Eine Kurzanleitung zu Business Email Compromise (BEC)

Business Email Compromise (BEC), auch bekannt als CEO-Betrug, ist eine Art von Phishing-Angriff, bei dem sich ein Cyberkrimineller als eine hochrangige Führungskraft ausgibt, um einen Mitarbeiter, Kunden oder Lieferanten davon zu überzeugen, Geld auf ein betrügerisches Konto zu überweisen oder sensible Informationen preiszugeben.

Durch die Kompromittierung offizieller E-Mail-Konten können die Kriminellen die Online-Aktivitäten überwachen und herausfinden, wer die Zugangsdaten hat, um Geldtransfers zu veranlassen. In den meisten Fällen geben sich die Angreifer als CEO, CFO oder eine andere Führungskraft aus, und sie kombinieren in der Regel eine Reihe von  Social-Engineering-Techniken, um den Benutzer zum Handeln zu bewegen.

In den letzten Jahren hat die Zahl der Business Email Compromise-Angriffe stark zugenommen. Laut dem jüngsten Bericht zur Bewertung der E-Mail-Sicherheitsrisiken des E-Mail-Management-Unternehmens Mimecast haben BEC-Angriffe allein im letzten Quartal um 80 % zugenommen.

Der weltweite Schaden durch Business Email Compromise liegt bei über 12,5 Milliarden Dollar, und die Opfer können beträchtliche Verluste erleiden, wie eine Reihe von hochkarätigen Angriffen in jüngster Zeit gezeigt hat.

Im März 2018 wurde die französische Kinokette Pathé Opfer eines ausgeklügelten Business Email Compromise-Betrugs, der sie über 19 Millionen Euro kostete.

Die Betrüger gaben sich als CEO aus und überzeugten den Geschäftsführer und den Finanzchef der niederländischen Niederlassung der Marke, das Geld in fünf aufeinanderfolgenden Überweisungen zu überweisen.

Obwohl der Verdacht aufkam, gelang es den Kriminellen, ihren Betrug so überzeugend wie möglich erscheinen zu lassen, indem sie E-Mails erstellten, die mit der offiziellen Pathé-Domain fast identisch waren. Das Unternehmen verlor 10 % seiner Gesamteinnahmen und beide Führungskräfte wurden entlassen.

Der Angriff zeigte, mit welcher Liebe zum Detail Cyberkriminelle ein Unternehmen infiltrieren und welche weitreichenden Folgen ein BEC-Angriff für ein Unternehmen haben kann.

Wie ein Business Email Compromise-Betrug funktioniert

Im Gegensatz zu traditionellen Im Gegensatz zu Phishing-Angriffen, die in der Regel auf eine große Anzahl von Mitarbeitern abzielen, sind BEC-Angriffe hochgradig fokussiert und gezielt. Kriminelle verbringen viel Zeit damit, Personen in hochrangigen Unternehmenspositionen ausfindig zu machen, bevor sie einen Angriff starten.

Um die Korrespondenz so überzeugend wie möglich erscheinen zu lassen, durchforsten die Gauner die Websites von Unternehmen, Online-Quellen und soziale Medien wie LinkedIn, um so viele Informationen wie möglich über ihr potenzielles Opfer zu sammeln.

Sobald sie ihre Recherchen abgeschlossen haben, setzen sie eine gezielte Technik ein, wie z.B. Spear Phishing, um Zugang zu Unternehmenssystemen zu erhalten. Sobald sie Zugang haben, können die Kriminellen genau beobachten, wie finanzielle Transaktionen durchgeführt werden, bevor sie einen Angriff starten.

Der Kriminelle schickt dann eine gefälschte E-Mail von einem vermeintlichen CEO, in der er einen Mitarbeiter des Unternehmens um eine dringende Überweisung bittet. Die gezielte Ansprache hilft der E-Mail, durch die Spam-Filter zu schlüpfen, und die Verwendung einer gefälschten E-Mail-Adresse verleiht der Anfrage zusätzliche Legitimität.

Die Kriminellen gehen so sehr ins Detail, dass sie ihren Angriff oft dann starten, wenn der Senior Executive geschäftlich unterwegs ist und die Anfrage nicht persönlich überprüfen kann. Wenn das Opfer auf den Betrug hereingefallen ist, wird das überwiesene Geld schnell auf Konten im Ausland überwiesen, so dass es schwierig ist, das gestohlene Geld jemals zurückzufordern.

Arten von E-Mail-Betrügereien für Unternehmen

CEO-Betrug – Bei dieser Art von Angriff geben sich die Cyberkriminellen als CEO oder eine andere hochrangige Führungskraft aus. Sobald deren Konto gehackt und die E-Mail-Adresse gefälscht wurde, senden sie eine E-Mail an einen Mitarbeiter, in der sie um eine Überweisung auf ein eigens eingerichtetes Konto bitten. Die E-Mails sind oft als dringlich gekennzeichnet, um den Mitarbeiter davon abzuhalten, die Anfrage zu überprüfen oder sie mit einem anderen Mitarbeiter zu besprechen.

Das Schema der Scheinrechnungen – Dieser spezielle Betrug wird häufig gegen Unternehmen eingesetzt, die viele Lieferanten im Ausland haben. Die Unternehmen erhalten eine E-Mail von einem ihrer derzeitigen Lieferanten, in der sie aufgefordert werden, das Zahlungsziel zu ändern. Alle Zahlungen werden dann direkt auf das Konto des Betrügers überwiesen.

Kontokompromittierung – Diese Art von Angriffen kommt eher bei kleineren Unternehmen vor, bei denen die Rechnungsstellung direkt per E-Mail erfolgt. Die Cyberkriminellen hacken das E-Mail-Konto eines Mitarbeiters und fangen alle E-Mails ab, die eine Rechnung enthalten. Sobald sie ihr Ziel ausgewählt haben, setzen sie sich mit dem Lieferanten in Verbindung und teilen ihm mit, dass es ein Problem mit der Zahlung gab, und bitten ihn, die Zahlung an ein anderes betrügerisches Konto zu überweisen, das sie eingerichtet haben.

Anwaltsimitation – Bei diesem Betrug geben sich die Kriminellen als Anwaltskanzlei eines Unternehmens aus und bitten um die dringende Überweisung von Geldern, um einen Rechtsstreit oder eine unbezahlte Rechnung zu klären. Dem Angestellten wird gesagt, dass die Angelegenheit streng vertraulich sei, um die Wahrscheinlichkeit zu verringern, dass er die Anfrage mit jemand anderem bespricht. Die Angriffe finden oft am Ende der Arbeitswoche statt, um den Angestellten unter zusätzlichen Druck zu setzen, schnell zu handeln.

Datendiebstahl – Dies ist der einzige BEC-Betrug, bei dem keine direkte Banküberweisung verlangt wird. Beim Datendiebstahl dringt ein Cyberkrimineller in das E-Mail-Konto eines leitenden Angestellten ein und bittet darum, ihm sensible Unternehmensdaten zuzusenden. Diese Art von Angriffen zielt in der Regel auf Personal- und Finanzabteilungen ab und ist oft der Vorläufer einer größeren und schädlicheren Cyber-Attacke.

Warnzeichen eines Angriffs auf die geschäftliche E-Mail-Kommunikation

• Großer Geldtransfer an einen Empfänger, mit dem das Unternehmen noch nie zu tun hatte.
• Überweisungen, die gegen Ende des Tages/der Arbeitswoche eingeleitet werden.
• E-Mails, die dringende Formulierungen enthalten und geheimnisvoller Natur sind.
• Kleine Änderungen an einer E-Mail-Adresse, die eine legitime Geschäftsadresse imitiert.
• Das Empfängerkonto hat in der Vergangenheit keine großen Geldüberweisungen erhalten.
• Bei dem Empfängerkonto handelt es sich um ein persönliches Konto und nicht um ein registriertes Geschäftskonto.

So verhindern Sie Angriffe auf die E-Mail-Kommunikation von Unternehmen

• Schulungen zum Sicherheitsbewusstsein sind eines der wirksamsten Mittel zur Bekämpfung von BEC-Angriffen. Regelmäßige Schulungen stellen sicher, dass die Mitarbeiter bösartige E-Mails und Social-Engineering-Taktiken erkennen, verdächtige Anfragen identifizieren und die richtigen Protokolle für den Umgang mit Geldüberweisungen befolgen können.
• Training für Führungskräfte – Es ist auch wichtig, dass Führungskräfte der C-Ebene ein rollenspezifisches Training erhalten, das sich mit den besonderen Bedrohungen befasst, denen sie tagtäglich ausgesetzt sind.
• Mitarbeiter sollten alle vertraulichen Anfragen hinterfragen und überprüfen, insbesondere solche, die vom CEO oder anderen leitenden Angestellten des Unternehmens als dringend eingestuft werden.
• Minimieren Sie die Anzahl der Mitarbeiter, die befugt sind, Gelder zu überweisen.
• Verwenden Sie eine mehrstufige Authentifizierung für alle E-Mail-Konten.
• Führen Sie ein zweistufiges Verifizierungsverfahren für alle Zahlungen ein, das eine nicht per E-Mail erfolgende Überprüfung wie eine telefonische oder mündliche Authentifizierung beinhaltet.
• Entwickeln Sie schriftliche Verfahren für die Genehmigung aller finanziellen Transaktionen.
• Senden Sie alle E-Mails über einen verschlüsselten Server.
• Veröffentlichen Sie keine sensiblen Informationen auf Unternehmenswebsites oder in sozialen Medien.
• Ziehen Sie die Verwendung eines E-Mail-Banners in Betracht, das Mitarbeiter darüber informiert, wenn eine E-Mail von einer externen Quelle stammt.

Mitarbeiter stellen die größte Bedrohung für die Sicherheit eines Unternehmens dar. Daher ist es wichtig, dass sie mit den notwendigen Fähigkeiten ausgestattet sind, um Cyberangriffe zu verhindern. MetaLearning Fusion ist die nächste Generation des eLearnings und wurde speziell entwickelt, um Ihren Mitarbeitern die bestmöglichen Schulungen zu Cybersicherheit und Datenschutz zu bieten. Unternehmen können aus einer umfangreichen Bibliothek von kurzen eLearning-Kursen maßgeschneiderte Kurse für ihre Mitarbeiter zusammenstellen.  Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie MetaLearning die Cybersicherheitsschulung in Ihrem Unternehmen verbessern kann.