GlobalSign Blog

Cyber-Autopsie Teil 4: Facebook & Google über BEC-Angriff im Visier

Cyber-Autopsie Teil 4: Facebook & Google über BEC-Angriff im Visier

Oktober ist traditionell National Cybersecurity Month und EU-Cybersicherheits-Monat. Einen ganzen Monat lang widmen sich Experten, Anbieter sowie unterschiedlichste Institutionen dem Thema Cybersicherheit aus verschiedenen Perspektiven. Aus diesem Anlass rekapitulieren wir in diesem Jahr vier schwerwiegende Cybersicherheitsvorfälle. Vorfälle, die möglicherweise hätten verhindert werden können.

Das Cyber-Opfer:

Facebook und Google – nicht ganz unbekannte Namen vermutlich... 

Einzelheiten zum Fall:

Ein Business-E-Mail-Compromise (BEC)-Angriff, auch als Invoice-Fraud oder Invoice-Theft bekannt, hatte über einen Zeitraum von zwei Jahren zwei der größten Technologieunternehmen der Welt zum Ziel. Dabei wurden Millionenbeträge überwiesen, bis der Täter identifiziert und vom US-Justizministerium angeklagt werden konnte. 

Nach Angaben des Internet Crime Complaint Center (IC3) des FBI sind Business Email Compromise (BEC) und Email Account Compromise (EAC) allein im Jahr 2019 für Verluste in Höhe von 1,7 Milliarden US-Dollar verantwortlich. 

Die Cyber-Geschichte:

Auch hier sei noch einmal daran erinnert, dass kein Unternehmen zu groß ist, um Ziel eines Cyberangriffs zu werden. Es wird Sie nicht überraschen, dass Facebook und Google, obwohl die beiden Unternehmen Zugriff auf erstklassige Threat Intelligence und Sicherheitsressourcen haben, in Sachen Cybersicherheit auf eine lange Geschichte zurückblicken. Tatsächlich fühlen sich nicht wenige Hacker von der Herausforderung angezogen, gegen Technologiegiganten vorzugehen. Zwar kann nicht jeder Serviceausfall mit einem Angriff in Verbindung gebracht werden, aber es gibt nur einige wenige Fälle, in denen die Unternehmen gezwungen waren, Einzelheiten des Vorfalls offenzulegen. 

2018 stieß Facebook beispielsweise auf eine große Sicherheitslücke. Ein Fehler hatte es Hackern ermöglicht, auf die Daten von 50 Millionen (oder mehr) Benutzern zuzugreifen. 

Auch Google sah sich mit ziemlich vielen bösartigen Angriffen konfrontiert, ganz zu schweigen von all den vereitelten Versuchen der letzten zwei Jahrzehnte. 2009 wurde Google China von Hackern infiltriert, die „sich Zugang zu mehreren Google-Unternehmensservern verschafften und geistiges Eigentum stehlen konnten. In einem Blog äußerte sich Google dahingehend, dass es „Beweise dafür gebe, dass ein Hauptziel der Angreifer der Zugriff auf die Gmail-Konten chinesischer Menschenrechtsaktivisten war“.  Als das Unternehmen allerdings genauer nachforschte, fand es heraus, dass auf zahlreiche Gmail-Konten von Benutzern aus den USA, China und Europa regelmäßig ohne Erlaubnis zugegriffen wurde.

Die Google Threat Analysis Group arbeitet nun daran, "regierungsgestützten Angriffen entgegenzuwirken" und stellt in seinem Blog regelmäßige Updates der Untersuchungen und Ergebnisse zur Verfügung.

Beschreibung der Ereignisse: 

Laut CPO Magazine „gab sich [Evaldas] Rimasauskas, ein Bürger Litauens... als Quanta Computer aus, ein in Taiwan ansässiger Computer-Hardware-Hersteller, der mit den meisten großen Tech-Namen der Welt Geschäfte macht. Mit E-Mail-Spoofing und gefälschten Unterlagen überzeugte Rimasauskas die Unternehmen, betrügerische Rechnungen im Wert von mehreren zehn Millionen Dollar zu bezahlen.“ Obwohl es wahrscheinlich Komplizen gab, stellte die Anklageschrift des DOJ Rimasauskas besonders heraus, obwohl sein Anwalt behauptete, er sei "bei weitem nicht der Hauptakteur in dieser Angelegenheit". 

Der Scam erstreckte sich über mehrere Jahre - von 2013 bis 2015 - und Rimasauskas konnte Millionen ergaunern. 

Die betroffenen Systeme / Parteien:

Leider wirkt sich diese Art von Invoice-Fraud als direkter finanzieller Schlag gegen das betreffende Unternehmen aus. Erstaunlicherweise zahlte Google am Ende 23 Millionen Dollar an den Hacker, während Facebook unglaubliche 100 Millionen Dollar überwies. Die Unternehmen konnten die gestohlenen Gelder zurückholen, was bei einem solchen Angriff längst nicht immer der Fall ist. Es gibt viele wohlbekannte Geschichten über Unternehmen, die vollständig von der Bildfläche verschwunden sind oder Millionen verloren haben. Zum großen Teil durch Invoice-Scams. 

Die Vorgehensweise:

In diesem Fall wissen wir genau, wie Rimasauskas sich die gestohlenen Gelder sichern konnte. Er schickte nicht nur betrügerische Rechnungen an Facebook und Google, sondern soll laut Indepedent auch "Dokumente gefälscht haben, um die großen Geldüberweisungen" auf Bankkonten an "verschiedenen Orten weltweit, darunter Lettland, Zypern, Slowakei, Litauen, Ungarn und Hongkong" zu erklären. 

Die abschließende Diagnose:

Rimasauskas ist nicht davongekommen. Neben einer Haftstrafe von 5 Jahren wurde er "zu zwei Jahren Bewährungsstrafe, Konfiszierung von 49.738.559,41 Dollar und einer Abgeltung in Höhe von 26.479.079,24 US-Dollar“ verurteilt.

Die einzige positive Seite eines so öffentlichen Angriffs wie diesem ist, dass er für die ziemlich reale und immer gegenwärtige Bedrohung durch Invoice-Theft sensibilisiert. Keine Geschäfte über E-Mail abzuwickeln, ist für Unternehmen, die in der digitalen Welt wettbewerbsfähig bleiben wollen, keine Option. Was kann ein Unternehmen also tun, um auf Nummer sicher zu gehen und sein wohlverdientes Geld vor gierigen Cyberkriminellen zu schützen?

In diesem Artikel von CNBC geben das FBI und das Heimatschutzministerium hilfreiche Tipps, um ein Szenario wie das beschriebene zu verhindern. Wie bei jeder anderen Art von Cyberangriff sind Aufklärung und Sensibilisierung zentrale Faktoren. Jeder Mitarbeiter sollte in Sachen Cybersicherheit geschult werden. Mitarbeiter, die mit besonders sensiblen Dokumenten umgehen – die Finanzabteilung, die Personalabteilung und die Rechtsabteilung - sollten darüber aufgeklärt werden, wie Invoice-Fraud funktioniert und auf welche Warnzeichen sie achten müssen, z.B. "wenn sich die Zahlungsbedingungen plötzlich ändern oder ein Verkäufer darum bittet, Gelder auf ein anderes Bankkonto als üblich zu überweisen".

Eine relativ einfache Möglichkeit, Dokumente zu schützen - insbesondere, wenn Sie zu 100 % digital arbeiten - besteht darin, vertrauenswürdige digitale Signaturen für alle wichtigen Dokumente wie Verträge und Rechnungen zu verwenden. Eine digitale Signatur ist sicherer als eine herkömmliche elektronische Signatur, die weder die Identität des Unterzeichners nachweist noch die Integrität des Inhalts eines Dokuments schützt. Glücklicherweise sind digitale Signaturen inzwischen dank Cloud-basierter Lösungen, einfacher denn je zu implementieren und anzuwenden. 

Share this Post

Recent Blogs