JRB - Fotolia

Nigeria Connection: Cyberbetrug professionalisiert sich

Hinter der Nigeria Connection stecken Cyberkriminelle, die sich auf E-Mail-Betrug spezialisiert haben. So haben Business-E-Mail-Compromise-Angriffe zugenommen.

Haben Sie schon etwas vom dem Begriff „Nigeria Connection“ gehört? Dahinter steckt ein ganzes Netzwerk aus Cyberkriminellen – organisiertes Cyberverbrechen „Made in Westafrika“ sozusagen. Weil sie sich auf E-Mail-Betrug spezialisiert haben, heißen die Männer hinter den digitalen Attacken in Nigeria „Wirewire-Boys“. Die Anfänge des Syndikats liegen allerdings weit zurück, in den 1980er Jahren, also in Zeiten ohne Internet.

Damals verschickten Betrüger Faxe und Briefe mit Vorschussbitten an Geschäftsleute in Großbritannien und die USA. Die Nachrichten enthielten gefälschte Insignien von Finanzinstituten. Die erste verführerische Anfrage stellte in Aussicht, die Rohöl-Ladung eines Frachtschiffs könne zu Spottpreisen erstanden werden, wenn im Gegenzug ein Vorschuss gezahlt werde. Natürlich existierten weder Frachter noch Öl.

Die Taktik ging trotzdem auf und zwar so oft, dass die Betrugsmasche Schule machte. Immer mehr Nachahmer folgten dem mehr als fragwürdigen Geschäftsmodell. Schließlich schossen Ende der 1990er Jahre Internetcafés wie Pilze auch aus dem nigerianischen Boden. Das verschaffte den Tätern ungeahnte Möglichkeiten – plötzlich konnten sie ohne großen Aufwand sehr viele Menschen erreichen. Die moderne Nigeria Connection war geboren.

Heute ist die Nigeria Connection aus der kriminellen Szene nicht mehr wegzudenken. Die Gesellschaft betrachtet E-Mail-Betrug nicht als ernsthaftes Verbrechen. Angesichts eines diesjährigen Rekordschadens von rund 390 Millionen Euro im eigenen Land, wie die nigerianischen Behörden vermelden, klingt das doch recht verwunderlich. Global betrachtet liege die Summe sogar noch weit höher, vermuten die lokalen Ermittler.

Einzeltäter ins Netz gegangen

Im April 2017 startete ein Mitglied des Verbrecherrings eine großangelegte Kampagne von Cyberangriffen auf einige der größten internationalen Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche.  Insgesamt wurden mit der virtuellen Attackenserie mehr als 4000 Unternehmen angegriffen. Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste.

Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Millionenmetropole Lagos stammt. Sein Facebook-Account steht unter dem Motto des US-Rappers 50Cent: „Get rich or die trying“.

Phishing als erster Schritt von vielen

Bei seiner Malware-Kampagne setzte der Angreifer betrügerische E-Mails ein, die scheinbar von dem Öl- und Gasgiganten Saudi Aramco, dem Ölproduzenten mit der weltweit zweitgrößten Tagesfördermenge, stammten und an die Mitarbeiter der Finanzabteilung der Unternehmen gerichtet waren.

Diese sollten dazu gebracht werden, Bankdaten des Unternehmens weiterzugeben oder die mit Malware infizierten Anhänge der E-Mails zu öffnen. Dazu verwendete er NetWire, einen Remote-Access-Trojaner, der die volle Kontrolle über infizierte Maschinen ermöglicht. Weitere Schadsoftware, die er im Nachgang heruntergeladen hat, war Hawkeye, ein Keylogging-Programm.

Die Kampagne führte zu 14 erfolgreichen Infektionen, in deren Verlauf der Täter mehrere Tausend US-Dollar verdiente.

 „Organisationen sind dringend dazu angehalten, ihre Sicherheit zu verbessern, um sich vor Betrügereien durch Phishing- oder Geschäfts-E-Mails zu schützen.“

 Dietmar Schnabel, Check Point

Obwohl der Drahtzieher des Angriffs qualitativ minderwertige Phishing-E-Mails und generische Malware verwendete, die man in bestimmten Bereichen des Internets relativ einfach finden kann, war er mit seiner Kampagne dennoch in der Lage, viele Organisationen zu infizieren. Unter den befallenen Unternehmen befanden sich eine kroatische Energielösungsfirma, ein Logistikunternehmen aus Abu Dhabi, eine Minenfirma in Ägypten, eine Baufirma in Dubai, eine Öl- und Gas-Firma in Kuwait aber auch eine Baufirma in Deutschland.

Der Vorfall zeigt, wie einfach es für einen relativ unqualifizierten Hacker ist, eine großangelegte Angriffswelle zu starten, die sich über alle Abwehrprogramme, selbst die von großen Unternehmen, hinwegsetzt, und ihm ermöglicht, einen solchen Betrug durchzuführen. Angesichts dessen sollten bei Unternehmen die Alarmglocken schrillen. Organisationen sind dringend dazu angehalten, ihre Sicherheit zu verbessern, um sich vor Betrügereien durch Phishing- oder Geschäfts-E-Mails zu schützen, und die Mitarbeiter zur Vorsicht beim Öffnen von E-Mails zu erziehen – selbst solcher E-Mails, die von Unternehmen oder Personen stammen, die sie kennen.

Fazit

Nachdem die Kampagne entdeckt und ihr Ursprung festgestellt worden war, informierte das Check-Point-Forscherteam die internationalen Strafverfolgungsbehörden und die in Nigeria und teilte seine Erkenntnisse mit ihnen. Allerding dürfte das nur ein kleiner Schlag gegen die Nigeria Connection gewesen sein. Der westafrikanische Staat stellt Netzkriminalität erst seit dem Nigerian Cybercrime Act aus dem Jahr 2015 unter Strafe. Business-E-Mail-Compromise-Angriffe (BEC) haben in den vergangenen 18 Monaten dramatisch zugenommen. Das FBI vermeldete einen Anstieg der Opferzahl von 270 Prozent seit Anfang 2016, was Organisationen in aller Welt von 2013 bis 2016 über 3 Milliarden US-Dollar kostete. Schätzungen zufolge verlieren BEC-Opfer im Durchschnitt 50.000 US-Dollar.  Diese Zahlen unterstreichen mehr als deutlich, in welcher Gefahr Unternehmen schweben.

Technologien gegen Phishing und Spam schützen Unternehmen davor, Opfer solcher Betrügereien zu werden. Ihr mehrdimensionaler Ansatz sichert die E-Mail-Infrastruktur, bietet Antispam-Schutz und verteidigt Organisationen gegen eine große Bandbreite an Virus- und Malwarebedrohungen, die über E-Mails verbreitet werden. Darüber hinaus bewahrt eine solche Technologie Unternehmen vor neuen und unbekannten Phishing-Seiten sowie vor Bedrohungen, die in Dokumenten und Links in E-Mails enthalten sind.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Phishing-Attacken zählen zu den größten Sicherheitsrisiken

So funktioniert der Keylogger iSpy

Den Spam-Schutz in Office 365 richtig einrichten

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close