Ein millionenschwerer Raubzug scheitert
Janne Kauhanen, Sicherheitsexperte bei F-Secure, staunte nicht schlecht: „Drei Millionen Euro sind eine Menge Geld. Irgendetwas lag da im Argen.“ Das ist die Geschichte eine Cyber-Attacke. Nur durch Glück und aktives Sicherheitsbewusstsein nach dem Zwischenfall sind die Betrüger gescheitert.
Cyberkriminelle hatten sich ein Investmentunternehmen als Ziel ausgesucht, die nach einem abgeschlossenen Auftrag eine Überweisung durchführte. Zwei Zahlungen sollten erfolgen, aber nur eine kam an.
Der Alarm wurde durch erhebliche Rechtschreibfehler im Begleitschreiben ausgelöst. Die Übersetzung ins Finnische wies zahlreiche Mängel auf und es waren verschiedene Versionen der Zahlungsinformationen herausgegangen. Zwei der E-Mails waren gleichlautend, aber die dritte Fassung war plötzlich in einer anderen Sprache.
Kahaunen berichtet: „Es gab nur einige Minuten Pause zwischen den gesendeten E-Mails in drei verschiedenen Situationen im Verlauf einiger Stunden. Jemand täuschte vor, ein Firmenangestellter zu sein und schickte die Nachricht noch einmal von einem gehackten Office 365 Konto.“
Der Köder
Die Daten eines der vielen Bankkonten in einer großen Excel-Datei waren geändert worden. Aber bei genau diesem Konto ging es um die Überweisung von drei Millionen Euro.
Die Juristen der Investmentfirma kontaktierten die Experten von F-Secure. Principle Risk Management Consultant Marko Buuri und sein Team machten sich daran, den zeitlichen Ablauf der Geschehnisse zu rekonstruieren. Bei der Untersuchung stellte sich heraus, dass das Office 365 Konto des Angestellten bereits einen Monat vor dem Zwischenfall gehackt worden war.
„Das Konto war kompromittiert worden durch eine auf den ersten Blick korrekte E-Mail über eine Paketsendung. In Wirklichkeit handelte es sich um eine Phishing-Kampagne, bei der eine große internationale Firma als Köder diente“, erklärt Buuri.
Zu diesem Zeitpunkt wurde keine Zwei-Faktor-Authentifizierung eingesetzt. Mittlerweile hat die Investmentfirma auf den Rat von F-Secure hin diese Authentifizierung im Einsatz. Den meisten Unternehmen ist nicht bewusst, wie leicht die Kontrolle über ein Office 365-Konto verloren gehen kann.
Kahaunen erläutert: „Wir wissen nicht, wie das Thema Zwei-Faktor-Authentifizierung in dieser Firma diskutiert und welche Sicherheitsentscheidungen getroffen wurden. Typischerweise gibt es zwei Gründe, warum Unternehmen darauf verzichten.“
„Zunächst kostet es mehr, weil Microsoft dafür zusätzliche Lizenzgebühren verlangt. Außerdem erfordert Zwei-Faktor-Authentifizierung Training, Einweisung und Support, wenn es eingerichtet wird. Die Implementierung ist nicht einfach und für die Anwender ist es unangenehm.“
Verschwundenes Passwort
Die Cyberkriminellen versuchten noch andere Angestellte in der Investmentfirma zu täuschen, fielen damit aber auf die Nase. Kahaunen stellt fest, dass Angestellten oft nicht bewusst ist, dass Phishing-Kampagnen ernste Konsequenzen haben können.
„Angestellte verwenden oft dasselbe Passwort für unterschiedliche Fälle und Services. Angreifer nutzen Wörterbücher mit typischen Passwörtern und versuchen damit Unternehmenskonten zu knacken. Irgendwann haben sie damit Erfolg“, so Buuri.
Die meisten dieser Attacken erfolgen über Phishing. „Der Angestellte klickte auf den Link in der vermeintlichen Mail von DHL und öffnete eine Website. Diese sah wie eine gewöhnliche Anmeldeseite von Office 365 aus. Ein Normalnutzer kann eine echte nicht von einer gefälschten Anmeldeseite unterscheiden. Nachdem der Anwender seine Kontoinformationen eingegeben hatte, war das Passwort verschwunden. So ein Fehler kann den meisten von uns passieren“, berichtet Kahaunen.
Die Experten von F-Secure analysierten die E-Mails, die zwischen Investmentfirma und Bank hin und her gegangen waren. Außerdem wurden die Anmeldeaktivitäten auf die Office 365-Konten in der Cloud und die benutzte Hardware überprüft.
Gründliche Überprüfung
„Wir untersuchten den Laptop im Hinblick auf Keylogger. Zu diesem Zeitpunkt wäre es noch reine Spekulation gewesen, sich rein auf Phishing zu konzentrieren und den PC außer Acht zu lassen. Wir konnten die Aktivität des Nutzers in seinem Webbrowser rekonstruieren. Dabei sind wir auf die Phishing-Mail und die Eingabe der Zugangsdaten gestoßen,“ berichtet Buuri.
So konnten die Ermittler den genauen Hergang aufklären.
„Wir mussten davon ausgehen, dass alle E-Mails für einen Zeitraum von zweieinhalb Jahren verloren waren. In den Mails waren ebenso Kontaktinformationen enthalten. Auch Scans der Ausweise befanden sich unter den verlorenen Mails, weil dies beruflich erforderlich war.“
Die betroffene Person wurde von den Betrügern gezielt ausgewählt, weil sie dessen Rolle korrekt identifiziert hatten. Über Services wie LinkedIn kann eine Mailadresse oft richtig abgeleitet werden.
Nachdem ein Account gehackt ist, benutzen die Angreifer diesen, um Diskussionen zu verfolgen. Wenn sie eine besonders interessante Spur finden, folgen sie dieser und versuchen, die Angestellten in die Falle zu locken.
„Zum Beispiel könnten Hacker auf eine aktuelle Diskussion eingehen und darauf antworten. Dabei profitieren sie vom gegenseitigen Vertrauen der Diskussionsteilnehmer. Beide Parteien wissen, dass sie sich vor kurzem ausgetauscht haben und um welches Thema es ging. Wenn auf einen Link hingewiesen wird, klickt man darauf, weil man weiß, dass darüber gesprochen wurde,“ betont Kahaunen.
Das schwächste Glied
Die Experten von F-Secure gaben den Verantwortlichen der Investmentfirma klare Kriterien zur Verifizierung anderer Hacks.
„Wir rieten ihnen, alle Office 365-Konten zu überprüfen und dabei auf bestimmte Settings zu achten. Wenn sich diese Einstellungen auf einem Konto befinden, ist dies ein wichtiger Hinweis darauf, dass es kompromittiert sein könnte“, berichtet Buuri.
Zwar fanden sich keine entsprechenden Hinweise, aber es erging die Anweisung an alle Angestellten, ihr Passwort zurückzusetzen und nicht auf Links in E-Mails zu klicken. So sollte die Bedrohung eingedämmt werden.
„Die Firma hat sich an unseren Rat gehalten. Dies hat sich als richtig erwiesen, weil der betreffende Angestellte sofort wieder dieselbe Mail erhalten hat, nachdem er sein Passwort zurückgesetzt hatte. Also hat jemand versucht, erneut Zugang zu erlangen“, so Buuri. Die Firma habe sich nichts vorzuwerfen und niemand weise mit dem Finger auf den Angestellten. „Zu einem Menschen kann man immer durchdringen“, bedauert Kahaunen.
Aber im Zusammenhang mit diesem Zwischenfall stellen sich einige Fragen. Die erste ist, warum Excel für eine so hochwertige Transaktion verwendet wurde.
Kahaunen erklärt die Situation: „Geldüberweisungen per Excel in einer Mail sind allgemein üblich. Aber vielleicht sollte sich die Finanzbranche überlegen, ob es nicht einen besseren Weg gibt, als Transaktionen einfach über E-Mail.“
Verschleierte Identität
Die Diebe hatten sich gründlich vorbereitet und wachten ständig darüber, dass die richtige Information ans Tageslicht kam, mit der sie ihr Verbrechen ausführen konnten. Sie beobachteten Tag und Nacht den E-Mail-Verkehr.
Sie verschleierten ihre Identität, aber dem Team von F-Secure gelang es, die verschiedenen IP-Adressen, die für den Angriff benutzt wurden, auf einen Internet Service Provider (ISP) aus Nigeria zurückzuverfolgen.
„Natürlich können wir nicht sagen, wer sie waren oder ob sie sich überhaupt in Nigeria aufhielten. Sie könnten geknackte Computer dieses ISPs für eine bestimmte Spannbreite an Adressen in Nigeria eingesetzt haben. Aber wenn sie nicht mehrere geknackte Computer verwendet haben, sieht es so aus, als seien sie über diesen nigerianischen ISP gekommen“, erklärt Buuri.
Glücklicherweise konnte ein schwerer finanzieller Schaden verhindert werden. Die Investmentfirma hat die gesendeten drei Millionen Euro binnen einiger Stunden zurückerhalten, weil sich die Währung von Absender und Empfänger unterschieden. Das Geld wurde in einem Wartekonto eingefroren, während der Devisenhandel (Forex-Trading) überprüft wurde. „Aber die Betrüger hätten fast Erfolg gehabt“, resümiert Buuri.
Kategorien