Cybercrime: Führungskräfte geduldig ausspionieren und dann ausnehmen

Viel Ausdauer und eine lukrative Zielgruppe – beides zeichnet die Cyberkriminellen namens Florentiner Bankengruppe aus. Über Man-in-the-Middle-Attacken steigen sie in die Kommunikation von Entscheidungsträgern in Unternehmen ein und zapfen schließlich Geld ab. Zu diesen Ergebnissen kommt Check Point Research, die nach eigenen Angaben Daten über globale Cyberangriffe sammeln und auswerten.

Sobald die Florentiner Banker ein Unternehmen genügend ausgekundschaftet haben, konzentrieren sie sich auf einzelne Führungskräfte und versuchen sie über Phishing zu ködern. Beißt eines der Opfer an, beginnt die zweite Phase. Zum Teil verbringen die Hacker Wochen oder Monate damit, den E-Mail-Verkehr zu beobachten. Dabei identifizieren sie die Schlüsselrollen ihres Opfers innerhalb des Unternehmens. Zudem leiten sie aus ihren Erkenntnissen ab, welche Kanäle es nutzt, um Überweisungen abzuwickeln, und mit wem es diesbezüglich in Kontakt steht.

Sobald genügend Informationen zusammengekommen sind, schlagen die Cyberkriminellen zu. Im ersten Schritt verändern sie die Mailbox-Einstellungen und leiten alle E-Mails mit interessanten Inhalten oder Betreffzeilen in einen von ihnen gekaperten Ordner um – bevorzugt einen unauffälligen und vor allem unübersichtlichen wie den RSS-Feeds-Ordner.

In die Rolle des Opfers schlüpfen

Parallel arbeiten die Florentiner Banker daran, ihr Opfer nach innen und nach außen zu isolieren. Dazu richten sie eine gefälschte Domain ein, die dem Original ähnelt und steuern die Kommunikation. Meist bekommen das Opfer und dessen Kollegen oder Geschäftspartner davon nichts mit.

Steht das fiktive Netzwerk der Angreifer erst einmal, können sie unbemerkt Geld auf ihre eigenen Konten beiseite schaffen. Je länger sie dabei ihr Unwesen treiben, desto höher wächst die Schadenssumme.

„Überweisungen von Geld, statt Barzahlungen, steigen und in diesen Zeiten noch stärker – von alltäglichen Aktionen bis hin zu staatlichen Konjunkturpaketen für Bürger und Unternehmen. Ich rate daher jedem, besonders darauf zu achten, welche Nachrichten in seinen Postfächern ein- und ausgehen – und welche ausbleiben. Vielleicht korrespondieren Sie ja bereits mit den angeblichen Florentiner Bankiers,“ mahnt Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point Software Technologies, angesichts der aktuellen Corona-Krise.

Bislang seien drei britische Private-Equity-Gesellschaften in die Falle der Florentiner Bankengruppe getappt, berichtet Check Point Research. Rund 1,2 Millionen Euro konnten die Hacker dabei erbeuten. Die Sicherheitsforscher geben an, dass sie ihnen weiterhin auf der Spur sind und fanden heraus, dass die Kriminellen nicht nur gefälschte Domänen der Gesellschaften registriert haben. Eine Reihe weiterer Vorfälle, die nichts mit diesen Firmen zu tun haben, gibt Anlass zur unbedingten Vorsicht. Es scheint, als haben sich die Cyberkriminellen also bereits weiteren Unternehmen zugewandt. Insgesamt hat Check Point Research 39 gefälschte Domänen realer Firmen gefunden, von denen gut die Hälfte in den USA sitzen. (csc)