kampagnen unterstützen die Mitarbeiter darin, Fortschritte bei der Erkennung dieser Phishing-E-Mails zu machen und diese auch Unternehmensweit vergleichbar zu messen.