Wie Business Email Compromise (BEC) funktioniert

Business Email Compromise (BEC) ist eine der komplexesten Social-Engineering-Betrügereien, die den Tätern große Summen einbringt. Während Ransomware für Schlagzeilen sorgt, scheint BEC weniger in den Schlagzeilen zu stehen. Untersuchungen des FBI haben jedoch ergeben, dass das BEC-Volumen viermal so hoch ist wie das von Malware. Der Verizon Data Breach Investigations Report (DBIR) weist darauf hin, dass die große Mehrheit (86 %) der Cyberkriminalität finanziell motiviert ist. Im Jahr 2021 beschrieb das FBI beschreibt BEC als „eines der finanziell schädlichsten Online-Verbrechen„. Betrüger und Cyberkriminelle sind Teil einer ruchlosen Gemeinschaft, die Social-Engineering-Taktiken und Phishing-E-Mails verwendet, um ihre Cyberverbrechen durchzuführen. Zu verstehen, wie ein Betrug funktioniert, kann dazu beitragen, dass Ihr Unternehmen nicht Opfer eines solchen Cyberangriffs wird. Hier erfahren Sie, wie die Kompromittierung von Geschäfts-E-Mails funktioniert und wie Sie BEC-Betrüger davon abhalten können, das Geld Ihres Unternehmens zu stehlen.

Analyse eines typischen BEC-Angriffs

BEC-Betrüger haben es auf Unternehmen jeder Größe und in allen Branchen abgesehen. Ein BEC-Betrug verwendet Social Engineering und manipuliert die betroffenen Mitarbeiter, während sich die Zerstörungskette durch eine Organisation bewegt. Im Jahr 2020 stellte die Ermittlungseinheit für Cyberkriminalität des FBI, IC3, fest, dass Cyberkriminelle mit BEC-Techniken über 2 Milliarden Dollar von US-Unternehmen erbeutet haben. BEC ist im Vereinigten Königreich nicht weniger verbreitet, mit über 500 KMU, die im Jahr 2018 von BEC-Betrügern ins Visier genommen wurden. Kompromittierungen von Geschäfts-E-Mails sind lukrativ, erfordern jedoch ein hohes Maß an Engagement, um an die großen Geldsummen zu gelangen, auf die es die Betrüger abgesehen haben. BEC-Betrug kann als eine fortgeschrittene E-Mail-Bedrohung angesehen werden, da er in der Regel ein Element von E-Mail-Kompromittierung und Phishing in einem frühen Stadium des Angriffszyklus enthält. Hier sind die typischen Prozesse hinter einem BEC-Betrug:

Erste Phase: Informationsbeschaffung und Strategie

BEC-Verbrechen erfordern eine sorgfältige Sammlung von Informationen, um das Verbrechen zu perfektionieren. In dieser Phase sammeln Cyberkriminelle in der Regel allgemeine, öffentlich zugängliche Informationen über ein Unternehmen, die Führungsebene, die Unternehmensstruktur usw. Die Täter verschaffen sich so einen Überblick über die Geschäftstätigkeit des Unternehmens und versuchen herauszufinden, wie und an wen Zahlungen geleistet werden. Ein BEC-Betrüger nutzt dann diese Informationen, um die zweite Phase des Angriffs zu beginnen.

Zweite Phase: E-Mail-Kompromittierung oder E-Mail-Spoofing

Anhand der in der ersten Phase gesammelten Informationen wendet der BEC-Betrüger eine von zwei Taktiken an, um den Angriff fortzusetzen: E-Mail-Kontokompromittierung ist eine Möglichkeit. Bei der Kontoübernahme (ATO) muss der Cyberkriminelle die Anmeldedaten und das Kennwort für ein Ziel-E-Mail-Konto stehlen. Dies kann durch gezieltes Phishing geschehen, was komplizierter wird, wenn ein zweiter Faktor zum Schutz des Kontos verwendet wird. Wenn es den Cyberkriminellen gelingt, ein Konto zu kapern, konzentrieren sie sich entweder auf einen leitenden Angestellten oder auf jemanden, der Zahlungen kontrolliert. Ein gekapertes Konto eines CXO ist sehr wertvoll und kann genutzt werden, um „dringende“ Zahlungen an das Konto des Betrügers zu fordern – sich als „wichtiger Kunde“ ausgebend. Im Falle eines ATO-Mitarbeiters in der Buchhaltung kann der Betrüger den E-Mail-Verkehr überwachen und nach Informationen suchen, wer bezahlt wird, wann die Zahlung erfolgt usw. Mit dieser Kontrolle über die E-Mails eines Unternehmens können sie auch Rechnungen abfangen und die Daten ändern, um sicherzustellen, dass die Zahlungen auf das Konto des Betrügers gehen. Die zweite Möglichkeit ist die Fälschung der E-Mail-Adresse der Zielperson auf C-Level-Führungsebene. Das Spoofing einer E-Mail-Adresse ist eine gängige Form des Phishings und eine anerkannte Methode, um den Empfängern vorzugaukeln, dass die Nachricht von einer bestimmten Person stammt. Ein Beispiel für eine gefälschte E-Mail-Adresse wäre elon.musk@tesia.com oder elon.musk@teslq.com – Sie verstehen schon, einfach zu täuschen. Dies ist schwer zu erkennen, vor allem, wenn Sie ein vielbeschäftigter Mitarbeiter in der Kreditorenbuchhaltung sind.

Dritte Phase: Das Geld herausholen

In der dritten Phase wird das Geld auf das Konto des Betrügers überwiesen. Dies kann verschiedene Formen annehmen und ist Teil der ursprünglichen Strategie, die in den Phasen eins und zwei festgelegt wurde. Typische Formen der Durchführung in Phase drei sind:

• CEO-Betrug: Mit einem gefälschten oder gehackten C-Level-Konto sendet der Betrüger eine als „dringend“ gekennzeichnete E-Mail, in der er erklärt, dass ein wichtiges Kundenkonto verloren geht, wenn nicht bis zu einem bestimmten Zeitpunkt eine große Summe gesendet wird.
• Rechnungsbetrug: Wenn ein E-Mail-Konto gehackt ist, achtet der Betrüger auf Rechnungen, die ins Geschäft kommen, fängt diese ab und ändert die Zahlungsdaten auf dem Konto.

Wie können Sie das BEC-Risiko verringern?

Der BEC-Betrug beginnt mit dem Sammeln von Informationen über das Ziel und wird durch einen fortgeschrittenen E-Mail-Angriff verbreitet, der in der Regel auf einer erfolgreichen Spear-Phishing-Kampagne basiert. Niemand ist von einem BEC-Angriff ausgenommen: Im Jahr 2018 verlor die Wohltätigkeitsorganisation „Save the Children“ 800.000 Pfund durch BEC-Betrüger. Der Angreifer entwendete die Daten eines E-Mail-Kontos und benutzte das Konto zum Versenden von gefälschten Rechnungen. Es gibt mehrere Möglichkeiten, Ihr Unternehmen gegen einen BEC-Angriff zu schützen, die jeweils Bestandteil eines mehrstufigen Ansatzes zur Verringerung des Risikos von BEC-Kampagnen sind:

Schulung der Mitarbeiter über die Funktionsweise von BEC-Angriffen

Kompromittierungen von Geschäfts-E-Mails sind Angriffe, die auf E-Mails basieren und Wachsamkeit erfordern, um sie zu erkennen und zu verhindern. Nutzen Sie Schulungen zur Sicherheitssensibilisierung und Phishing-Simulationen, um sicherzustellen, dass alle Mitarbeiter mit den Tricks und Taktiken vertraut sind, die beim Phishing verwendet werden. Erstellen Sie BEC-spezifische Schulungsprogramme, die sich an Ihre Führungskräfte und Mitarbeiter richten, insbesondere an diejenigen in der Buchhaltung, die mit Zahlungen zu tun haben. Wenn Ihre Zahlungen von einer dritten Partei oder Lieferanten abgewickelt werden, stellen Sie sicher, dass auch diese in die Schulung einbezogen werden.

Zwei-Faktoren-Authentifizierung verwenden

Die Übernahme von E-Mail-Konten ist eine Möglichkeit für BEC-Betrüger. Stellen Sie sicher, dass Ihre E-Mail-Konten so konfiguriert sind, dass sie den Zugang über einen zweiten Faktor erfordern, z. B. einen auf einem mobilen Gerät basierenden Einmalcode zusätzlich zum Passwort.

Sichern Sie Ihre Unternehmensdomäne

BEC-Betrüger registrieren häufig Domänennamen, die der Domäne des Zielopfers ähneln, z. B. www.micr0soft.com oder www.amason.com. Die Betrüger können dann E-Mails versenden, die wie von einem seriösen E-Mail-Konto aussehen. Um dies zu verhindern, sollten Sie Domains registrieren, die Ihrer offiziellen Unternehmensdomäne ähneln.

Einrichtung von Mechanismen zur doppelten Überprüfung von Zahlungen

Schaffen Sie ein Verfahren, bei dem die Mitarbeiter vor einer Geldüberweisung oder der Weitergabe vertraulicher oder persönlicher Informationen Rücksprache mit einem anderen Mitarbeiter halten müssen.

Achten Sie auf Änderungen oder Aktualisierungen

Schaffen Sie eine Sicherheitskultur, indem Sie dafür sorgen, dass alle Mitarbeiter wachsam sind, wenn sich das Verhalten von Mitarbeitern oder Lieferanten ändert. Diese Sicherheitskultur sorgt dafür, dass die Mitarbeiter vor Betrug gewarnt sind und ungewöhnliches Verhalten erkennen, bevor es zu einem Vorfall kommt.

Die Kompromittierung von Geschäfts-E-Mails ist ein lukratives und erfolgreiches Verbrechen. Dieser Erfolg bedeutet, dass es unwahrscheinlich ist, dass das Volumen in den nächsten Jahren abnehmen wird. Die einzige Möglichkeit, dagegen vorzugehen, besteht darin, wachsam zu bleiben und Ihre Mitarbeiter, einschließlich der Führungskräfte, über die Funktionsweise von BEC aufzuklären.