Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, kurz BEC) ist eine Kategorie von Cyberangriffen, die auf E-Mail-Konten von Unternehmen abzielen, sich als solche ausgeben oder diese übernehmen. Diese Art von Angriffen hat in den letzten Jahren stark an Popularität gewonnen, da immer mehr Unternehmen auf eine Cloud-basierte Infrastruktur umgestiegen sind.
Solche Cloud-basierten Netzwerke sind für Unternehmen sehr vorteilhaft, weisen aber notorische Sicherheitsmängel auf, vor allem wenn man bedenkt, wie viel Zugang sie zu den internen Abläufen eines Unternehmens gewähren. Insgesamt sind sie zu wichtigen Zielen für Hacker geworden.
Die Kompromittierung von Geschäfts-E-Mails ist ein weltweites Problem für kleine und große Unternehmen gleichermaßen. Insgesamt haben BEC-Angriffe Unternehmen im Laufe der Jahre Milliarden von Dollar gekostet. Aber es ist nicht unmöglich, sich darauf vorzubereiten und sie zu verhindern. Lesen Sie weiter, um zu erfahren, wie Sie sich und Ihr Unternehmen gegen BEC-Angriffe schützen können.
Was ist BEC?
Bevor wir uns mit den Präventionsmaßnahmen befassen, sollten wir die Definition von Business Email Compromise (BEC) genauer unter die Lupe nehmen. Also, was ist BEC?
Es handelt sich um einen Social-Engineering-Angriff, der auf ein Opfer in einem Unternehmen abzielt und eine scheinbar legitime E-Mail sendet, die vorgibt, von einer vertrauenswürdigen Quelle zu stammen. Die E-Mail fordert in der Regel Geld oder Informationen aus einem vermeintlich echten Grund an. Bei näherer Betrachtung stellt sich in der Regel heraus, dass der Absender nicht der ist, der er vorgibt zu sein.
Wie funktioniert Business Email Compromise?
Angesichts des großen Schadens, den diese Art von Betrug verursacht hat, hat das FBI die Angelegenheit eingehend untersucht. Es definiert fünf Hauptkategorien für BEC-Angriffe:
- Schema der Scheinrechnung: Der Angreifer gibt sich als einer der Waren- oder Dienstleistungsanbieter des Unternehmens aus und sendet eine Rechnung, um Gelder auf ein falsches Konto anzufordern.
- CEO-Betrug: Der Angreifer gibt sich als Führungskraft des Unternehmens aus und sendet eine E-Mail an einen einzelnen Mitarbeiter, in der er entweder Informationen oder Geldmittel anfordert.
- Kompromittierung von Konten: Der Angreifer verschafft sich Zugang zum E-Mail-Konto eines Mitarbeiters und fordert Zahlungen für verschiedene Dienstleistungen auf ein falsches Bankkonto des Angreifers.
- Nachahmung eines Anwalts: Der Angreifer gibt sich als Rechtsvertreter aus und nimmt Mitarbeiter eines Unternehmens ins Visier, die nur geringe Kenntnisse über die Rechtsangelegenheiten des Unternehmens haben. Sobald sie sich ein falsches Gefühl der Autorität verschafft haben, fordern sie Gelder oder Informationen an.
- Datendiebstahl: Angreifer haben es auf die Personalabteilung und andere Mitarbeiter abgesehen, um an sensible Daten über das Unternehmen oder sogar personenbezogene Daten von höheren Angestellten und Führungskräften zu gelangen. Diese Informationen können dann gegen das Unternehmen verwendet werden.
Bei den oben genannten Methoden muss der Angreifer auf irgendeine Weise menschliche Fehler ausnutzen, um an Daten zu gelangen. Es gibt drei gängige Wege, dies zu tun:
- Spoofing der offiziellen Domain: Der Angreifer erstellt eine falsche Website oder ein E-Mail-Konto, dessen Domain die offizielle Domain widerspiegelt. Dies wird dann benutzt, um Personen dazu zu bringen, ihnen zu vertrauen und allen Forderungen nachzukommen.
- Lookalike Domain Spoofing: Der Angreifer erstellt eine Domain mit einem Tippfehler oder einer leichten Abänderung des offiziellen Domainnamens. In der Regel handelt es sich dabei um eine gefälschte Website oder ein E-Mail-Konto, das absichtlich die offizielle Version nachahmt. Ziel ist es, Mitarbeiter auszunutzen, die die kleine Änderung an der Domain übersehen.
- Kompromittierte Konten: Der Angreifer verschafft sich Zugang zu einem offiziellen Konto und nutzt es, um die Verbindungen der Person auszunutzen. Jeder, der diesem Konto vertraut, ist gefährdet, und der Angreifer nutzt dies aus, um seine Betrügereien zu verbreiten.
Beispiele für Business Email Compromise
Nachdem wir nun das „Wie“ von BEC-Angriffen kennen, wollen wir ein paar reale Fälle diskutieren. Hier sind einige bekannte Beispiele für die Kompromittierung von Geschäfts-E-Mails aus den letzten Jahren:
- Toyota, 2019: Ein Angriff, der auf den CEO der japanischen Boshoku Corporation abzielte, kostete das Unternehmen aufgrund eines Überweisungsbetrugs 37 Millionen Dollar.
- COVID-19 Gesundheitsorganisationen, 2020: Als der Wunsch der Öffentlichkeit nach Informationen über die Pandemie rapide zunahm, stiegen auch die Betrugsmöglichkeiten. Mit gefälschten Domains, die verschiedenen vertrauenswürdigen Organisationen wie der Weltgesundheitsorganisation ähneln sollten, verbreiteten die Betrüger Malware und Fehlinformationen ebenso effizient wie die Krankheit sich weltweit ausbreitete.
- Treasure Island Homeless Charity, 2021: Angreifer suchen immer nach Schwachstellen, die sie ausnutzen können, und den meisten Wohltätigkeitsorganisationen fehlt eine Versicherung gegen Cyberkriminalität. Auch diese in San Francisco ansässige Organisation bildete keine Ausnahme. Hacker drangen über die E-Mail eines Buchhalters in das System ein und starteten einen monatelangen Angriff, der zu Verlusten von 625 000 Dollar führte.
Warum ist BEC so effizient?
Während Malware und Viren verhindert und abgewehrt werden können, ist menschliches Versagen ein Faktor, unter dem alle Systeme leiden. BEC-Angriffe machen sich diese Komponente so weit wie möglich zunutze.
Ganz gleich, ob sie jemanden auf der untersten oder der obersten Stufe der Unternehmensleiter ins Visier nehmen, Angreifer finden zwangsläufig irgendwo einen Fehler oder Ausrutscher. Sie nutzen dies aus, um Fuß zu fassen, an Informationen zu gelangen und sogar Gelder aus dem Unternehmen abzuschöpfen. Der Prozess ist ähnlich, unabhängig davon, ob es sich um ein kleines fünfköpfiges Team oder einen Megakonzern mit mehreren tausend Mitarbeitern handelt.
So vermeiden Sie BEC-Angriffe
Da BEC-Angriffe auf einfachen Fehlern beruhen, gibt es Maßnahmen, die Sie ergreifen können, um sie zu vermeiden. Im Folgenden finden Sie einige Tipps, die Ihnen und Ihrem Team dabei helfen, die Kompromittierung geschäftlicher E-Mails zu verhindern:
Teilen Sie nicht zu viel in den sozialen Medien
Achten Sie immer darauf, welche Informationen Sie in sozialen Medien weitergeben. Wenn ein Angreifer entschlossen genug ist, wird er nachforschen. Und er wird Details finden, die er als Aufhänger für einen Angriff verwenden kann.
Überstürzen Sie keine Maßnahmen, vor allem nicht, wenn Sie dazu gedrängt werden
Ein Gefühl der Dringlichkeit in E-Mails und Nachrichten (vor allem von Quellen, denen Sie nicht vertrauen oder die Sie nicht kennen) sollte immer mit Vorsicht genossen werden. Wozu die Eile? Wenn der Grund für die Eile vage ist oder verdächtig klingt, sollten Sie nicht auf die Forderungen eingehen. Nehmen Sie sich Zeit und treffen Sie keine überstürzten Entscheidungen, nur weil eine E-Mail hektisch klingt.
Überprüfen Sie den Absender, die Adresse, die URL usw.
Hier ist ein wachsames Auge gefragt. Seien Sie äußerst vorsichtig und überprüfen Sie die Gültigkeit aller URLs, Domains, Absender usw. Sie können mit dem Absender telefonieren, die Links auf Tippfehler überprüfen und sicherstellen, dass die E-Mail-Adresse in Ihrer Kontaktliste steht.
Richten Sie Zwei- oder Multi-Faktor-Authentifizierung ein
Auch wenn die meisten Menschen bei der Aufforderung, die Sicherheit Ihres Kontos mit einer mehrstufigen Verifizierung zu verbessern, stöhnen und die Augen verdrehen, ist dies wirklich eine gute Idee. Einfach ausgedrückt, ist es eine weitere zusätzliche Schutzebene, die Angreifer davon abhält, Ihr Konto auszunutzen.
Kennzeichnen Sie externe E-Mails
Seien Sie vorsichtig bei allen E-Mails, die nicht in Ihren Kontakt- oder Unternehmensverzeichnissen stehen. Prüfen Sie E-Mails, die Sie zum ersten Mal erhalten, immer genau, bevor Sie sie öffnen oder mit ihnen interagieren.
Überprüfen Sie Anfragen persönlich, auch wenn sie vom Chef kommen
Anfragen und Forderungen (insbesondere wenn es um Informationen oder Transaktionen geht) sollten von Person zu Person überprüft werden. Nehmen Sie eine freundliche Nachricht vom „Chef“ nicht für bare Münze. Vergewissern Sie sich, dass es sich um den offiziellen Absender handelt.
Implementieren Sie DMARC und Anti-Phishing-Schutz
DMARC (oder Domain-Based Message Authentication) und andere Anti-Phishing-Protokolle sind unerlässlich geworden, um eingehende BEC-Versuche auf Mitarbeiter am Arbeitsplatz zu reduzieren. Solche Sicherheitsmaßnahmen verringern die Wahrscheinlichkeit menschlichen Versagens, das zu Sicherheitslücken in einem System führt. Aus diesem Grund profitieren Unternehmen massiv von der Implementierung von Protokollen wie DMARC.
Fazit
Zwar können Systeme durch gewöhnliche menschliche Fehler, die jeder machen kann, kompromittiert werden, doch gibt es viele Möglichkeiten, BEC-Betrug zu verhindern und sich dagegen zu wehren. Seien Sie vorsichtig und sorgen Sie dafür, dass alle Teammitglieder online auf der Hut sind.
Überprüfen Sie immer E-Mail-Konten, erstmalige E-Mail-Absender und URLs und treffen Sie keine übereilten Entscheidungen. Bestätigen Sie wichtige Anfragen persönlich und richten Sie eine Zwei- oder Multi-Faktor-Verifizierung ein. Und schließlich sollten Sie Sicherheitsmaßnahmen wie DMARC implementieren, um BEC-Angriffe zu reduzieren und die Sicherheit Ihres Unternehmens und Ihrer Mitarbeiter zu gewährleisten