Eine der häufigsten Arten von Cyberbetrug ist der Business Email Compromise (BEC). Diese Angriffe waren in den letzten Jahren für Betrugsverluste in Milliardenhöhe verantwortlich.
Bei BEC-Angriffen verschaffen sich Hacker in der Regel Zugang zu einem geschäftlichen E-Mail-Konto und ahmen die Identität des Inhabers nach, um dessen Mitarbeiter, Unternehmenskunden oder -partner dazu zu bringen, Geld auf kriminelle Konten zu überweisen oder sensible Informationen preisgeben. BEC ist auch als Man-in-the-Email-Angriff bekannt. Dies leitet sich vom Man-in-the-Middle-Angriff ab, bei dem zwei Parteien glauben, dass sie direkt miteinander sprechen – in Wirklichkeit hört jedoch ein Angreifer mit und verändert möglicherweise die Kommunikation.
Ablauf eines BEC-Angriffs: Das Vorgehen der Cyberkriminellen
Ein BEC-Betrug beginnt mit der Recherche: Angreifer durchforsten öffentlich zugängliche Informationen über das Unternehmen auf dessen Website, in Pressemitteilungen und Beiträgen in sozialen Medien. Auch automatische E-Mail-Antworten wie Abwesenheitsnotizen können Kriminellen wertvolle Informationen liefern, wie Namen und Titel von Führungskräften, Details zu Unternehmenshierarchie sowie Reisepläne.
Nach der Recherche werden Angreifer versuchen, das E-Mail-Konto einer Führungskraft oder Mitarbeiters zu kapern, beispielsweise durch einen Phishing-Angriff. Um unentdeckt zu bleiben, können Angreifer nach erfolgreicher Kontenübernahme Posteingangsregeln nutzen oder die Antwortadresse so ändern, dass das Opfer den Missbrauch seines Kontos für den BEC-Angriff nicht bemerkt.
Eine weitere Methode, um die Identität eines Mitarbeiters bei BEC-Angriffen zu imitieren, ist die Erstellung einer E-Mail mit einer gefälschten Domain. So nutzt der Angreifer etwa [email protected] statt [email protected]. Einer der berühmtesten Spoofed-Domain-Tricks überhaupt war PayPa1.com – eine Betrugsseite, die die Geldtransfer-Website Paypal.com imitierte.
Nachdem der Angreifer die Unternehmenskommunikation einige Zeit lang ausgekundschaftet hat, besitzt er eine gute Vorstellung von Betrugsszenarien, die funktionieren könnten. Hat das Unternehmen zum Beispiel viele Lieferanten, kann der Angreifer Rechnungen an die Buchhaltung schicken, um eine Zahlung für bestimmte Materialien einzufordern. In diesem Fall weiß der Hacker, wer für Überweisungen zuständig ist und kann ein überzeugendes Szenario entwerfen, das eine sofortige Überweisung erforderlich machen würde.
Während ein BEC-Angriff auf jeden Mitarbeiter im Unternehmen abzielen kann, sind hochrangige Führungskräfte und Personen in der Finanzabteilung die häufigsten Opfer. Whaling und CEO Fraud beschreiben das Phänomen der gezielten Angriffe auf hochrangige Führungskräfte und ist in der Regel schwieriger zu erkennen als herkömmliche Phishing-Angriffe, da sie von den Angreifern besonders detailliert recherchiert sind.
Die häufigsten BEC-Betrugsformen
- Betrug mit gefälschten Rechnungen: Hierbei nutzen Cyberkriminelle die E-Mail eines Mitarbeiters, um Benachrichtigungen an Kunden und Lieferanten zu senden, in denen er zur Zahlung auf das kriminelle Konto auffordert.
- CEO-Fraud: Hierbei geben sich Angreifer als Geschäftsführer oder andere hochrangige Führungskraft des Unternehmens aus und senden eine E-Mail an Mitarbeiter der Finanzabteilung, in der sie sie auffordern, Geld auf das von ihnen kontrollierte Konto zu überweisen.
- Attorney Impersonation: Angreifer geben sich als Anwalt oder Angestellten einer Kanzlei aus, der angeblich für eine dringende Angelegenheit zuständig ist, und fordert einen Unternehmensmitarbeiter auf, Geld zu überweisen. Normalerweise werden solche gefälschten Anfragen per E-Mail oder Telefon und am Ende des Arbeitstages gestellt.
- Datendiebstahl: Hacker greifen hierbei gezielt Mitarbeiter der Personalabteilung und der Buchhaltung an, um an sensible Daten von Mitarbeitern und Führungskräften zu gelangen. Diese Daten werden häufig für Folgeangriffe missbraucht.
Best Practices zum Schutz vor BEC-Angriffen
Kompromittierungsangriffe auf geschäftliche E-Mails sind aus drei Hauptgründen erfolgreich: Unzureichende Sicherheitsprotokolle, immer ausgefeiltere Social-Engineering-Techniken durch Angreifer sowie mangelnde Aufklärung der Mitarbeiter. Im Folgenden einige Best Practices, mit denen Unternehmen sich vor BEC-Angriffen schützen können:
- Multi-Faktor-
Authentifizierung: MFA sollte als IT-Sicherheitsrichtlinie implementiert werden. Dies hilft, den unbefugten Zugriff auf E-Mail-Konten zu verhindern, insbesondere wenn ein Angreifer versucht, sich von einem neuen Standort aus anzumelden.
- E-Mail-Sicherheitslösung: Empfehlenswert ist zudem der Einsatz eines E-Mail-Sicherheitslösung, die fähig ist, Spear-Phishing- und Cyberfraud-Angriffe, die zu einem erfolgreichen BEC-Betrug führen, automatisch zu erkennen und zu stoppen.
- Mitarbeiterschulungen und Verhaltensrichtlinien: Zusätzlich zu stärkeren Sicherheitsprotokollen ist besonders die Aufklärung der Mitarbeiter wichtig. Sie sollten umfangreich geschult werden, wie sie betrügerische E-Mails erkennen können. Zudem sollten Mitarbeiter stets skeptisch bei eiligen Geldtransferanfragen sein, insbesondere von Führungskräften. Überweisungen sollten nie ohne ein persönliches Gespräch oder einen Telefonanruf zur Überprüfung der Anfrage getätigt werden. Da der CEO die am häufigsten imitierte Rolle ist, sollten Benutzer bei E-Mails von diesem Konto besonders vorsichtig sein und die Legitimität der Nachricht bestätigen, bevor sie etwas unternehmen.
- Simulationstrainings: Mitarbeiter sollten zudem regelmäßig getestet werden, um ihr Sicherheitsbewusstsein für verschiedene gezielte Angriffe wie BEC zu erhöhen. Simulierte Angriffe sind mit Abstand die effektivste Form der Schulung.
Da Business Email Compromise zu einer der lukrativsten Angriffsarten für Cyberkriminelle gehört, werden Hacker stets neue Methoden finden, um Sicherheitsvorkehrungen zu umgehen. Verfolgen Unternehmen jedoch einen mehrschichtigen Verteidigungsansatz aus modernen Technologien, der Implementierung von Verhaltensrichtlinien sowie regelmäßigen Mitarbeitertrainings, können sie das Risiko eines erfolgreichen BEC-Betrugs erheblich reduzieren.