Millionenschaden durch kompromittierte Business-Mail: Wie gingen die Angreifer dabei vor?

    Login mit Username und PasswortBei Cyberangriffen per E-Mail denken die meisten an die vielen Phishing-Ver­suche, mit denen jeder Benutzer laufend kon­frontiert ist. Im vorliegenden Fall hackten die An­greifer aber Outlook Web App (OWA) über eine Brute-Force-Attacke und nutzten ein kompromit­tiertes Mail-Konto, um eine größere Trans­aktion auf ihr Bank­konto um­zuleiten.

    Im ersten Schritt versuchten die Hacker, Zugang zu einem Mail-Konto aus der Finanzabteilung eines Lieferanten zu erhalten. Damit würden sie dann einen großen Kunden dieser Firma kontaktieren und diesen über eine angebliche Änderung der Bankverbindung des Lieferanten benachrichtigen. Der Betrag für eine ausstehende Rechnung sollte dann dorthin überwiesen werden.

    Da die kriminellen Akteure die Korrespondenz des betreffenden Mitarbeiters in der Finanzabteilung mitlesen konnten, waren sie über fällige Zahlungen informiert und konnten gegenüber dem Opfer eine legitime Forderung geltend machen.

    Ablauf des Cyber-Betrugs, bei dem die Angreifer eine Banküberweisung auf ihr Konto umleiteten

    OWA als Angriffsziel

    Die Hacker suchten offenbar gezielt nach Unternehmen, deren Outlook Web App (OWA) von außen direkt zugänglich ist. Dies lässt sich durch Scannen eines größeren IP4-Bereichs auf Port 443 relativ leicht herausfinden. Tools wie Shodan erleichtern diese Aufgabe.

    Wenn die Anmeldung an OWA über die Mail-Adresse erfolgt, dann müssen Angreifer diese für die betreffende Zielperson ermitteln. Eine naheliegende Methode besteht darin, in Google nach Infor­mationen über Mitarbeiter dieser Firma zu suchen und so das Muster herauszufinden, nach dem die Mail-Adressen aufgebaut sind (zum Beispiel Vorname.Nachname@firma.com).

    Bei Exchange können sich Hacker dessen Eigenart zunutze machen, dass die Antwortzeit bei nicht existierenden Konten verschieden lang ist, je nachdem ob das Adressformat stimmt oder nicht.

    Eine weitere Quelle sind Metadaten in Office-Dokumenten. Wenn Unternehmen etwa PowerPoint-Präsentationen über ihre Website publizieren, ohne diese zu bereinigen, dann können potenzielle Angreifer daraus Benutzer­namen entnehmen, die oft alternativ zur Mail-Adresse für die Anmeldung verwendet werden.

    Kennwörter als Schwachpunkt

    Sind die Cyber­kriminellen bis hierher vorgedrungen, dann werden sie jetzt versuchen, die Passwörter zu knacken. Im konkreten Fall nutzten sie einen Brute-Force-Angriff, bei dem typischerweise Dictionaries und Listen mit kompro­mittierten Kennwörtern zum Einsatz kommen.

    Schritte zur Kompromittierung eines Mail-Accounts in Outlook Web App

    Anstatt einzelne Accounts mit zahlreichen Login-Versuchen zu bombardieren, die der System­verwaltung auffallen könnten, verlegen sich Angreifer oft auf das Password Spraying. Dabei werden häufig verwendete (triviale) Passwörter bei vielen Benutzern ausprobiert, so dass pro Konto nur wenige fehlgeschlagene Anmeldeversuche auflaufen.

    Um solchen Attacken vorzubeugen, können IT-Verantwortliche mit dem kostenlosen Specops Password Auditor prüfen, ob alle Benutzer im Active Directory starke Passwörter verwenden. Das Tool untersucht die Hashes nach allen möglichen Kriterien und vergleicht sie zusätzlich mit einer langen Liste kompro­mittierter Kennwörter.

    Schwache Passwörter verhindern

    Die Diagnose des Ist-Zustands kann aber nur ein erster Schritt sein. Entscheidend sind Maßnahmen, um den Einsatz leicht zu erratender Passwörter zu verhindern.

    Specops Software bietet dafür ein Tool namens Password Policy an. Es erweitert die Passwort­richtlinien des Active Directory, so dass Admins triviale und unerwünschte Kennwörter über diverse Regeln ausschließen zu können.

    Specops Password Policy zeigt dem User beim Wechsel des Passworts an, welchen Vorgaben es genügen muss.

    Wenn Benutzer ihre Passwörter wechseln (müssen), kann Password Policy diese anhand einer Liste mit Milliarden kompromittierter Kennwörter prüfen. Die Bedeutung dieses Features erschließt sich aus dem obigen Fallbeispiel für einen erfolgreichen Brute-Force-Angriff.

    Specops Software stellt eine kostenlose 30-Tage-Demo von Password Policy auf seiner Website zur Verfügung.

    Detaillierte Analyse des Angriffs

    Eine Aufzeichnung des Webinars, in dem der Sicherheits­experte Dr. Siegfried Rasthofer den erfolg­reichen Cyber-Betrug ab Minute 7:00 im Detail erklärt, können Sie im folgenden Video ansehen. Er benennt auch Maßnahmen, mit denen sich die involvierten Unternehmen gegen diesen Angriff hätten schützen können.

    *Dies ist ein bezahlter Beitrag von Specops Software.