Threat Spotlight: Spear-Phishing-Angriffe auf den Bildungssektor

Themen: COVID-19

29. Okt.. 2020

Da viele Schulen und weiterführende Bildungseinrichtungen weiterhin auf Präsenzunterricht verzichten, setzen sie umso mehr auf E-Mails, um wichtige Neuigkeiten von Lehrern, Schulleitern und Bereichsleitern zu erhalten. Hacker sind sich dieser Tatsache bewusst und nutzen die Situation zu ihrem Vorteil aus.Zwischen Juni und September 2020 wurden über 3,5 Millionen Spear-Phishing-Angriffe von Barracuda ausgewertet, darunter Angriffe auf mehr als 1.000 Bildungseinrichtungen wie Schulen, Hochschulen und Universitäten.Die Analyse ergab, dass Bildungseinrichtungen ein doppelt so hohes Risiko haben, Opfer eines BEC-Angriffs (Business Email Compromise) zu werden wie gewöhnliche Unternehmen. Tatsächlich waren mehr als 1 von 4 Spear-Phishing-Angriffen, die wir für den Bildungsbereich beobachteten, ein sorgfältig entwickelter BEC-Angriff.

Die schwerwiegenden BEC-Angriffe auf Schulen und weiterführende Bildungseinrichtungen in jüngster Zeit zeigen, wie verheerend die Folgen eines solchen Angriffs sind:

Manor Independent School District in Texas berichtete, dass eine scheinbar normale Schulanbieter-Transaktion einen Verlust von 2,3 Millionen US-Dollar zur Folge hatte.

Betrüger nutzten eine betrügerische E-Mail, um 3,7 Millionen Dollar von Scott County Schools in Kentucky zu stehlen.

Sehen wir uns im Folgenden einige Trends an, die sich aus den Angriffen von Cyberkriminellen auf Schulen ableiten lassen, sowie Lösungen, die Unternehmen zur Abwehr dieser Angriffe einsetzen können.

Bedrohung im Fokus

Spear-Phishing-Angriffe auf Schulen — Spear-Phishing ist ein personalisierter Phishing-Angriff, der auf eine bestimmte Organisation oder Person abzielt, und Cyberkriminelle passen die Art und Weise, wie sie diese Angriffe gegen verschiedene Branchen, wie z. B. das Bildungswesen, einsetzen, ständig an.

Unsere Studienergebnisse veranschaulichen, dass Cyberkriminelle Unternehmen über die Sommermonate hinweg insgesamt gleichmäßig oft angriffen, wobei die Zahl der Angriffe im September stieg. Im Vergleich dazu war während der Sommerferien im Juli und August ein deutlicher Rückgang von Spear-Phishing-Angriffen auf den Bildungssektor zu verzeichnen. In diesen Monaten fiel ein Rückgang von 10 bis 14 % unter dem Durchschnitt, und die Zahl der Angriffe nahm im September, als die Schüler zurückkehrten, erheblich zu.

In den Sommerferien passten Cyberkriminelle zudem die Art ihrer Angriffe auf Schulen an. Im Juli und August konzentrierten sich die Angriffe auf Schulen auf E-Mail-Betrügereien, die weniger zielgerichtet sind und oft in großen Mengen verschickt werden.

Gezielte Angriffe, wie z. B. Phishing, bei dem sich als Dienst ausgibt, waren während des Schuljahres viel häufiger. Im Juni und September machten diese Angriffsarten fast die Hälfte aller Spear-Phishing-Bedrohungen gegen Schulen aus (47 % bzw. 48 %). Die Zahl ging im Juli, als die Schulen geschlossen waren, um fast die Hälfte zurück. Ein ähnlicher Trend konnte bei den BEC-Angriffen beobachtet werden. Auch hier nahm die Zahl dieser Angriffe während des Schuljahres zu. Für andere Branchen blieb die Verteilung der verschiedenen Angriffstypen über die Monate hinweg relativ stabil.

Spear-Phishing-Angriffe

Die Details

Laut unserer Untersuchung nutzten Angreifer Gmail-Konten für 86 % aller BEC-Angriffe auf den Bildungssektor. Ein ähnlicher Trend ist bei Angriffen auf Unternehmen im Allgemeinen festzustellen. Hacker bevorzugen demnach Gmail-Konten für ihre BEC-Angriffe. Cyberkriminelle greifen gerne auf bekannte E-Mail-Anbieter wie Gmail zurück, weil die Registrierung einfach und kostenlos ist und sie einen guten Ruf haben. Sie eignen sich also bestens für gezielte BEC-Angriffe.Zudem schneiden Angreifer ihre E-Mail-Adressen auf ihr böswilliges Vorhaben zu und verwenden dabei Begriffe wie principal (Schulleiter), head of department (Bereichsleiter), school (Schule) und president (Rektor). Auf diese Weise erscheinen sie glaubwürdiger. Zu den E-Mail-Adressen, die im Zuge von BEC-Angriffen auf Schulen verwendet wurden, gehörten laut unserer Studie u. a.:

headofdepartment600@gmail.com

pprincippaledu@gmail.com

boardofdirectors2334@gmail.com

school_principal007@my.com

headofschoolmail2000@gmail.com

presidentedu2002@gmail.com

principalmail142@gmail.com

theschoolprincipalerin@gmail.com

Cyberkriminelle erstellen gezielte, relevante Betreffzeilen, um die Aufmerksamkeit der Opfer zu wecken und Dringlichkeit vorzutäuschen. So ergab unsere Untersuchung beispielsweise, dass bei einer erheblichen Anzahl von Angriffen „COVID-19“ im Betreff verwendet wurde:

COVID19 NEUE AKTUALISIERUNGEN

Covid-19 Aktualisiere die Nachverfolgung jetzt

COVID-19 SCHULMEETING

Re: Stay safe (Re: Pass auf dich auf)

Kompromittierte EDU-Konten als Startrampe für E-Mail-Angriffe

Barracuda - Forscher analysierten auch bösartige E-Mail- Nachrichten , die von möglicherweise kompromittierten internen Konten gesendet wurden .

Mit Blick auf die Gesamtzahl der schädlichen Nachrichten (sowohl eingehende also auch ausgehende) aller Unternehmen, hat sich herausgestellt, dass 1 vo 4 entdeckten Nachrichten von einem internen E-Mail-Konto aus gesendet wurde. Dieser Anteil war im Bildungssektor signifikant höher. Hier lag die Zahl der bösartigen, von internen Konten gesendeten E-Mails sogar bei 57 %. Das bedeutet, dass E-Mail Konten im Bildungswesen häufiger zum Versenden von Angriffen genutzt wurden als dass sie selbst angegriffen wurden.

Outbound-Angriffe

Diese kompromittierten Konten sind besonders wertvoll für Cyberkriminelle, da E-Mails von diesen legitimen Adressen großes Vertrauen entgegengebracht wird. Dadurch werden sie zu hervorragenden Startrampen für weitere E-Mail-Angriffe. Unsere Analyse zeigte großangelegte Kampagnen, die von diesen Unternehmen ausgingen, weil Betrüger möglichst viele E-Mails über sie verschicken wollen, bevor ihre böswilligen Aktivitäten entdeckt und sie daraufhin ausgesperrt werden.

So schützen Sie Ihre Bildungseinrichtung

Investieren Sie in Schutzmaßnahmen gegen gezielte Phishing-Angriffe. Der Bildungssektor wird unverhältnismäßig oft zum Opfer von Social-Engineering-Angriffen wie Service Impersonation und Business Email Compromise. Angreifer wissen genau, dass Bildungseinrichtungen nicht immer dasselbe Maß an Sicherheitsbewusstsein aufweisen wie andere Unternehmen — und das machen sie sich zunutze. Schulen, Hochschulen und Universitäten müssen die E-Mail-Sicherheit priorisieren, die künstliche Intelligenz nutzt, um ungewöhnliche Absender und Anfragen zu identifizieren. Diese zusätzliche Verteidigungsebene zusätzlich zu herkömmlichen E-Mail-Gateways bietet sowohl für Mitarbeiter als auch für Studenten einen erheblichen Schutz vor Spear-Phishing-Angriffen.

Schützen Sie sich noch heute vor Account Takeover. Bildungseinrichtungen sind anfälliger für Account Takeover als gewöhnliche Unternehmen, weil Schulbezirke und weiterführende Bildungsträger nicht mit den notwendigen Tools und Ressourcen ausgestattet sind, um sich gegen diese Gefahr zu schützen. Investieren Sie in Technologien , mit denen Sie verdächtige Aktivitäten und mögliche Anzeichen einer Kontoübernahme erkennen können.

Verbesserung des Sicherheitsbewusstseins . Benutzer stellen die letzte Verteidigungslinie dar. Klären Sie sie also über die E-Mail-Bedrohungen auf, denen Bildungseinrichtungen heutzutage ausgesetzt sind. Gehen Sie dabei sicher, dass sowohl die Mitarbeiter als auch Schüler und Studierenden Angriffe erkennen, verstehen und entsprechend melden können. Sicherheitsbewusstseinstraining ist besonders wichtig, wenn Fernunterricht ein so großer Teil des Bildungssystems ist und Schüler und Lehrer sowohl für Kommunikations- als auch für Bildungszwecke auf Technologie und E-Mail angewiesen sind.

Richten Sie interne Richtlinien ein, um Überweisungsbetrug zu verhindern. Alle Unternehmen, einschließlich aller Bildungseinrichtungen, sollten Unternehmensrichtlinien einführen und bestehende Richtlinien regelmäßig überprüfen, um sicherzugehen, dass ordnungsgemäß mit personenbezogenen Daten und Finanzinformationen umgegangen wird. Unterstützen Sie Ihre Mitarbeiter dabei, kostspielige Fehler zu vermeiden, indem Sie Richtlinien und Verfahren implementieren, die vorsehen, dass alle E-Mail-Anfragen bezüglich Überweisungen und Zahlungsänderungen vorschriftsmäßig bestätigt werden. Fordern Sie persönliche oder telefonische Bestätigungen und/oder Genehmigungen von mehreren Personen für alle Finanztransaktionen.

Spear Phishing: Die häufigsten Bedrohungen und Trends Vol. 4

Mike Flouton

Mike Flouton is vice president for Barracuda’s email security business. In this role, he oversees product management for Barracuda’s portfolio of email security solutions: Barracuda Total Email Protection, Barracuda Essentials, Barracuda Sentinel, and Barracuda PhishLine. Connect with him on LinkedIn here.