Business Email Compromise (BEC) ist eine schnell wachsende Bedrohung für die Cybersicherheit, mit der alle Unternehmen, insbesondere kleine und mittlere Betriebe (KMU), konfrontiert sind. [...]
Das Internet Crime Complaint Center (IC3) des FBI berichtet in seinem 2020 Internet Crime Report, dass in diesem Jahr in den USA 19.369 Beschwerden zu BEC-Vorfällen mit einem bereinigten Schadensvolumen von über 1,8 Milliarden US-Dollar eingegangen sind. BEC-Angriffe erfolgen in erster Linie per E-Mail, können aber auch über SMS-Nachrichten, Sprachnachrichten und sogar Telefonanrufe durchgeführt werden. BEC-Angriffe zeichnen sich dadurch aus, dass sie sich in hohem Maße auf sogenannte „Social Engineering“-Techniken stützen. Das bedeutet, sie nutzen Tricks und Schwächen wie Gutgläubigkeit aus, um Menschen zu täuschen.
Solche Angriffe können sehr effektiv sein, und jeder kann ihnen zum Opfer fallen, unabhängig davon, wie reich oder erfahren er*sie ist. Im Februar 2020 hätte Barbara Corcoran – die amerikanische Geschäftsfrau, Investorin und Jurorin der Reality-Fernsehshow „Shark Tank“ – durch einen BEC-Betrug fast 400 000 Dollar verloren. Glücklicherweise konnte sie durch schnelles Handeln das Geld zurückholen. Die Statistiken des FBI dazu zeigen jedoch, dass nicht alle so viel Glück haben.
Da BEC-Angriffe so stark auf Social Engineering beruhen, schützt herkömmliche Sicherheitssoftware nicht immer davor. Das bedeutet, dass Sie und Ihre Mitarbeiter*innen eine wichtige Rolle beim Schutz vor solchen Angriffen spielen. Umso wichtiger ist es, zu verstehen, was BEC-Angriffe sind und wie sie funktionieren.
Wie BEC-Angriffe ablaufen
BEC-Angriffe können vielfältig sein, aber sie lassen sich alle auf eine einfache Formel reduzieren. Ein Angreifer versucht, einen Mitarbeiter davon zu überzeugen, Geld an die Angreifer zu schicken, indem er sich als jemand ausgibt, dem der Mitarbeiter vertraut. Die Angreifer versuchen oft, die Chancen mit zwei Maßnahmen zu erhöhen. Erstens versuchen sie ihren Angriff durch eine geschickte Auswahl der Person, für die sie sich ausgeben wollen, möglichst glaubhaft erscheinen zu lassen. Zweitens versuchen sie, ein Gefühl der Dringlichkeit zu erzeugen, damit das potenzielle Opfer die Transaktion nicht hinterfragt. Dadurch hält die Person vermutlich nicht die korrekten Zahlungsabläufe ein, die den Betrug später aufdecken könnten. Manchmal kombinieren die Angreifer diese beiden Taktiken geschickt, um möglichst effektiv zu sein.
Eine Art von BEC-Angriffen, die wir beobachtet haben, besteht beispielsweise darin, dass ein Angestellter eine dringende Nachricht vom CEO oder einer anderen hochrangigen Führungskraft erhält. In dieser heißt es, dass der Angestellte eine überfällige Rechnung bezahlen oder Geschenkkarten für eine dringende Firmenveranstaltung besorgen soll, und zwar sofort. Dabei kann es sich um E-Mail- oder Textnachrichten handeln, aber die Angreifer haben sogar schon technisch versierte Fälschungen eingesetzt, um Sprachnachrichten und Anrufe zu imitieren. Eine Führungskraft verlor 2019 durch einen solchen Angriff 220.000 Euro (ca. 243.000 US-Dollar), als Angreifer eine Deep-Fake-Technologie nutzten, um sich als sein CEO auszugeben.
Bei einer anderen Art von BEC-Angriff verwenden die Angreifer gefälschte und kompromittierte E-Mail-Konten, um einen Mitarbeiter davon zu überzeugen, dass er es mit einem legitimen Anbieter zu tun hat. Die Angreifer tauschen möglicherweise mehrere E-Mails mit dem beabsichtigten Opfer aus, um es davon zu überzeugen, dass es sich um einen echten Anbieter handelt, und schicken ihm dann eine gefälschte Rechnung. Auf diese Weise wurde der Angriff auf Barbara Cocoran durchgeführt.
Eine dritte Art von BEC-Angriffen zielt auf die Gehaltsabrechnung von Unternehmen ab. Dabei geben sich die Angreifer als Angestellte aus und versuchen, die Mitarbeiter der Gehaltsabrechnungsabteilung dazu zu bringen, die direkten Gehaltszahlungen der Angestellten auf ihr eigenes Bankkonto zu transferieren. Diese Angriffe sind subtiler und erfordern mehr Zeit, können aber sehr effektiv sein.
In fast allen Fällen ist es das Ziel der BEC-Angreifer, auf eine von zwei Arten an Geld zu gelangen: Elektronische Überweisungen (einschließlich Kryptowährungen) oder Geschenkkarten. Die Verwendung von Geschenkkarten für einen solchen Angriff mag zwar überraschen, aber die Angreifer haben herausgefunden, dass dies ein einfacher Weg ist, um Geld zu transferieren und zu waschen.
Wie Sie sich gegen BEC-Angriffe schützen können
BEC-Angriffe sind eigentlich altmodische Betrugsmaschen, bei denen die moderne Technologie zum Einsatz kommt: Diese Art von Betrug gab es schon lange, bevor E-Mail oder Voicemail existierte. Da es sich nicht um technologiebasierte Angriffe handelt, bedeutet dies, dass technologiebasierte Lösungen gegen diese Angriffe nicht so effektiv sind wie beispielsweise gegen Ransomware. Eine gut gemachte BEC-E-Mail ist beispielsweise für Sicherheitssoftware nur schwer von einer legitimen E-Mail zu unterscheiden, vor allem, wenn sie von dem echten – aber kompromittierten – Konto einer vertrauenswürdigen Person stammt.
Das bedeutet, dass sich der Schutz vor BEC-Angriffen auf zwei Säulen konzentrieren muss: Sie und Ihre Mitarbeiter.
Erstens: Informieren Sie sich und Ihre Mitarbeiter über BEC-Angriffe. Sie und Ihre Mitarbeiter sollten lernen, misstrauisch zu sein, wenn plötzlich eine unerwartete E-Mail vom CEO kommt, in der es heißt: „Sie müssen heute Geschenkkarten im Wert von 5.000 Dollar für eine Geburtstagsfeier besorgen, schicken Sie mir die Karten und erzählen Sie niemandem davon”. Sind Mitarbeiter für mögliche Angriffsszenarien sensibilisiert, laufen viele dieser Angriffe einfach unternehmensweit ins Leere.
Zweitens sollten Sie darauf hinweisen, wie wichtig es ist, Zahlungsaufforderungen zu überprüfen und die festgelegten Regeln für das Bezahlen von Rechnungen, die Änderung von Kontodaten und den Kauf und Versand von Geschenkkarten einzuhalten. Lassen Sie die Mitarbeiter beispielsweise wissen, dass sie einen Mitarbeiter oder Lieferanten anrufen sollen, der eine Zahlung verlangt. Vergewissern Sie sich, dass sie die bei Ihnen gespeicherte Nummer verwenden und sich von der Rechtmäßigkeit der Rechnung oder des Antrags überzeugen, bevor sie etwas anderes tun.
Weisen Sie darauf hin, dass die Mitarbeiter auch dann, wenn die Anfragen von hochrangigen Mitarbeitern Ihres Unternehmens zu kommen scheinen, die Legitimität überprüfen müssen. Die Angreifer versuchen, ihre Opfer davon zu überzeugen, diese Angriffe geheim zu halten, um ihre Erfolgschancen zu erhöhen, und sie nutzen den Widerwillen der Mitarbeiter aus, die Verantwortlichen in der Firma in Frage zu stellen. Machen Sie deutlich, dass Mitarbeiter in solchen Situationen unbedarft Fragen stellen können und sollten.
Letztlich sind BEC-Angriffe erfolgreich, weil die Angreifer ihren Opfern eine Täuschung vorgaukeln. BEC-Angriffe nutzen zwar zeitgemäße Technologie, sind aber eigentlich nur eine moderne Abwandlung uralter Betrügereien und Gaunereien. Um sie zu vereiteln, muss man sich auf die neuen Vorgehensweisen dieser alten Betrügereien einstellen.
Die gute Nachricht ist, dass Sie diese Angriffe mit der richtigen Schulung, Ausbildung und der Einhaltung der entsprechenden Richtlinien und Verfahren verhindern können. Sie müssen sich nur die Zeit nehmen, sich selbst und Ihre Mitarbeiter*innen darüber aufzuklären, dass es diese Betrügereien gibt, wie sie funktionieren und wie man mit Zahlungsaufforderungen richtig umgeht – unabhängig davon, wie sie übermittelt werden.
*Christopher Budd ist Global Senior Threat Communications Manager bei Avast.
Be the first to comment