Bei Cyberangriffen per E-Mail denken die meisten an die vielen Phishing-Versuche, mit denen jeder Benutzer laufend konfrontiert ist. Im vorliegenden Fall hackten die Angreifer aber Outlook Web App (OWA) über eine Brute-Force-Attacke und nutzten ein kompromittiertes Mail-Konto, um eine größere Transaktion auf ihr Bankkonto umzuleiten.
Im ersten Schritt versuchten die Hacker, Zugang zu einem Mail-Konto aus der Finanzabteilung eines Lieferanten zu erhalten. Damit würden sie dann einen großen Kunden dieser Firma kontaktieren und diesen über eine angebliche Änderung der Bankverbindung des Lieferanten benachrichtigen. Der Betrag für eine ausstehende Rechnung sollte dann dorthin überwiesen werden.
Da die kriminellen Akteure die Korrespondenz des betreffenden Mitarbeiters in der Finanzabteilung mitlesen konnten, waren sie über fällige Zahlungen informiert und konnten gegenüber dem Opfer eine legitime Forderung geltend machen.
OWA als Angriffsziel
Die Hacker suchten offenbar gezielt nach Unternehmen, deren Outlook Web App (OWA) von außen direkt zugänglich ist. Dies lässt sich durch Scannen eines größeren IP4-Bereichs auf Port 443 relativ leicht herausfinden. Tools wie Shodan erleichtern diese Aufgabe.
Wenn die Anmeldung an OWA über die Mail-Adresse erfolgt, dann müssen Angreifer diese für die betreffende Zielperson ermitteln. Eine naheliegende Methode besteht darin, in Google nach Informationen über Mitarbeiter dieser Firma zu suchen und so das Muster herauszufinden, nach dem die Mail-Adressen aufgebaut sind (zum Beispiel Vorname.Nachname@firma.com).
Bei Exchange können sich Hacker dessen Eigenart zunutze machen, dass die Antwortzeit bei nicht existierenden Konten verschieden lang ist, je nachdem ob das Adressformat stimmt oder nicht.
Eine weitere Quelle sind Metadaten in Office-Dokumenten. Wenn Unternehmen etwa PowerPoint-Präsentationen über ihre Website publizieren, ohne diese zu bereinigen, dann können potenzielle Angreifer daraus Benutzernamen entnehmen, die oft alternativ zur Mail-Adresse für die Anmeldung verwendet werden.
Kennwörter als Schwachpunkt
Sind die Cyberkriminellen bis hierher vorgedrungen, dann werden sie jetzt versuchen, die Passwörter zu knacken. Im konkreten Fall nutzten sie einen Brute-Force-Angriff, bei dem typischerweise Dictionaries und Listen mit kompromittierten Kennwörtern zum Einsatz kommen.
Anstatt einzelne Accounts mit zahlreichen Login-Versuchen zu bombardieren, die der Systemverwaltung auffallen könnten, verlegen sich Angreifer oft auf das Password Spraying. Dabei werden häufig verwendete (triviale) Passwörter bei vielen Benutzern ausprobiert, so dass pro Konto nur wenige fehlgeschlagene Anmeldeversuche auflaufen.
Um solchen Attacken vorzubeugen, können IT-Verantwortliche mit dem kostenlosen Specops Password Auditor prüfen, ob alle Benutzer im Active Directory starke Passwörter verwenden. Das Tool untersucht die Hashes nach allen möglichen Kriterien und vergleicht sie zusätzlich mit einer langen Liste kompromittierter Kennwörter.
Schwache Passwörter verhindern
Die Diagnose des Ist-Zustands kann aber nur ein erster Schritt sein. Entscheidend sind Maßnahmen, um den Einsatz leicht zu erratender Passwörter zu verhindern.
Specops Software bietet dafür ein Tool namens Password Policy an. Es erweitert die Passwortrichtlinien des Active Directory, so dass Admins triviale und unerwünschte Kennwörter über diverse Regeln ausschließen zu können.
Wenn Benutzer ihre Passwörter wechseln (müssen), kann Password Policy diese anhand einer Liste mit Milliarden kompromittierter Kennwörter prüfen. Die Bedeutung dieses Features erschließt sich aus dem obigen Fallbeispiel für einen erfolgreichen Brute-Force-Angriff.
Specops Software stellt eine kostenlose 30-Tage-Demo von Password Policy auf seiner Website zur Verfügung.
Detaillierte Analyse des Angriffs
Eine Aufzeichnung des Webinars, in dem der Sicherheitsexperte Dr. Siegfried Rasthofer den erfolgreichen Cyber-Betrug ab Minute 7:00 im Detail erklärt, können Sie im folgenden Video ansehen. Er benennt auch Maßnahmen, mit denen sich die involvierten Unternehmen gegen diesen Angriff hätten schützen können.
*Dies ist ein bezahlter Beitrag von Specops Software.