Anzeige

Phishing

Das FBI beschreibt Business-E-Mail Compromise (BEC) als einen ausgeklügelten Betrug, auch CEO-Betrug genannt, der auf Unternehmen abzielt, die mit ausländischen Lieferanten zusammenarbeiten und/oder regelmäßig Überweisungen tätigen.

Bei diesem Betrug werden legitime geschäftliche E-Mail-Konten durch Social-Engineering- oder Computer-Intrusionstechniken kompromittiert, um unbefugte Geldüberweisungen durchzuführen. Der Betrug erfolgt durch die Kompromittierung legitimer geschäftlicher E-Mail-Konten durch Social-Engineering- oder Computer-Intrusionstechniken, um unbefugte Geldtransfers durchzuführen.

Das Problem ist, dass BEC inzwischen massive finanzielle Verluste verursacht und pro Vorfall einen größeren Schaden anrichtet als andere Arten von Cyberkriminalität. Einem aktuellen Bericht von GreatHorn zufolge sind gefälschte E-Mail-Konten oder Websites, die am häufigsten auftretende Form von BEC-Angriffen. 71 Prozent der Unternehmen gaben an, dass sie im vergangenen Jahr einen solchen Angriff erlebt haben. Und laut dem FBI’s 2020 Internet Crime Report sind BEC-Angriffe für Verluste verantwortlich, die 64 Mal höher sind als bei Ransomware. Das FBI schätzt außerdem, dass Unternehmen im vergangenen Jahr 1,8 Milliarden US-Dollar durch BEC-Betrug verloren haben. 

Ein Beispiel für die Tragweite solcher Attacken ist der Vorfall bei der Bank of America. Sie wurde Opfer eines BEC-Angriffs, bei dem insgesamt fünf Unternehmen um mehr als 1,1 Millionen US-Dollar betrogen wurden. Der Angreifer eröffnete mehrere Bankkonten, die den Anschein erweckten, von legitimen Unternehmen zu stammen. Obwohl Ransomware die Schlagzeilen beherrscht, ist es in Wirklichkeit BEC, über das sich die Unternehmen Sorgen machen und ihre Mitarbeiter, insbesondere die Führungskräfte, schulen müssten, damit diese sich dem erheblichen Bedrohungspotenzial bewusst werden.

Ein weiterer, wenn auch weniger drastischer Fall, ereignete sich in Leipzig, Anfang September, wo ein junger Mann an seine Firmenadresse eine E-Mail von einem Unbekannten bekam, der sich als Geschäftsführer seiner Firma ausgab. Darin wurde er aufgefordert, sich bei diesen auf einer mitgesandten Handynummer per Messenger zu melden und sich Google Play-Karten, ITunes-Karten, Steam-Karten und Apple-Karten zu besorgen. Das Opfer folgte den Anweisungen und übersendete dem Unbekannten die Codes der erworbenen Gutscheine. Nach erfolgter Rücksprache mit seinem tatsächlichen Chef, wurde klar, dass die E-Mail nicht von ihm stammte und es sich um einen BEC-Betrug handelte. Insgesamt entstand dadurch ein finanzieller Schaden im mittleren vierstelligen Bereich. 

Die wichtigsten Angriffsmethoden, auf die Bedrohungsakteure bei den immer häufiger auftretenden Attacken zurückgreifen, lassen sich grundsätzlich in vier Kategorien aufteilen:

1.Phishing

Phishing-E-Mails werden an eine große Anzahl von Benutzern gleichzeitig gesendet, um vertrauliche Informationen zu „fischen“, indem sie sich als seriöse Quellen ausgeben - oft mit legitim aussehenden Logos im Anhang. Banken, Kreditkartenanbieter, Zustelldienste, Strafverfolgungsbehörden und das Finanzamt sind nur einige der gängigen gefälschten Marken. Bei einer Phishing-Kampagne werden in der Regel E-Mails an eine große Zahl von Benutzern verschickt. Die meisten von ihnen sind an Personen gerichtet, die diese Bank nicht nutzen, aber durch die schiere Anzahl der Empfänger erreichen diese E-Mails einen bestimmten Prozentsatz der möglichen Kandidaten.

2. Speer-Phishing

Dies ist eine sehr viel gezieltere Form des Phishings. Der Cyberkriminelle hat sich entweder über die Gruppe informiert oder Daten von Social-Media-Plattformen gesammelt, um Nutzer zu täuschen. Eine Spear-Phishing-E-Mail geht in der Regel an eine Person oder eine kleine Gruppe von Personen, die diesen Dienst nutzen. Sie enthält eine Form der Personalisierung - vielleicht den Namen der Person oder den Namen eines Kunden.

3. Executive Whaling

Hier haben es die Angreifer vor allem auf leitende Angestellte und Verwaltungsangestellte abgesehen, um Geld von Konten abzuschöpfen oder vertrauliche Daten zu stehlen. Diese Art von Betrug zeichnet sich durch Personalisierung und detaillierte Kenntnis der Führungskraft und des Unternehmens aus.

4. Social Engineering

In einem Sicherheitskontext bedeutet Social Engineering den Einsatz von psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des Social Engineering kann auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln. LinkedIn, Facebook und andere Plattformen bieten eine Fülle von Informationen über die Mitarbeiter eines Unternehmens. Dazu gehören Kontaktinformationen, Verbindungen, Freunde & Mitarbeiter, laufende Geschäftsabschlüsse und vieles mehr.

Fazit

CEO-Betrug hat laut FBI mittlerweile rund 26 Milliarden US-Dollar an Schaden angerichtet. Sicherheitsvorfälle, die auf diese Angriffstechnik zurückführen lassen, lassen sich auf der ganzen Welt nachweisen. Zwischen Mai 2018 und Juli 2019 gab es einen Anstieg der weltweit festgestellten finanziellen Verluste um 100 Prozent. Diese Form des Betrugs wurde aus 150 Ländern gemeldet, darunter auch Deutschland.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

Phishing
Okt 13, 2021

Anti-Phishing-Tipps für mehr Sicherheit im Netz

Phishing-Attacken – etwa in Form einer Mail vom nigerianischen Prinzen – gibt es nicht…
Email
Sep 17, 2021

E-Mail-Bedrohungen nehmen zu

Zix Corporation (Zix), Anbieter von Cloud-Lösungen für E-Mail-Sicherheit, Produktivität…
Scams
Jul 12, 2021

Social Engineering Scams nehmen zu, lassen sich aber verhindern

Laut einer Untersuchung von Ayelet Biger-Levin von der US-Firma BioCatch haben im ersten…

Weitere Artikel

Black Friday

DDoS-Angriffe am Black-Friday-Wochenende brechen Rekorde

Das vergangene Cyber Weekend lockte nicht nur Schnäppchenjäger ins Internet. Neueste Auswertungen des IT-Sicherheitsanbieters Link11 zeigen, dass auch Cyberkriminelle versuchten, die Gunst der Stunde zu nutzen.
Cybercrime

Cyberkriminelle nutzen neue Angriffstechnik in Sachen Phishing

Die Cybersecurity-Experten von Proofpoint waren kürzlich in der Lage, eine neue, von Cyberkriminellen genutzte Angriffstechnik in puncto Phishing zu enttarnen. Bei der sogenannten „RTF Template Injection“ werden mittels einer RTF-Datei gefährliche Inhalte von…
Supply Chain

Das schwächste Glied: Angeschlagene Lieferketten im Fokus von Hackern

Seit Monaten versuchen Logistikunternehmen und Händler auf der ganzen Welt den Auswirkungen der Pandemie Herr zu werden. Bei steigender Nachfrage – gerade auch durch das anstehende Weihnachtsgeschäft – haben sie mit drastischen Engpässen und Verspätungen zu…
Monero Miner

Böses Omen: Tor2Mine Kryptominer mit neuen Varianten

Sophos hat neue Erkenntnisse über den Tor2Mine Kryptominer veröffentlicht. "Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge. Tor2Mine ist jedoch viel aggressiver als…
Router

Hacker willkommen: Lücken in sämtlichen gängigen WLAN-Routern

Neun WLAN-Router bekannter Hersteller fanden sich kürzlich unter Laborbedingungen im Sicherheitstest wieder – mit verheerenden Ergebnissen im Bereich IT Security.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.