Anzeige

Phishing

Eine der häufigsten Arten von Cyberbetrug ist der Business Email Compromise (BEC). Diese Angriffe waren in den letzten Jahren für Betrugsverluste in Milliardenhöhe verantwortlich.

Bei BEC-Angriffen verschaffen sich Hacker in der Regel Zugang zu einem geschäftlichen E-Mail-Konto und ahmen die Identität des Inhabers nach, um dessen Mitarbeiter, Unternehmenskunden oder -partner dazu zu bringen, Geld auf kriminelle Konten zu überweisen oder sensible Informationen preisgeben. BEC ist auch als Man-in-the-Email-Angriff bekannt. Dies leitet sich vom Man-in-the-Middle-Angriff ab, bei dem zwei Parteien glauben, dass sie direkt miteinander sprechen – in Wirklichkeit hört jedoch ein Angreifer mit und verändert möglicherweise die Kommunikation.

Ablauf eines BEC-Angriffs: Das Vorgehen der Cyberkriminellen

Ein BEC-Betrug beginnt mit der Recherche: Angreifer durchforsten öffentlich zugängliche Informationen über das Unternehmen auf dessen Website, in Pressemitteilungen und Beiträgen in sozialen Medien. Auch automatische E-Mail-Antworten wie Abwesenheitsnotizen können Kriminellen wertvolle Informationen liefern, wie Namen und Titel von Führungskräften, Details zu Unternehmenshierarchie sowie Reisepläne.

Nach der Recherche werden Angreifer versuchen, das E-Mail-Konto einer Führungskraft oder Mitarbeiters zu kapern, beispielsweise durch einen Phishing-Angriff. Um unentdeckt zu bleiben, können Angreifer nach erfolgreicher Kontenübernahme Posteingangsregeln nutzen oder die Antwortadresse so ändern, dass das Opfer den Missbrauch seines Kontos für den BEC-Angriff nicht bemerkt.

Eine weitere Methode, um die Identität eines Mitarbeiters bei BEC-Angriffen zu imitieren, ist die Erstellung einer E-Mail mit einer gefälschten Domain. So nutzt der Angreifer etwa Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! statt Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Einer der berühmtesten Spoofed-Domain-Tricks überhaupt war PayPa1.com – eine Betrugsseite, die die Geldtransfer-Website Paypal.com imitierte.

Nachdem der Angreifer die Unternehmenskommunikation einige Zeit lang ausgekundschaftet hat, besitzt er eine gute Vorstellung von Betrugsszenarien, die funktionieren könnten. Hat das Unternehmen zum Beispiel viele Lieferanten, kann der Angreifer Rechnungen an die Buchhaltung schicken, um eine Zahlung für bestimmte Materialien einzufordern. In diesem Fall weiß der Hacker, wer für Überweisungen zuständig ist und kann ein überzeugendes Szenario entwerfen, das eine sofortige Überweisung erforderlich machen würde.

Während ein BEC-Angriff auf jeden Mitarbeiter im Unternehmen abzielen kann, sind hochrangige Führungskräfte und Personen in der Finanzabteilung die häufigsten Opfer. Whaling und CEO Fraud beschreiben das Phänomen der gezielten Angriffe auf hochrangige Führungskräfte und ist in der Regel schwieriger zu erkennen als herkömmliche Phishing-Angriffe, da sie von den Angreifern besonders detailliert recherchiert sind.

Die häufigsten BEC-Betrugsformen

  • Betrug mit gefälschten Rechnungen: Hierbei nutzen Cyberkriminelle die E-Mail eines Mitarbeiters, um Benachrichtigungen an Kunden und Lieferanten zu senden, in denen er zur Zahlung auf das kriminelle Konto auffordert.
     
  • CEO-Fraud: Hierbei geben sich Angreifer als Geschäftsführer oder andere hochrangige Führungskraft des Unternehmens aus und senden eine E-Mail an Mitarbeiter der Finanzabteilung, in der sie sie auffordern, Geld auf das von ihnen kontrollierte Konto zu überweisen.
     
  • Attorney Impersonation: Angreifer geben sich als Anwalt oder Angestellten einer Kanzlei aus, der angeblich für eine dringende Angelegenheit zuständig ist, und fordert einen Unternehmensmitarbeiter auf, Geld zu überweisen. Normalerweise werden solche gefälschten Anfragen per E-Mail oder Telefon und am Ende des Arbeitstages gestellt.
     
  • Datendiebstahl: Hacker greifen hierbei gezielt Mitarbeiter der Personalabteilung und der Buchhaltung an, um an sensible Daten von Mitarbeitern und Führungskräften zu gelangen. Diese Daten werden häufig für Folgeangriffe missbraucht.

Best Practices zum Schutz vor BEC-Angriffen

Kompromittierungsangriffe auf geschäftliche E-Mails sind aus drei Hauptgründen erfolgreich: Unzureichende Sicherheitsprotokolle, immer ausgefeiltere Social-Engineering-Techniken durch Angreifer sowie mangelnde Aufklärung der Mitarbeiter. Im Folgenden einige Best Practices, mit denen Unternehmen sich vor BEC-Angriffen schützen können:

  • Multi-Faktor-Authentifizierung: MFA sollte als IT-Sicherheitsrichtlinie implementiert werden. Dies hilft, den unbefugten Zugriff auf E-Mail-Konten zu verhindern, insbesondere wenn ein Angreifer versucht, sich von einem neuen Standort aus anzumelden.
     
  • E-Mail-Sicherheitslösung: Empfehlenswert ist zudem der Einsatz eines E-Mail-Sicherheitslösung, die fähig ist, Spear-Phishing- und Cyberfraud-Angriffe, die zu einem erfolgreichen BEC-Betrug führen, automatisch zu erkennen und zu stoppen.
     
  • Mitarbeiterschulungen und Verhaltensrichtlinien: Zusätzlich zu stärkeren Sicherheitsprotokollen ist besonders die Aufklärung der Mitarbeiter wichtig. Sie sollten umfangreich geschult werden, wie sie betrügerische E-Mails erkennen können. Zudem sollten Mitarbeiter stets skeptisch bei eiligen Geldtransferanfragen sein, insbesondere von Führungskräften. Überweisungen sollten nie ohne ein persönliches Gespräch oder einen Telefonanruf zur Überprüfung der Anfrage getätigt werden. Da der CEO die am häufigsten imitierte Rolle ist, sollten Benutzer bei E-Mails von diesem Konto besonders vorsichtig sein und die Legitimität der Nachricht bestätigen, bevor sie etwas unternehmen.
     
  • Simulationstrainings: Mitarbeiter sollten zudem regelmäßig getestet werden, um ihr Sicherheitsbewusstsein für verschiedene gezielte Angriffe wie BEC zu erhöhen. Simulierte Angriffe sind mit Abstand die effektivste Form der Schulung.

Da Business Email Compromise zu einer der lukrativsten Angriffsarten für Cyberkriminelle gehört, werden Hacker stets neue Methoden finden, um Sicherheitsvorkehrungen zu umgehen. Verfolgen Unternehmen jedoch einen mehrschichtigen Verteidigungsansatz aus modernen Technologien, der Implementierung von Verhaltensrichtlinien sowie regelmäßigen Mitarbeitertrainings, können sie das Risiko eines erfolgreichen BEC-Betrugs erheblich reduzieren.

Adam Burns, Director of Cybersecurity
Adam Burns
Director of Cybersecurity, Digital Guardian

Artikel zu diesem Thema

Cybercrime
Dez 03, 2021

Cyberkriminelle nutzen neue Angriffstechnik in Sachen Phishing

Die Cybersecurity-Experten von Proofpoint waren kürzlich in der Lage, eine neue, von…
Phishing
Okt 28, 2021

Business-E-Mail Compromise – die vernachlässigte Cybersecurity-Bedrohung

Das FBI beschreibt Business-E-Mail Compromise (BEC) als einen ausgeklügelten Betrug, auch…
Phishing
Jun 23, 2021

Phishing geht nicht nur per E-Mail

Vom Abfischen von persönlichen Daten, dem Phishing, haben die meisten Internetnutzer…

Weitere Artikel

Cybercrime

Neue Malware DTPacker vereint Fähigkeiten zweier Formen von Schadsoftware

Die Sicherheitsexperten von Proofpoint haben kürzlich eine neue Malware identifiziert, die im Rahmen dutzender Kampagnen von verschiedenen cyberkriminellen Gruppen zum Einsatz gebracht wurde. Der neuentdeckten Malware gaben die Security-Forscher den Namen…
Kryptowaehrung Hacked

Neuer Krypto Wallet Stealer BHUNT agiert weltweit

Die Experten der Bitdefender Labs haben eine neue Familie von Malware zum Stehlen von Krypto Wallets identifiziert: BHUNT kann zum einem Informationen zu Kryptowährungen aus der digitalen Geldbörse eines Opfers entwenden.
Phishing

DHL: die meist imitierte Marke bei Phishing-Versuchen

Der aktuelle Q4 Brand Phishing Report von Check Point Research zeigt auf, welche Marken am häufigsten von Hackern nachgeahmt wurden.
Phishing

Phishing-E-Mails werden immer raffinierter

KnowBe4, der Anbieter für Sicherheitsschulungen und Phishing-Simulationen, gibt die Ergebnisse seines Phishing-Berichts für das vierte Quartal 2021 bekannt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.