Nachdem die Silicon Valley Bank von der US-amerikanischen Einlagensicherungsbehörde geschlossen wurde, folgte wenige Tage später die Nachricht vom Bankrott der Credit Suisse. Diese Turbulenzen sorgen für Unruhe in den Märkten, Angst vor einer neuen Bankenkrise und großer Unsicherheit bei Unternehmen, die ihr Vermögen bei diesen Geldinstituten angelegt haben. Bedrohungsakteure warten nur auf eben solche Ereignisse mit großer wirtschaftlicher, geopolitischer oder sozialer Tragweite, um diese für ihre Zwecke auszunutzen.
Es ist daher davon auszugehen, dass Bedrohungsakteure wie schon bei früheren Krisen – Stichwort Corona-Pandemie – auch das aktuelle Bankenbeben nutzen werden, um gezielte Social-Engineering-Angriffe zu fahren – auf Kunden der beiden Banken, auf ehemalige Mitarbeitende, aber auch auf Unternehmen und Personen, die bisher nicht direkt mit einer der beiden Geldinstitute in Kontakt standen.
SVB und Credit Suisse im Betreff? – Besser erst mal nicht klicken
Kunden und Mitarbeitende befinden sich aktuell in einer prekären Lage, in der sie angesichts von Zusammenbruch und Übernahme nicht genau wissen, was sie tun müssen, um ihr Geld zurückzuerhalten und wie die nächsten Schritte aussehen. Dies macht sie anfällig dafür, auf Anfragen einzugehen, die sie unter anderen Umständen sofort als verdächtig eingestuft hätten. Es ist unklar, wer in dieser Ausnahmesituation welche Anweisungen gibt, sodass Kunden und Mitarbeitende eher dazu geneigt sind, eine E-Mail mit „SVB“ oder „Credit Suisse“ in der Betreffzeile zu öffnen.
Doch auch Personen, die nicht direkt mit einer der beiden Banken in Verbindung stehen, müssen wachsam sein, denn Angriffe, die sich auf die beiden Geldinstitute beziehen, sind höchstwahrscheinlich schon auf dem Weg in die digitalen Posteingänge. Cyberkriminelle tarnen sich dabei mit den Namen anderer Banken oder Organisationen und geben die aktuelle Krise als Grund an, warum sie außerhalb der normalen Anfragen oder Praktiken handeln, zum Beispiel indem sie nach persönlichen Daten erfragen oder User dazu auffordern, auf einen Link zu klicken.
Maliziöses Krisen-Cash-Modell: Angriffe auf geschäftliche E-Mail-Accounts
Der wahrscheinlichste Angriffsvektor sind dabei Phishing-E-Mails, bei denen die Angreifer eine falsche Identität vorgeben: als Bankenvertreter, staatliche Stellen oder im Falle von Organisationen, die keine direkte Verbindung zu den Kreditanstalten hatten, als deren Hausbank oder Lohnbuchhaltung. So schieben sie zum Beispiel wachsende Bedenken bezüglich der Zunahme von Betrügereien im Zuge der Bankenkrise vor und fordern dazu auf, Zugangs- und Kontodaten zu „aktualisieren“, um „Sicherheit zu gewähren“. Auch übermitteln sie vermeintlich neue Banküberweisungsdaten, die natürlich zu ihren eigenen Konten gehören. Am Ende geht es immer um den finanziellen Profit der Bedrohungsakteure.
Bei dieser Art von Angriffen spricht man von Business E-Mail Compromise (BEC). Der Arctic Wolf Labs Threat Report, der globale Bedrohungs-, Malware-, digitale Forensik- und Incident-Response-Falldaten auswertet, hat für das vergangene Jahr einen deutlichen Zuwachs der BEC-Angriffe verzeichnet. So machten Attacken auf geschäftliche E-Mail-Accounts deutlich mehr als ein Viertel (29 Prozent) der Incident-Response-Vorfälle aus. Grund für diese Entwicklung ist neben krisenhaften Zeiten auch, dass Regierungen weltweit den Kampf gegen Ransomware intensiviert haben und Bedrohungsakteure sich nun auf alternative „Cash-Modelle“ besinnen, um ihre Kassen zu füllen. Und das vielfach mit Erfolg.
Soziale Medien: eine Einladung für Social Engineers
Social Media ist hervorragend, um auch beruflich mit Menschen in Kontakt zu bleiben. Allerdings erleichtern LinkediN und Co. „die Arbeit“ der Bedrohungsakteure. Sie können Mitarbeitende in Finanz- oder Entscheidungspositionen mit wenigen Klicks identifizieren und gezielt mit Phishing-E-Mails angehen. Zusätzliche Glaubwürdigkeit verschaffen sie sich, indem sie beispielsweise Kontakte aus dem eigenen Unternehmen oder der Bank referenzieren.
Wie Unternehmen sich jetzt schützen können
Business E-Mail Compromise und auch anderen Formen von Social Engineering begegnet man besten, indem man alle Mitarbeitende umfassend für das Vorgehen der Bedrohungsakteure sensibilisiert: Wie können Phishing E-Mails aussehen? Was sind die beliebtesten Maschen der Angreifer? Neben Schulungen, die regelmäßig und unterhaltsam das nötige Wissen vermitteln, braucht es eine Sicherheitskultur im Unternehmen, die dazu ermuntert „aktiv vorsichtig zu sein“. Mitarbeitende sollten nicht zögern, Vorfälle auch bei nur kleinsten Zweifeln zu melden – unbekannte Absender, unbekannte Links oder Nachrichten über untypische Kommunikationskanäle. Zusätzliche Vorsicht ist geboten, wenn der Sender einer Nachricht ein unverhältnismäßiges Maß an Dringlichkeit suggeriert und mit Ängsten und Sorgen spielt. In Zeiten, in denen mit verstärkten Angriffsversuchen zu rechnen ist, gilt mehr denn je der Grundsatz: Better safe than sorry!
Weil Business E-Mail Compromise darauf abzielt, Zahlungen an betrügerische Konten zu veranlassen, sind die Finanzabteilungen in besonderem Maß zu Wachsamkeit angehalten. Teams, die finanzielle Transaktionen bearbeiten, sollten jederzeit genau wissen, wie Überweisungsanfragen auszusehen haben, wann diese legitim sind und von wem sie gestellt werden dürfen. Außerdem sollte bei Erhalt von Zahlungsanweisungen – insbesondere bei hohen Summen – die Berechtigung des Auftrags über mindestens einen weiteren abgesicherten Kanal geprüft werden, etwa durch telefonische Rücksprache mit dem angeblichen Auftraggeber. Dabei sollten nur offizielle, überprüfte Kommunikationskanäle und Kontaktdaten zum Einsatz kommen. Rufen Sie aber auf keinen Fall bei einer Bank oder Organisation unter einer Nummer an, die Sie gerade erst per E-Mail erhalten haben.
FAZIT
Die aktuelle Bankenkrise ist ganz sicher nicht das letzte Mal, dass Cyberkriminelle die Unsicherheit einer Krise ausnutzen. Umso wichtiger ist es, dass Unternehmen das Bewusstsein für Cybersicherheit und mögliche Bedrohungen bei ihren Mitarbeitenden wachhalten und damit ein stabiles Fundament für eine langfristige und performante Sicherheitsstrategie setzen.
Ian McShane ist Vice President of Strategy bei Arctic Wolf
