21.04.2022 / Kategorie: Security Awareness, Threat Intelligence
Betrügerische E-Mails, in der Fachsprache bekannt als Business E-Mail Compromise (BEC), gehören zu einer der ältesten, jedoch weiterhin sehr verbreiteten Form des Cyberangriffs. Beim Schweizer NCSC (National Cyber Security Centre) macht BEC einen Grossteil der Meldungen aus. Im Gegensatz zum klassischen Phishing geht die Gefahr bei BEC Attacken nicht von einem gefährlichen Anhang oder einem verdeckten Link aus, sondern von der Nachricht selbst.
Ein BEC Angriff beginnt damit, dass ein Cyberkrimineller E-Mails hackt und fälscht, um sich als Vorgesetzter, Geschäftsführer oder Lieferant eines Unternehmens auszugeben. Häufig werden auch Domänen reserviert, die der Domäne des Opfers sehr ähnlich sind, um Vertrauen zu generieren. Dann wird eine scheinbar legitime Zahlung gefordert. Die entsprechende E-Mail sieht authentisch aus und scheint von einer bekannten Autoritätsperson zu stammen, so dass der Mitarbeitende der Aufforderung in der Mail nachkommt. BEC wird deshalb manchmal auch als „Man-in-the-E-Mail“-Angriff bezeichnet. Seit 2015 hat diese Art der Internetkriminalität mit einer atemberaubenden Rate von 2.370 % zugenommen. Mit mehr als 40.000 Vorfällen weltweit haben BEC-Angriffe mehr als 5,3 Milliarden US-Dollar an tatsächlichen und versuchten Verlusten verursacht. Inzwischen geht es bei diesem Betrug jedoch nicht einmal mehr um Geld. Stattdessen werden mit der gleichen Technik personenbezogene Daten der Mitarbeitenden oder Lohn- und Steuerformulare gestohlen.
Laut FBI gibt es verschiedene Arten von BEC Betrug:
Grundsätzlich gibt es organisatorische und technische Massnahmen, welche geeignet sind, Fälle von Business-E-Mail Compromise abzuwehren:
Der überwiegende Teil der BEC Angriffe verfolgt das Ziel, eine falsche oder betrügerische Finanztransaktion zu tätigen oder auszulösen. Daher ist der wirksamste Schutz gegen BEC nicht technischer- sondern organisatorischer Natur. Gerade kleinere und mittlere Unternehmen sind häufig sehr anfällig und daher beliebte Ziele für BEC Angriffe. Es fehlen einfache Kontrollmechanismen, welche verhindern, dass z. B. falsche oder missbräuchliche Zahlungen ausgelöst werden. Zu den empfohlenen Massnahmen gegen missbräuchliche oder nicht-autorisierte Transaktionen gehören die Einschränkung des Kreises berechtigter Personen bzw. das 4-Augenprinzip sowie Transaktionsbestätigungsverfahren. Daneben spielt aber vor allem auch die regelmässige Information und Aufklärung beteiligter Personen über die Gefahr und Wirkungsweise von BEC Angriffen eine entscheidende Rolle.
Was für viele Cyberrisiken gilt, bei denen der Mensch eine entscheidende Rolle spielt, gilt insbesondere für BEC Angriffe: Es gibt keine reine technische Lösung, sondern das richtige Zusammenspiel zwischen Technik und Organisation hilft, das Risiko zu minimieren.
Ist Ihr Unternehmen ausreichend gegen BEC Angriffe geschützt? Unsere erfahrenen Experten beraten Sie gerne und unterstützen Sie beim Ausbau Ihrer Sicherheitsmassnahmen.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications