Business Email Compromise (BEC)
Was ist Business Email Compromise und was macht es so gefährlich?
Ausgeklügelte Filtersysteme und Mechanismen zur Erkennung von versteckter Malware machen den Weg in ein System eines Unternehmens für Cyberkriminelle zunehmend komplexer. Der Fokus der Cyber-Betrüger verschiebt sich deshalb immer mehr auf die menschliche Schwachstelle und Social Engineering Taktiken: Sie adressieren Mitarbeiter ausgewählter Unternehmen mit einfachen, aber sehr individuellen und rein textlichen E-Mail-Nachrichten – bekannt ist diese Vorgehensweise als Business Email Compromise (BEC). Der Business Email Compromise gilt als die gefährlichste Angriffsmethode im Bereich von Cybercrime. Laut FBI ist diese Taktik für einen Großteil des globalen finanziellen Schadens durch Cyberkriminalität verantwortlich.
Was ist Business Email Compromise?
Hohe Geldsummen werden unter betrügerischem Vorwand auf ein externes Konto transferiert, interne und wichtige Unternehmens- und Zugangsdaten sowie andere vertrauliche Informationen verlassen unbemerkt das Unternehmen – und das ohne ein eingeschleustes Schadprogramm. Bei einem BEC stützt sich ein Hacker, im Gegensatz zu einfachem Spam, auf spezielles Insider-Wissen. Bekannte Namen und E-Mail-Adressen von Mitarbeitern oder Kunden sowie aktuelle Signaturen und Disclaimer lassen eine gefälschte E-Mail authentisch wirken.
Mit einer nachgemachten E-Mail-Adresse, ähnlich der des CEOs, eines Kunden oder Sachbearbeiters, senden die Cyberkriminellen eine kurze rein textbasierte E-Mail-Nachricht gezielt an einen ausgewählten Mitarbeiter. Der Displayname wird dabei genauso angezeigt, wie er in einer E-Mail des echten Absenders abgebildet wäre. Diese Methode heißt E-Mail-Spoofing und macht es schwer den Betrug auf den ersten Blick zu erkennen.
Ablauf einer Business Email Compromise Attacke
In seiner ersten E-Mail tastet sich der Cyberkriminelle heran. Der vermeintliche CEO oder Vorgesetzte richtet sich mit dringenden Worten an eine Zielperson in einem Unternehmen. Gebeten wird um eine schnelle schriftliche Antwort per E-Mail, da der angebliche Chef sich beispielsweise gerade in einem Meeting befindet oder telefonisch nicht erreichbar ist. Der Hacker setzt den Empfänger gezielt unter zeitlichen und psychischen Druck, um den Betrug zu verschleiern.
Erhält der Kriminelle eine Antwort, wird er in einer zweiten Nachricht konkreter: Der vermeintliche Vorgesetzte bittet um die Überweisung eines bestimmten Geldbetrags auf das Konto eines angeblichen Kunden, Geschäftspartners oder Dienstleisters.
Doch nicht nur finanzielle Mittel werden auf diese Art und Weise erbeutet. Auch unternehmensinterne Daten und Informationen werden so von den Hackern in Erfahrung gebracht und für andere, gegebenenfalls spätere Zwecke missbraucht.
Business Email Compromise often consists of an additional ransomware attack. As already mentioned, the perpetrators mainly focus on financial goals. Depending on the attack pattern, the amount of money captured varies.
Perpetrators intelligently design their actions. In order to find out whether a company can be blackmailed or what the liquidity situation of the target company is, the ransom money is first blackmailed through a ransomware attack. If this attack turns out to be useful to the perpetrators, an additional spearfishing attack may follow.
Der CEO-Fraud ist das bislang bekannteste Verfahren Cyberkrimineller, doch der Betrug des Business Email Compromise kann auf vielfältige Weise erfolgen:
- Der Hacker gibt sich als Kunde des Unternehmens aus und kündigt eine Änderung der Zahlungsinformationen an, um dadurch zukünftige Transaktionen auf das Konto des Angreifers auszulösen.
- Getarnt mit der vermeintlichen E-Mail-Adresse eines Mitarbeiters, versendet der Cyberkriminelle beispielsweise Rechnungen an Kunden des Unternehmens.
- Mit Hilfe eines kompromittierten E-Mail-Kontos eines Anwalts wird entsprechend Druck auf den Empfänger innerhalb eines Unternehmens aufgebaut, um diesen zu einer Zahlung oder zur Herausgabe von Informationen zu bewegen.
Welche Unternehmen sind größtenteils von Business Email Compromise betroffen?
Bei einem Business Email Compromise stehen häufig größere und international agierende Unternehmen im Visier der Cyberkriminellen. Informationen zu Personen in bestimmten Verwaltungspositionen sind leicht herauszufinden, Logos oder aktuelle Marktaktivitäten sind oftmals im Internet zugänglich. Hinzu kommt, dass internationale finanzielle Transaktionen nicht unüblich sind und bei einer hohen Mitarbeiteranzahl die Wahrscheinlichkeit hoch ist, dass sich die Angestellten noch nie persönlich begegnet sind und der einfache E-Mail-Austausch ganz normal im Arbeitsalltag ist.
Im Jahr 2015 wurde beispielweise der deutsche Kabelspezialist Leoni AG Opfer einer solchen Täuschung, wodurch Cyberkriminelle das Unternehmen um rund 40 Millionen Euro betrogen haben. Auch das global bekannte soziale Netzwerk Facebook und der Google-Konzern wurden über mehr als zwei Jahre um insgesamt 100 Millionen US-Dollar bestohlen. Dies wurde im Jahr 2017 bekannt, als der Betrug entdeckt und durch das US-amerikanische Magazin Fortune öffentlich gemacht wurde. Laut Report des FBI stünden derzeit vor allem Immobilien-Unternehmen im Fokus.
Business Email Compromise Schutz
Das Hornetsecurity Security Lab geht davon aus, dass der Business Email Compromise auch zukünftig eine der größten Cyberbedrohungen bleibt. Präzise ausgerichtete Engines, wie Targeted Fraud Forensics, Teil von Hornetsecuritys Advanced Threat Protection, prüfen die Authentizität und Integrität von Metadaten sowie E-Mail-Inhalten und erkennen spezielle Inhaltsmuster, die auf eine Betrugs-E-Mail schließen lassen. Das Durchkommen einer gefälschten E-Mail ins Postfach ist somit ausgeschlossen. Auch Schulungen, die die Mitarbeiter zusätzlich auf die charakteristischen Elemente eines Business Email Compromise hinweisen, können der wachsenden Gefahr Einhalt gebieten.
Besuchen Sie unsere Wissensdatenbank
Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Business Email Compromise gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie Crypto-Mining, IT-Sicherheit, DDoS-Attacken, Cryptolocker Virus, Phishing, Kryptographie, Brute-Force-Angriffe, GoBD, Cyber Kill Chain, Virus und Ransomware.