Business Email Compromise (BEC), auch bekannt als CEO-Betrug, ist eine Art von Phishing-Angriff, bei dem sich ein Cyberkrimineller als hochrangige Führungskraft ausgibt, um einen Mitarbeiter, Kunden oder Lieferanten davon zu überzeugen, Geld auf ein betrügerisches Konto zu überweisen oder sensible Informationen preiszugeben.
Durch die Kompromittierung offizieller E-Mail-Konten können die Kriminellen die Online-Aktivitäten überwachen und herausfinden, wer über die Zugangsdaten zur Einleitung von Geldüberweisungen verfügt. In den meisten Fällen geben sich die Angreifer als CEO, CFO oder eine andere Führungskraft aus, und sie kombinieren in der Regel eine Reihe von Social-Engineering-Techniken, um den Benutzer zum Handeln zu bewegen.
In den letzten Jahren hat die Zahl der Business Email Compromise-Angriffe stark zugenommen. Laut dem jüngsten Bericht zur Bewertung der E-Mail-Sicherheitsrisiken des E-Mail-Management-Unternehmens Mimecast haben BEC-Angriffe allein im letzten Quartal um 80 % zugenommen.
Die weltweiten Verluste aufgrund von Business Email Compromise belaufen sich auf über 12,5 Milliarden Dollar, und die Opfer können erhebliche Verluste erleiden, wie eine Reihe von öffentlichkeitswirksamen Angriffen in jüngster Zeit gezeigt hat.
Im März 2018 wurde die französische Kinokette Pathé Opfer eines ausgeklügelten Business Email Compromise-Betrugs, der sie über 19 Millionen Euro kostete.
Die Betrüger gaben sich als CEO aus und überzeugten den Geschäftsführer und den Finanzchef der niederländischen Niederlassung der Marke, das Geld in fünf aufeinanderfolgenden Überweisungen zu überweisen.
Obwohl der Verdacht aufkam, gelang es den Kriminellen, ihren Betrug so überzeugend wie möglich erscheinen zu lassen, indem sie E-Mails erstellten, die mit der offiziellen Pathé-Domäne fast identisch waren. Das Unternehmen büßte 10 % seiner Gesamteinnahmen ein, und beide Führungskräfte wurden von ihren Posten entlassen.
Der Angriff zeigte, mit welcher Liebe zum Detail Cyberkriminelle ein Unternehmen infiltrieren und welche weitreichenden Folgen ein BEC-Angriff für ein Unternehmen haben kann.
Wie eine E-Mail-Betrugsmasche für Unternehmen funktioniert
Im Gegensatz zu herkömmlichen Phishing-Angriffen, die in der Regel auf eine große Zahl von Mitarbeitern abzielen, sind BEC-Angriffe sehr gezielt und zielgerichtet. Die Kriminellen verbringen viel Zeit damit, Personen in hochrangigen Unternehmenspositionen zu recherchieren, bevor sie einen Angriff starten.
Um die Korrespondenz so überzeugend wie möglich erscheinen zu lassen, durchforsten die Gauner Unternehmenswebsites, Online-Quellen und Websites sozialer Medien wie LinkedIn, um so viele Informationen wie möglich über ihr potenzielles Opfer zu sammeln.
Sobald sie ihre Nachforschungen abgeschlossen haben, nutzen sie eine gezielte Technik wie Spear Phishing, um sich Zugang zu Unternehmenssystemen zu verschaffen. Sobald sie Zugang haben, können die Kriminellen genau beobachten, wie finanzielle Transaktionen durchgeführt werden, bevor sie einen Angriff starten.
Der Kriminelle sendet dann eine gefälschte E-Mail von einem vermeintlichen Geschäftsführer, in der er einen Mitarbeiter des Unternehmens um eine dringende Geldüberweisung bittet. Die gezielte Ansprache auf höchster Ebene hilft der E-Mail, durch Spam-Filter zu schlüpfen, und die Verwendung einer gefälschten E-Mail-Adresse verleiht der Anfrage zusätzliche Legitimität.
Die Kriminellen gehen so sehr ins Detail, dass sie ihren Angriff oft dann starten, wenn die Führungskraft geschäftlich unterwegs ist und die Anfrage nicht persönlich überprüfen kann. Wenn das Opfer auf den Betrug hereingefallen ist, wird das überwiesene Geld schnell auf Konten im Ausland überwiesen, so dass es schwierig ist, das gestohlene Geld jemals zurückzufordern.
Arten von E-Mail-Betrügereien für Unternehmen
CEO-Betrug - Bei dieser Art von Angriff geben sich die Cyberkriminellen als CEO oder eine andere hochrangige Führungskraft aus. Sobald deren Konto gehackt und die E-Mail-Adresse gefälscht wurde, senden sie eine E-Mail an einen Mitarbeiter, in der sie um eine Überweisung auf ein speziell eingerichtetes Konto bitten. Die E-Mails werden oft als dringlich gekennzeichnet, um den Mitarbeiter davon abzuhalten, die Anfrage zu überprüfen oder mit einem anderen Mitarbeiter zu besprechen.
Scheinrechnungen - Diese spezielle Masche wird häufig gegen Unternehmen eingesetzt, die viele Lieferanten im Ausland haben. Die Unternehmen erhalten eine E-Mail von einem ihrer derzeitigen Lieferanten, in der sie aufgefordert werden, das Zahlungsziel zu ändern. Alle Zahlungen werden dann direkt auf das Konto des Betrügers überwiesen.
Kontokompromittierung - Diese Art von Angriffen kommt eher bei kleineren Unternehmen vor, bei denen die Rechnungsstellung direkt per E-Mail erfolgt. Die Cyberkriminellen hacken das E-Mail-Konto eines Mitarbeiters und fangen alle E-Mails ab, die eine Rechnung enthalten. Sobald sie ihr Ziel ausgewählt haben, setzen sie sich mit dem Lieferanten in Verbindung und teilen ihm mit, dass es ein Problem mit der Zahlung gab, und fordern ihn auf, die Zahlung an ein anderes betrügerisches Konto zu überweisen, das sie eingerichtet haben.
Anwaltsimitation - Bei diesem Betrug geben sich Kriminelle als Anwaltskanzlei eines Unternehmens aus und bitten um die dringende Überweisung von Geldern, um einen Rechtsstreit oder eine unbezahlte Rechnung zu klären. Dem Angestellten wird gesagt, dass die Angelegenheit streng vertraulich sei, um die Wahrscheinlichkeit zu verringern, dass er den Antrag mit anderen Personen bespricht. Die Angriffe finden oft am Ende der Arbeitswoche statt, um den Angestellten unter zusätzlichen Druck zu setzen, schnell zu handeln.
Datendiebstahl - Dies ist der einzige BEC-Betrug, bei dem keine direkte Banküberweisung verlangt wird. Zu Datendiebstahl kommt es, wenn ein Cyberkrimineller das E-Mail-Konto eines leitenden Angestellten kompromittiert und darum bittet, ihm sensible Unternehmensdaten zuzusenden. Diese Art von Angriffen zielt in der Regel auf Personal- und Finanzabteilungen ab und ist oft der Vorläufer für einen größeren und schädlicheren Cyberangriff.
Warnzeichen eines Angriffs auf die geschäftliche E-Mail-Kommunikation
- Überweisung eines größeren Betrages an einen Empfänger, mit dem das Unternehmen noch nie zu tun hatte.
- Überweisungen, die gegen Ende des Tages/der Arbeitswoche eingeleitet werden.
- E-Mails, die dringliche Formulierungen enthalten und geheimnisvoller Natur sind.
- Kleine Änderungen an einer E-Mail-Adresse, die eine legitime Geschäftsadresse imitiert.
- Das Empfängerkonto hat in der Vergangenheit keine großen Geldüberweisungen erhalten.
- Bei dem Empfängerkonto handelt es sich um ein Privatkonto und nicht um ein registriertes Geschäftskonto.
Wie man Angriffe auf die E-Mail-Sicherheit von Unternehmen verhindert
- Schulungen zum Sicherheitsbewusstsein sind eines der wirksamsten Mittel zur Bekämpfung von BEC-Angriffen. Regelmäßige Schulungen sorgen dafür, dass die Mitarbeiter bösartige E-Mails und Social-Engineering-Taktiken erkennen, verdächtige Anfragen identifizieren und die richtigen Protokolle für den Umgang mit Geldüberweisungen befolgen können.
- Schulung von Führungsk räften - Es ist auch wichtig, dass Führungskräfte der C-Ebene eine rollenspezifische Schulung erhalten, die sich mit den besonderen Bedrohungen befasst, mit denen sie tagtäglich konfrontiert sind.
- Die Mitarbeiter sollten alle vertraulichen Anfragen hinterfragen und überprüfen, insbesondere solche, die vom CEO oder anderen leitenden Angestellten des Unternehmens als dringend angesehen werden.
- Minimieren Sie die Anzahl der Mitarbeiter, die zur Überweisung von Geldern befugt sind.
- Verwenden Sie für alle E-Mail-Konten eine mehrstufige Authentifizierung.
- Einführung eines zweistufigen Überprüfungsverfahrens für alle Zahlungen, das eine nicht per E-Mail erfolgende Überprüfung wie eine telefonische oder mündliche Authentifizierung beinhaltet.
- Entwicklung schriftlicher Verfahren für die Genehmigung aller finanziellen Transaktionen.
- Senden Sie alle E-Mails über einen verschlüsselten Server.
- Veröffentlichen Sie keine sensiblen Informationen auf Unternehmenswebsites oder in sozialen Medien.
- Ziehen Sie die Verwendung eines E-Mail-Banners in Betracht, das die Mitarbeiter darauf hinweist, dass eine E-Mail von einer externen Quelle stammt.
Die Mitarbeiter stellen die größte Bedrohung für die Sicherheit eines Unternehmens dar. Deshalb ist es wichtig, dass sie mit den notwendigen Fähigkeiten ausgestattet sind, um einen Cyberangriff zu verhindern. MetaLearning Fusion ist die nächste Generation des eLearnings und wurde speziell entwickelt, um Ihren Mitarbeitern die bestmöglichen Schulungen zu Cybersicherheit und Datenschutz zu bieten. Unternehmen können aus einer umfangreichen Bibliothek von kurzen eLearning-Kursen maßgeschneiderte Kurse für ihre Mitarbeiter zusammenstellen. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie MetaLearning die Cybersicherheitsschulung in Ihrer Organisation verbessern kann.