E-Mail-Erpressung: Bitte Bitcoins!

Cloud-Security-Spezialist Barracuda hat mit der Universität Columbia über 300 000 E-Mails KI-analysiert, die innerhalb eines Jahres als Erpressungsangriffe erkannt wurden. Im Folgenden werden die bei diesen Angriffen verwendeten Währungen und die Art, wie die Angreifer Bitcoin-Adressen verwenden, behandelt.

Von Erpressungsangreifern verwendete Kryptowährungen

Es gibt einige Gründe, weshalb Kriminelle Bitcoin als favorisierte Zahlungsmittel für Lösegeld verwenden. Bitcoin ist weitgehend anonym, Transaktionen werden über Wallet-Adressen abgewickelt, und jeder kann so viele Wallet-Adressen generieren, wie er möchte. Zudem ist die Bitcoin-Infrastruktur gut entwickelt, was es den Opfern erleichtert, Bitcoin zu kaufen. Angreifer könne ihre Aktionen mittels sogenannter «Mixern» weiter anonymisieren. Solche Dienste sollen die Transaktionshistorie verschleiern, indem sie Bitcoin aus vielen Wallets zufällig kombinieren und aufteilen. Erpresser können aufgrund des öffentlichen Charakters der Blockchain leicht prüfen, ob ein Opfer gezahlt hat.

Analyse von Bitcoin-Adressen

Obwohl Bitcoin anonym ist, erhält man einige sehr interessante Informationen über das Angreiferverhalten, indem man die Bitcoin-Adressen in ihren Erpresser-E-Mails analysiert. 

Die Analyse des untersuchten Datensatzes ergab, dass sich die Angriffe auf wenige Bitcoin-Adressen konzentrierten. Insgesamt gab es etwa 3000 eindeutige Bitcoin-Adressen: Die Top 10 tauchten in etwa 30 Prozent, die Top 100 in etwa 80 Prozent der Mails auf. Wenige Angreifer sind also für die meisten der Erpresser-E-Mails verantwortlich. Wenn es gelingt, diese Angreifer zu stoppen oder ihre Methoden wirksam zu blockieren, lassen sich viele dieser E-Mail-Bedrohungen neutralisieren.

Kreuzanalyse von Bitcoin-Adresse und E-Mail-Absender

Eine weitere wichtige Information, um E-Mails bestimmten Angreifern zuzuordnen, sind die E-Mail-Felder. So kann etwa das Feld «Absender» jeder E-Mail als Stellvertreter für den Angreifer gesehen werden. Stammen mehrere E-Mails vom selben Absender, gehören sie zum selben Angreifer. In der Untersuchung wurden die E-Mails nach dem Feld «Absender» gruppiert und die Zahl der E-Mails gezählt, die jeder Absender verschickt, sowie die Zahl der eindeutigen Bitcoin-Adressen, die jeder Absender verwendet hat. Dies zeigt, dass die überwiegende Mehrheit aller Absender bei ihren Angriffen dieselbe Bitcoin-Adresse nutzte. 

Möglichkeiten zum Schutz vor Erpressungsangriffen

Vier Best Practices, mit denen sich Unternehmen gegen diese Art von Angriffen verteidigen können:

1. KI-basierter Schutz: Angreifer passen Erpressungs­angriffe an, daher ist eine gute Spear-Phishing-Lösung ein Muss.
2. Schutz vor Kontoübernahmen: Es sollte sichergestellt sein, dass Betrüger das Unternehmen nicht als Basislager für Angriffe nutzen. Hier helfen KI-Technologien, die erkennen, wann Konten kompromittiert wurden. 
3. Proaktive Untersuchungen: Unternehmen sollten regelmässige Untersuchungen der zugestellten Nachrichten durchführen, um E-Mails zu erkennen, die sich auf Passwortänderungen, Sicherheitswarnungen und andere Inhalte beziehen. 
4. Schulungen zum Sicherheitsbewusstsein: Unternehmen sollten die Benutzer zudem über Erpressungsangriffe aufklären und das Thema zum Bestandteil ihres Schulungsprogramms zum Sicherheitsbewusstsein machen. 

Angreifer verschicken jährlich Millionen erpresserischer Nachrichten, jedoch nur eine kleine Zahl an Tätern ist dafür verantwortlich und diese nutzen ähnliche Taktiken. Dies stimmt optimistisch, was die Bekämpfung dieser Art der E-Mail-Bedrohung angeht.