Wir hören oft, dass die E-Mail wegen der sozialen Medien ausstirbt, aber die Wahrheit ist, dass ihre Nutzung weiter zunimmt. Untersuchungen der Radicati Group zeigen, dass die E-Mail-Nutzung bis 2021 auf 319,6 Milliarden gesendete und empfangene E-Mails pro Tag ansteigen wird. Das sind verdammt viele E-Mails. Es stimmt zwar, dass ein großer Teil davon Spam und unerwünscht ist, aber E-Mails sind nach wie vor ein sehr bequemes Mittel, um sowohl mit internen Mitarbeitern als auch mit externen Geschäftspartnern und Kunden zu kommunizieren.
Da E-Mails ein so praktischer Teil der geschäftlichen Kommunikation sind, werden sie für Cyberkriminelle immer die erste Wahl sein, um eine Person oder ein Unternehmen anzugreifen. Wir haben festgestellt, dass 76 Prozent der Unternehmen einen Phishing-Angriff erlebt haben.
Wie immer sind die Cyberkriminellen ein gerissener Gegner und finden viele neue und innovative Wege, um eine Cyberbedrohung zu verursachen. Eine andere sehr erfolgreiche E-Mail-basierte Angriffsmethode ist die des Business Email Compromise, kurz BEC. In diesem Artikel gehe ich darauf ein, was BEC ist und wie wir versuchen können, unser Unternehmen vor dieser unheimlichen Bedrohung zu schützen.
Business E-Mail-Compromise – Einige Beispiele
Eine vom FBI durchgeführte Untersuchung, die sich auf die drei Jahre bis 2016 konzentrierte, ergab, dass BEC weltweit für Geschäftsverluste in Höhe von 5,3 Milliarden USD verantwortlich ist. Hier einige Beispiele von Personen, die Opfer von BEC-Betrug wurden:
Das österreichische Unternehmen FACC Operations GMBH: Das Unternehmen verlor 50 Millionen Euro durch einen BEC-Betrug, als sich Hacker in E-Mails als der Geschäftsführer Walter Stephan ausgaben. Die manipulierten E-Mails baten um dringende Geldüberweisungen – natürlich ging das Geld direkt auf das Bankkonto des Hackers.
Kalifornisches Unternehmen Xoom Corporation: Ein ähnlicher Betrug wie der FACC Operations BEC-Vorfall; dieses Mal wurden etwa 30,8 Millionen USD auf das Konto eines Hackers überwiesen. Der Aktienkurs des Unternehmens sank nach dem Vorfall um 17%.
Spielzeughersteller Mattel: Das Unternehmen händigte 3 Millionen USD an Betrüger aus, die BEC-Techniken einsetzten, um dem Unternehmen vorzugaukeln, es handele sich um eine legitime finanzielle Transaktion.
Diese Beispiele zeigen die Schwere des Problems. Ein BEC-Betrug kann ein Unternehmen Millionen kosten. Grund genug, mehr darüber zu erfahren.
So sieht ein BEC-Betrug aus
Wie viele der erfolgreichsten Methoden, die von Cyberkriminellen eingesetzt werden, basiert auch BEC auf dem gemeinsamen Konzept, menschliches Verhalten zu manipulieren und dabei Technologie einzusetzen. Die allgemeine Bezeichnung dafür ist „Social Engineering“. Es nutzt unsere menschliche Kontaktfreudigkeit und die normale Verbindung zu anderen Menschen, um das Endziel des Kriminellen zu beeinflussen. Im Folgenden finden Sie einige Methoden, wie BEC-Betrüger vorgehen:
CEO-Imitation
Der Betrug bei FACC Operations basierte auf der Vortäuschung einer CEO-E-Mail. Dies kann entweder durch das Hijacking eines tatsächlichen Kontos oder durch die Verwendung einer gefälschten E-Mail-Adresse geschehen, um anderen eine legitime E-Mail vorzugaukeln. Beim Hijacking wird ein tatsächliches E-Mail-Konto gehackt (durch Diebstahl der Anmeldedaten) und übernommen. Spoofing ist eine einfachere Technik, kann aber weniger erfolgreich sein. Eine gespoofte E-Mail kann jedoch sehr schwer zu entlarven sein. Vor allem, wenn der Betrüger beobachtet hat, wie sich der CEO verhält und welche Art von Sprache er verwendet. Gespoofte E-Mail-Adressen sind der echten Adresse sehr ähnlich. Wenn sie zum Beispiel [email protected] in [email protected] ändern, würden nur aufmerksame Personen die andere Domäne erkennen.
Falsche Rechnung
Hacker nutzen Überwachungstechniken, um Informationen über die Arbeitsweise der Finanzabteilung eines Unternehmens zu sammeln. Die Cyberkriminellen nutzen Spear-Phishing-E-Mails, um eine Person in der Abteilung anzusprechen und deren Anmeldedaten für das E-Mail-Konto zu stehlen. Sie achten dann auf Rechnungsmuster und senden schließlich eine gefälschte Rechnung zur Zahlung oder ändern die Zahlungsdaten einer legitimen Rechnung.
Business Email Compromise
BEC ist eine altmodische Masche. Die Masche basiert auf der Manipulation des menschlichen Verhaltens. Die Kriminellen verwenden eine Kombination aus psychologischen Tricks und Know-how, um Sie dazu zu bringen, ihren Willen zu befolgen. Nachfolgend finden Sie einige wichtige Bestandteile, die sie einsetzen:
Überwachung
BEC-Hacker nehmen sich oft Zeit, um zu verstehen, wie ein Unternehmen und seine Mitarbeiter arbeiten und kommunizieren. Ihre E-Mails sollen so echt wie möglich aussehen und den Mitarbeiter, für den sie sich ausgeben, imitieren. Aus diesem Grund verwenden sie ähnliche Formulierungen, damit ihr Opfer ihnen glaubt.
Vertrauen
Der Betrug beruht auf vertrauensvollen Beziehungen. Häufig nutzen die Betrüger bekannte vertrauensvolle Beziehungen wie die zwischen einem CEO und einem Finanzdirektor, um eine Geldüberweisung zu veranlassen. Wenn wir demjenigen, der uns bittet, Geld zu überweisen, vertrauen, werden wir dies mit größerer Wahrscheinlichkeit tun. Vor allem, wenn die Sprache und die Worte, die sie verwenden, dieselben sind wie üblich.
Gute Mitarbeiter
BEC-Betrügereien sind oft am erfolgreichsten, wenn sie ein Gefühl der Dringlichkeit ausnutzen. Dadurch kann das Bedürfnis eines Mitarbeiters, gute Arbeit zu leisten, manipuliert werden. Spoof-E-Mails enthalten Aktionspunkte wie „Bitte bearbeiten Sie diese Überweisung dringend; wenn wir das Geld nicht bis 12 Uhr mittags überweisen, verlieren wir diesen wichtigen Auftrag“. Die Angst, die Schuld zu bekommen, wenn etwas nicht rechtzeitig überwiesen wird, veranlasst den Mitarbeiter dazu, dem Auftrag nachzukommen. Die Dringlichkeit führt auch dazu, dass die Leute gestresst sind, so dass sie weniger Hinweise darauf wahrnehmen, dass es sich tatsächlich um einen Betrug handelt.
Wege zum Schutz vor BEC-Betrug
Wie bei allen Bedrohungen der Cybersicherheit gibt es Möglichkeiten, Ihr Risiko zu verringern und die Cyberkriminellen mit ihren eigenen Waffen zu schlagen. Daher haben wir einige Ideen aufgelistet, wie Sie auf der Hut sein können und somit geschützt sind.
1. Aufmerksam sein
Vergewissern Sie sich zunächst, dass jeder in Ihrem Unternehmen, vom Vorstand bis zu den einzelnen Mitarbeitern, weiß, was ein BEC-Betrug ist und wie er zustande kommen kann. Sensibilisieren Sie insbesondere gezielte Geschäftsbereiche, wie z.B. die Finanzabteilung, für diese Bedrohung. Ergreifen Sie Kontrollen und Maßnahmen, wie z.B. einen Telefonanruf, um eine große Überweisung doppelt zu überprüfen.
2. Eine zuverlässige E-Mail-Authentifizierung
Obwohl ein Großteil der BEC-Betrügereien auf Social Engineering basiert, gibt es einige Betrügereien, die sich in E-Mail-Konten hacken. Wenn möglich, sollten Sie eine Zwei-Faktor-Authentifizierung (2FA) für den Zugriff auf ein E-Mail-Konto verwenden. E-Mail-Systeme wie Gmail bieten dies beispielsweise über eine mobile App oder eine SMS an. Beachten Sie, dass die 2FA per SMS einige bekannte Sicherheitsprobleme hat. Daher kann ein Code für eine mobile App sicherer sein.
3. Kontrollierte Domain
Die gefälschten E-Mail-Adressen, die die Kriminellen verwenden, haben oft ähnliche Domains in der E-Mail-Adresse. Stellen Sie sicher, dass Sie alle Domains kaufen, die Ihrer Hauptdomain ähnlich sind. So können Hacker sie nicht missbrauchen.
4. Hygienisch sein
Grundlegende Sicherheitsmaßnahmen wie der Schutz vor Malware sollten immer befolgt werden. Zur Auffrischung Ihres Wissens darüber, was das bedeutet, können Sie einen Blick auf unsere 8 Schritte werfen, um sich im Internet zu schützen. Auch wenn sich dies an den Einzelnen richtet, ist es wichtig, dass jeder in Ihrem Unternehmen diese Schritte kennt.
Fazit
Das Beängstigende an Business Email Compromise ist, dass der Hacker zum Spion wird und unser eigenes Verhalten gegen uns verwendet. BEC kann ein sehr kostspieliges Verbrechen sein, das Unternehmen unter großen finanziellen Druck setzt. Mitunter führt es sogar zur Entlassung von Einzelpersonen. Mit einigen einfachen Methoden, wie z.B. einem ausgeprägten Sicherheitsbewusstsein, können Sie die Wahrscheinlichkeit, dass Ihr Unternehmen von dieser schädlichen Cyberkriminalität betroffen ist, minimieren.
-
-
-
https://vpnoverview.com/de/sicheres-internet/geschaeftlich/business-email-compromise/
