Phishing-Angriffe sind ein beliebter Angriffsvektor für Cyberkriminelle, da sie einfach und effektiv sind. Eine gut gestaltete Phishing-E-Mail ist viel einfacher zu entwickeln als ein Zero-Day-Exploit, kann jedoch die gleichen negativen Auswirkungen haben. Diese Angriffe zielen darauf ab, die menschliche Natur auszunutzen. Menschen möchten hilfreich sein, Autoritäten gehorchen und neigen eher dazu, weniger vorsichtig zu sein, wenn sie in Eile sind oder unter Stress stehen.
Phisher machen sich diese und weitere Faktoren bei ihren Angriffen zunutze, und Phishing-E-Mails können in verschiedenen Formen auftreten. Während einige Phishing-Angriffe ein weites Netz auswerfen, sind andere (z. B. Spear-Phishing-Angriffe) sehr auf ihr Ziel zugeschnitten. In manchen Fällen verkörpert ein Angreifer eine Autoritätsperson oder eine andere vertrauenswürdige Partei, um sein Ziel zu erreichen.
Phishing-Angriffe beschränken sich nicht nur auf E-Mails. Angreifer können Unternehmensplattformen für die Zusammenarbeit und Kommunikationsanwendungen auf mobilen Geräten nutzen, um ihre Angriffe durchzuführen.
Die fünf hier beschriebenen Angriffe erforderten von den Angreifern wenig technisches Geschick, ermöglichten ihnen aber, einer Organisation Dutzende Millionen Dollar zu stehlen.
Zwischen 2013 und 2015 wurden Facebook und Google durch eine ausgedehnte Phishing-Kampagne um 100 Millionen US-Dollar betrogen . Der Phisher machte sich die Tatsache zunutze, dass beide Unternehmen Quantum, ein in Taiwan ansässiges Unternehmen, als Anbieter nutzten. Der Angreifer schickte eine Reihe gefälschter Rechnungen an das Unternehmen, das sich als Quantum ausgab, die sowohl Facebook als auch Google bezahlten.
Schließlich wurde der Betrug entdeckt und Facebook und Google gingen über das US-Rechtssystem vor. Der Angreifer wurde festgenommen und aus Litauen ausgeliefert. Als Ergebnis des Gerichtsverfahrens konnten Facebook und Google 49,7 Millionen US-Dollar der ihnen gestohlenen 100 Millionen US-Dollar zurückerhalten.
Die Crelan Bank in Belgien wurde Opfer eines Kompromittierung von Geschäfts-E-Mails (BEC)-Betrugs, der das Unternehmen etwa 75,8 Millionen US-Dollar kostete. Bei dieser Art von Angriff kompromittiert der Phisher das Konto einer hochrangigen Führungskraft innerhalb eines Unternehmens und weist seine Mitarbeiter an, Geld auf ein vom Angreifer kontrolliertes Konto zu überweisen. Der Phishing-Angriff auf die Crelan Bank wurde bei einem internen Audit entdeckt und die Organisation konnte den Verlust verkraften, da sie über ausreichende interne Reserven verfügte.
Auch FACC, ein österreichischer Hersteller von Luft- und Raumfahrtteilen, hat durch einen BEC-Betrug einen erheblichen Geldbetrag verloren. Im Jahr 2016 gab die Organisation den Angriff bekannt und enthüllte, dass ein Phisher, der sich als CEO des Unternehmens ausgab, einen Mitarbeiter der Buchhaltung angewiesen hatte , 61 Millionen US-Dollar auf ein vom Angreifer kontrolliertes Bankkonto zu überweisen.
Dieser Fall war insofern ungewöhnlich, als die Organisation sich entschied, ihren CEO und CFO zu entlassen und rechtliche Schritte gegen sie einzuleiten. Das Unternehmen forderte von den beiden Führungskräften Schadensersatz in Höhe von 11 Millionen US-Dollar, weil sie es versäumt hatten, Sicherheitskontrollen und interne Überwachung ordnungsgemäß umzusetzen, die den Angriff hätten verhindern können. Diese Klage verdeutlichte das persönliche Risiko für die Führungskräfte der Organisation, wenn sie die „Due Diligence“ in Bezug auf Cybersicherheit nicht einhalten.
Im Jahr 2014 führte ein BEC-Angriff auf ein Pharmaunternehmen aus Minnesota zu einem Verlust von über 39 Millionen US-Dollar für die Angreifer. Der Phisher gab sich als CEO von Upsher-Smith Laboratories aus und schickte E-Mails an den Kreditorenkoordinator der Organisation mit der Anweisung, bestimmte Überweisungen zu senden und den Anweisungen eines „Anwalts“ zu folgen, der mit den Angreifern zusammenarbeitet.
Der Angriff wurde mittendrin entdeckt, sodass das Unternehmen eine der neun gesendeten Überweisungen zurückrufen konnte. Dadurch sanken die Kosten für das Unternehmen von 50 Millionen US-Dollar auf 39 Millionen US-Dollar. Das Unternehmen beschloss, seine Bank wegen der Überweisungen zu verklagen, trotz zahlreicher übersehener „Red Flags“.
Im Jahr 2015 wurde Ubiquiti Netzwerk, ein in den USA ansässiges Unternehmen für Computernetzwerke, Opfer eines BEC-Angriffs, der das Unternehmen 46,7 Millionen US-Dollar kostete (von denen das Unternehmen eine Rückerstattung von mindestens 15 Millionen US-Dollar erwartete). Der Angreifer gab sich als CEO und Anwalt des Unternehmens aus und wies den Chief Accounting Officer des Unternehmens an, eine Reihe von Überweisungen vorzunehmen, um eine geheime Übernahme abzuschließen. Innerhalb von 17 Tagen führte das Unternehmen 14 Überweisungen auf Konten in Russland, Ungarn, China und Polen durch.
Ubiquiti wurde erst auf den Vorfall aufmerksam, als das FBI mitteilte, dass das Bankkonto des Unternehmens in Hongkong möglicherweise Opfer eines Betrugs geworden sei. Dies ermöglichte es dem Unternehmen, künftige Überweisungen zu stoppen und zu versuchen, so viel wie möglich von den gestohlenen 46,7 Millionen US-Dollar zurückzugewinnen (was etwa 10 % der Barmittelposition des Unternehmens ausmachte).
Die hier beschriebenen kostspieligen Phishing-Angriffe erforderten vom Angreifer kein großes Geschick. Eine kleine Recherche über ein Unternehmen brachte die Identität wichtiger Personen (CEO, CFO usw.) und Lieferanten ans Licht. Die Angreifer nutzten diese Informationen, um glaubwürdige E-Mails zu verfassen, die ihre Ziele dazu verleiteten, Geld auf vom Angreifer kontrollierte Bankkonten zu senden.
Während einige Phishing-Angriffe darauf abzielen, Schadsoftware einzuschleusen, weshalb eine Endgerätesicherheitslösung unerlässlich ist, ist dies nicht immer der Fall. Alle hier beschriebenen Angriffe enthielten keine schädlichen Inhalte, die von einem Antivirenprogramm abgefangen würden.
Um sich vor diesen Angriffen zu schützen, benötigt ein Unternehmen eine Anti-Phishing- Lösung, die in der Lage ist, BEC-Angriffe durch Analyse des Textkörpers einer E-Mail zu erkennen. Um mehr über die E-Mail-Sicherheitslösungen von Check Point zu erfahren und wie diese Ihr Unternehmen vor der Phishing-Bedrohung schützen können, kontaktieren Sie uns. Fordern Sie dann eine Vorführung an , um die Lösung in Aktion zu sehen.