Business E-Mail Compromise (BEC): Das sollten Sie wissen

Business E-Mail Compromise (BEC) ist eine Art von Phishing-Betrug per E-Mail, bei dem ein Angreifer versucht, Mitglieder einer Organisation dazu zu bringen, z.B. Geldmittel oder vertrauliche Daten zu übermitteln. Der aktuelle Arctic Wolf Labs Threat Report fand heraus, dass sich diese Angriffstaktik fest etabliert hat. [...]

Foto: MohamedHassan/Pixabay

Sie ist einfach in der Umsetzung – und funktioniert: Warum sollten sich Angreifer die Mühe machen, sich Zugang zu Unternehmensanwendungen zu verschaffen, Dateien zu stehlen und zu verschlüsseln, ein Lösegeld auszuhandeln, um dann Kryptowährungen zu kassieren, wenn sie stattdessen jemanden davon überzeugen können, das Geld direkt zu überweisen?

Entsprechend ging laut des aktuellen Arctic Wolf Labs Threat Reports knapp ein Drittel (29,7 %) aller von Arctic Wolf Incident Response untersuchten Fälle auf das Konto von BEC. Die Zahl der durchgeführten BEC-Untersuchungen verdoppelte sich dabei in der ersten Hälfte des Jahres 2023 – ein zusätzlicher Anstieg zu den 29 %, die bereits von 2021 auf 2022, verzeichnet wurden.

Der Arctic Wolf Labs Threat Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gibt tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeigt globale Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen für das kommende Jahr.

BEC – eine unterschätzte Bedrohung

Da der unmittelbare Schaden durchschnittlich niedriger ausfällt als bei Ransomware, folgt jedoch weniger häufig eine volle Incident-Response-Untersuchung. Dennoch sollten Unternehmen wachsam sein, denn im Einzelfall – wenn BEC-Betrug beispielsweise zu einer Datenpanne führt – können die Kosten ins Unermessliche steigen.

Laut des IBM Cost of a Data Breach Report 2023 sind BEC-Betrügereien die drittteuerste Art von Datenschutzverletzungen und kosten im Durchschnitt 4,67 Millionen US-Dollar. Die schiere Zahl der BEC-Vorfälle und die damit verbundenen direkten und indirekten Kosten zeichnen ein Bild von einer Bedrohung, die mehr Aufmerksamkeit in der Geschäftswelt verdient.

Diese Arten von BEC gibt es

BEC-Betrug gibt es in vielen Formen, von denen sich einige überschneiden. Derzeit machen sechs Arten die große Mehrheit der Vorfälle aus:

  • CEO/Executive Fraud: 
    • Ein Angreifer, der sich als CEO oder eine andere Führungskraft innerhalb eines Unternehmens ausgibt, sendet einer Person mit der Befugnis zur Überweisung von Geldern eine E-Mail mit der Bitte um eine Überweisung auf ein vom Angreifer kontrolliertes Konto.
  • Attorney Impersonation: 
    • Ein Angreifer gibt sich als Anwalt oder Rechtsvertreter des Unternehmens aus und sendet einem Mitarbeitenden eine E-Mail mit der Bitte um Übersendung von Geldmitteln oder sensible Daten. Diese Art von BEC-Angriffen zielt in der Regel auf Mitarbeiterinnen und Mitarbeiter der unteren Ebene ab.
  • Datendiebstahl:
    • Ein Angreifer hat es auf Mitarbeitende der Personal- und Finanzabteilung abgesehen, um an persönliche oder sensible Informationen über einzelne Personen innerhalb des Unternehmens, z.B. Geschäftsführer und Führungskräfte, zu gelangen. Diese Daten können dann für künftige Cyberangriffe genutzt werden. In selteneren Fällen kann ein Angreifer, der sich als Kunde oder Lieferant ausgibt, einen Empfänger (z.B. in einer rechtlichen oder technischen Funktion) auffordern, geistiges Eigentum oder andere sensible oder geschützte Informationen zu übermitteln.
  • Account Compromise: 
    • Bei dieser Variante (die auch unter dem BEC-Synonym E-Mail-Account Compromise (EAC) bekannt ist) gibt sich ein Angreifer nicht einfach als Besitzer eines vertrauenswürdigen E-Mail-Kontos aus, sondern es gelingt ihm, Zugriff auf ein rechtmäßiges E-Mail-Konto zu erlangen. Er nutzt dieses, um den Betrug auszuführen, indem er E-Mails von dem gekaperten Konto aus versendet und beantwortet. Dabei setzt er manchmal Filterwerkzeuge und andere Techniken ein, um zu verhindern, dass der tatsächliche Kontoinhaber diese Aktivitäten bemerkt.
  • False Invoice Scheme / Scheinrechnungen: 
    • Ein Angreifer, der sich als bekannter Verkäufer oder Lieferant ausgibt, sendet eine E-Mail an eine Person mit der Befugnis, Geld zu überweisen und bittet um eine Überweisung auf ein vom Angreifer kontrolliertes Konto.
  • Product Theft:
    • Eine relativ neue Masche – auf die das FBI im März 2023 aufmerksam machte – bei der ein Angreifer, der sich als Kunde ausgibt, ein Unternehmen dazu bringt, eine große Menge an Produkten auf Kredit zu verkaufen (und zu versenden).

Wie kann man sich schützen?

Unternehmen sollten alle (!) ihre Mitarbeitenden über die Betrugsmasche aufklären und eine Sicherheitskultur etablieren, die dazu einlädt, Sicherheitsbedenken jederzeit zu äußern und zu überprüfen.

Mitarbeitende sollten zudem bei jeder E-Mail darauf achten, ob die E-Mailadresse korrekt oder aber verkürzt oder abgeändert ist und ob die Tonalität der Nachricht der Unternehmenskultur oder dem Schreibstil des jeweiligen (angeblichen) Absenders entspricht.

Außerdem ist es hilfreich für bestimmte Prozesse, z.B. im Accounting, einen klaren Freigabeprozess zu definieren, um zusätzliche Sicherheitsnetze einzubauen.

Im Verdachtsfall sollten alle Mitarbeitenden zudem den Kommunikationskanal wechseln und zum Beispiel über eine bekannte Telefonnummer checken, ob eine Überweisungsaufforderung an ein neues Konto wirklich von dem angegebenen Absender innerhalb des Unternehmens stammt.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*