Angriffe über gefälschte Geschäfts-E-Mails haben im vergangenen Jahr mehr als 2,4 Milliarden US-Dollar Schaden angerichtet – ein Anstieg von 28 Prozent gegenüber dem Vorjahr. Diese „Business E-Mail Compromise“ (BEC) genannte Angriffsmethode ist damit für die Hälfte aller durch Cyberkriminalität verursachten Kosten verantwortlich, ihr Anteil am Gesamtschaden übersteigt den aller anderen Angriffsarten deutlich.
Allerdings wird BEC oft nur unzureichend verstanden. Viele BEC-Angriffe werden falsch kategorisiert und mit anderen Bedrohungsarten vermischt. Das macht es schwierig, das wahre Ausmaß des Problems zu erfassen und geeignete Abwehrstrategien zu entwickeln.
BEC darf daher nicht als Überbegriff für jede Art E-Mail-basierter Angriffsmethode verwendet werden, zumal jede Attacke einzigartig und auf das jeweilige Opfer zugeschnitten ist. Stattdessen sollten Sicherheitsverantwortliche auf eine Reihe von Merkmalen achten, die typisch für solche Attacken sind, und sie genau analysieren. Je mehr Betroffene und Sicherheitsexperten über diese Art von Angriffen lernen, desto leichter lässt sie sich identifizieren und bekämpfen.
Typisch für jeden BEC-Angriff ist ein Aspekt der Täuschung. E-Mail-Betrüger verwenden eine Reihe von Techniken, um sich als Mitarbeiter oder Geschäftskontakt auszugeben. Sie übernehmen beispielsweise E-Mail-Konten im Unternehmen oder bei Partnern oder fälschen Domains von Lieferanten und anderen Dienstleistern. Von diesen scheinbar vertrauenswürdigen E-Mail-Adressen und Websites aus versuchen sie dann, Mitarbeiter zu einer Aktion zu motivieren.
Welche Aktionen das sind, hängt von der jeweiligen Art des Angriffs ab. In den meisten Fällen geht es aber darum, Geld eines Unternehmens auf die Konten der Angreifer zu transferieren.
Rechnungsbetrug
Rechnungsbetrug liegt dann vor, wenn Cyberkriminelle Mitarbeiter dazu verleiten, gefälschte Rechnungen zu bezahlen oder rechtmäßige Zahlungen auf ein Konto der Angreifer umzuleiten. Da zwischen Unternehmen regelmäßig große Summen transferiert werden, ist dies eine bei Kriminellen sehr beliebte und für Opfer sehr kostspielige Angriffsart.
Es gibt zwei Standardmethoden für einen Rechnungsbetrug per BEC: Entweder senden Cyberkriminelle Rechnungen von einer gefälschten E-Mail-Adresse aus, die einem bekannten Lieferanten zu gehören scheint. Oder sie kapern das E-Mail-Konto eines Lieferanten und veranlassen über diesen Kontakt die Buchhaltung des Opfers dazu, die Zahlungsinformationen für den Geschäftspartner zu ändern und so das Geld auf das Konto der Betrüger umzuleiten. In einigen Fällen kapern Betrüger auch ganze E-Mail-Threads zwischen einem Unternehmen und einem Lieferanten, analysieren den Tonfall und kopieren ihn in ihren eigenen Nachrichten, die sie in eine aktive Konversation einschleusen.
Da die Mitarbeiter nicht bemerken, dass sie es mit einem Betrüger zu tun haben, wird der Rechnungsbetrug oft erst entdeckt, wenn die Waren oder Zahlungen nicht bei den rechtmäßigen Empfängern ankommen. Zu diesem Zeitpunkt sind die Gelder allerdings längst verschwunden.
Umleitung von Gehaltsabrechnungen
Lohnumleitungen gehören zu den einfachsten und effektivsten BEC-Methoden. Hier besteht die Masche darin, das Gehalt eines Mitarbeiters auf das Konto des Angreifers umzuleiten. In den meisten Fällen nutzen die Cyberkriminellen dazu kostenlose E-Mail-Dienste wie Gmail, wobei die Absenderadresse so gefälscht wird, dass sie der des Mitarbeiters ähnelt. Von dieser Adresse aus schickt der Angreifer dann eine E-Mail an die Personalabteilung und bittet um Änderung der Bankdaten. Dass das Geld auf dem Konto eines Betrügers gelandet ist, fällt in der Regel erst dann auf, wenn der Mitarbeiter sich über den fehlenden Gehaltseingang beschwert.
Nach Angaben des FBI beläuft sich der durchschnittliche Verlust durch eine solche Gehaltsumleitung auf über 7.900 US-Dollar. Bei rund 2.000 versuchten Angriffen pro Tag kommen hier schnell erhebliche Summen zusammen.
Vorschussbetrug
Der Vorschussbetrug ist eine der ältesten Formen des Betrugs mit E-Mails. Er wird oft etwas irreführend auch als „419-“ oder „Nigeria-Scam“ bezeichnet und gilt aufgrund der oft plump gemachten und unfreiwillig komischen Anschreiben als wenig gefährlich. Die Folgen für die Opfer sind jedoch alles andere als lustig.
Die Masche ist immer dieselbe: Die Kriminellen, die hinter diesen Angriffen stecken, geben sich oft als Nachkommen von Adeligen, Anwälte oder als Mitglieder einer Regierungsorganisation aus und berichten von einer großen Erbschaft, einem Lottogewinn oder einer Spende in Millionenhöhe, die sie dem Adressaten in Aussicht stellen. Die E-Mails kommen meist von seriös aussehenden, aber gefälschten Domains. Um an das Geld zu kommen, müssen allerdings Anträge ausgefüllt, Beweise beigebracht oder Beamte bestochen werden, wofür der E-Mail-Versender einen kleinen Vorschuss benötigt. Meist geben sich die Betrüger mit einer einmaligen Zahlung nicht zufrieden, sondern verlangen immer neue Mittel, um unerwartet aufgetauchte Hindernisse aus dem Weg zu räumen. In jüngster Zeit werden auch häufig die Sorgen und Ängste um COVID-19 missbraucht, um Opfer zu Zahlungen zu bewegen.
Köder und Aufgaben
Köder- und Aufgaben-E-Mails sind für sich genommen harmlos, dienen aber zur Vorbereitung anderer Angriffsarten. Ihr Ziel besteht in erster Linie darin, die Aufmerksamkeit des Opfers zu erregen und zu prüfen, wie leichtgläubig und manipulierbar das Ziel ist.
Die E-Mails werden meist von gefälschten Domains aus verschickt, wobei sich der Täter als vertrauenswürdige Kontaktperson des Empfängers ausgibt. Die Nachrichten sind in der Regel kurz und direkt. Sie lauten etwa „Sind Sie verfügbar?“ oder „Ich brauche einen schnellen Gefallen“. Wenn der Empfänger auf eine Weise antwortet, die vermuten lässt, dass er den Köder geschluckt hat, fordern die Täter in der Regel unter dem Vorwand eines Notfalls oder einer ähnlichen zeitkritischen Situation Geld. Diese Form des E-Mail-Betrugs ist weit verbreitet und machte 2021 mehr als die Hälfte aller gefälschten E-Mails aus.
Den Kampf gegen BEC gewinnen
Die hier beschriebenen Angriffe lassen sich nur schwer erkennen und abwehren, weil die benutzten Methoden meist sehr subtil sind. BEC-Nachrichten fallen im Tagesgeschäft oft nicht auf und werden erst entdeckt, wenn der Betrug schon lange abgeschlossen ist.
Aus diesem Grund bieten herkömmliche, auf den Perimeter der Unternehmens-IT konzentrierte Cybersicherheitstools und Gateways keinen ausreichenden Schutz. Wie die meisten modernen Cyberbedrohungen ist auch BEC ein direkter Angriff auf die Mitarbeiter eines Unternehmens, nicht auf dessen Infrastruktur. Um sie zu stoppen, ist daher eine am Menschen orientierte Verteidigungsstrategie erforderlich.
Im ersten Schritt gilt es, Netzwerkzugänge zu überwachen, Domänen zu authentifizieren und verdächtige Aktivitäten zu kennzeichnen. Diese Maßnahmen sollten mit einem umfassenden E-Mail-Schutz kombiniert werden, der alle Nachrichten analysiert und bösartige E-Mails herausfiltert, bevor sie den Posteingang erreichen. Finanztransaktionen und die Änderung von Kontodaten sollten immer mit einer Mehr-Faktor-Authentifizierung abgesichert sein und niemals nur per E-Mail überprüft werden.
Vor allem aber müssen Mitarbeiter die Bedrohungen kennen, denen sie ausgesetzt sind. Unternehmen brauchen ein umfassendes, kontinuierliches und maßgeschneidertes Schulungsprogramm, um das Sicherheitsbewusstsein nachhaltig zu stärken und die Gefahren riskanten Verhaltens zu minimieren. Je besser die Benutzer über die Verbreitung und die möglichen Folgen von BEC informiert sind, desto geringer ist die Wahrscheinlichkeit, dass sie in eine der beschriebenen Fallen tappen.
Mit den richtigen Tools und Schulungen werden Benutzer zu einer soliden letzten Verteidigungslinie gegen Cyberangriffe. Da die Bedrohung durch BEC weiter zunimmt, wird diese Verteidigungslinie immer wichtiger.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…