Blog

Business Email Compromise (BEC) - Was es ist und wie sich Unternehmen davor schützen können

/ Kategorie: Security Awareness, Threat Intelligence

Betrügerische E-Mails, in der Fachsprache bekannt als Business E-Mail Compromise (BEC), gehören zu einer der ältesten, jedoch weiterhin sehr verbreiteten Form des Cyberangriffs. Beim Schweizer NCSC (National Cyber Security Centre) macht BEC einen Grossteil der Meldungen aus. Im Gegensatz zum klassischen Phishing geht die Gefahr bei BEC Attacken nicht von einem gefährlichen Anhang oder einem verdeckten Link aus, sondern von der Nachricht selbst.

ISPIN Blog - Business Email Compromise

Ein BEC Angriff beginnt damit, dass ein Cyberkrimineller E-Mails hackt und fälscht, um sich als Vorgesetzter, Geschäftsführer oder Lieferant eines Unternehmens auszugeben. Häufig werden auch Domänen reserviert, die der Domäne des Opfers sehr ähnlich sind, um Vertrauen zu generieren. Dann wird eine scheinbar legitime Zahlung gefordert. Die entsprechende E-Mail sieht authentisch aus und scheint von einer bekannten Autoritätsperson zu stammen, so dass der Mitarbeitende der Aufforderung in der Mail nachkommt. BEC wird deshalb manchmal auch als „Man-in-the-E-Mail“-Angriff bezeichnet. Seit 2015 hat diese Art der Internetkriminalität mit einer atemberaubenden Rate von 2.370 % zugenommen. Mit mehr als 40.000 Vorfällen weltweit haben BEC-Angriffe mehr als 5,3 Milliarden US-Dollar an tatsächlichen und versuchten Verlusten verursacht. Inzwischen geht es bei diesem Betrug jedoch nicht einmal mehr um Geld. Stattdessen werden mit der gleichen Technik personenbezogene Daten der Mitarbeitenden oder Lohn- und Steuerformulare gestohlen.

Business Email Compromise Timeline FBI
Business-E-Mail Compromise Timeline (Quelle: FBI)

Laut FBI gibt es verschiedene Arten von BEC Betrug:

  • Falsches Rechnungsschema: Mit dieser Taktik werden häufig Unternehmen mit ausländischen Zulieferern angegriffen. Die Angreifer geben vor, die Zulieferer zu sein und bitten um Überweisungen auf ein Konto, das ihnen gehört.
  • CEO-Betrug: Die Angreifer geben sich als Geschäftsführer oder eine andere Führungskraft des Unternehmens aus und senden eine E-Mail an die Mitarbeitenden der Finanzabteilung. In dieser fordern sie zu einer Geldüberweisung auf.
  • Account Take over: Das E-Mail-Konto einer Führungskraft oder eines Mitarbeitenden wird gehackt und dazu verwendet, Rechnungszahlungen an in den betroffenen E-Mail Konten vorhandenen Lieferanten anzufordern. Diese Zahlungen gehen dann auf die Bankkonten der Betrüger.
  • Impersonation: Die Angreifer geben sich als Anwalt oder eine Amtsperson aus, die angeblich für wichtige und vertrauliche Angelegenheiten zuständig ist. Normalerweise werden solche falschen Anfragen eher am Ende des Arbeitstages per E-Mail oder Telefon gestellt.
  • Datendiebstahl: Mitarbeitende der Personalabteilung und der Buchhaltung werden gezielt angegriffen, um an personenbezogene Daten oder Steuererklärungen von Mitarbeitenden und Führungskräften zu gelangen. Diese Daten können für künftige Angriffe verwendet werden.

Grundsätzlich gibt es organisatorische und technische Massnahmen, welche geeignet sind, Fälle von Business-E-Mail Compromise abzuwehren:

Organisatorische Massnahmen gegen BEC Angriffe

Der überwiegende Teil der BEC Angriffe verfolgt das Ziel, eine falsche oder betrügerische Finanztransaktion zu tätigen oder auszulösen. Daher ist der wirksamste Schutz gegen BEC nicht technischer- sondern organisatorischer Natur. Gerade kleinere und mittlere Unternehmen sind häufig sehr anfällig und daher beliebte Ziele für BEC Angriffe. Es fehlen einfache Kontrollmechanismen, welche verhindern, dass z. B. falsche oder missbräuchliche Zahlungen ausgelöst werden. Zu den empfohlenen Massnahmen gegen missbräuchliche oder nicht-autorisierte Transaktionen gehören die Einschränkung des Kreises berechtigter Personen bzw. das 4-Augenprinzip sowie Transaktionsbestätigungsverfahren. Daneben spielt aber vor allem auch die regelmässige Information und Aufklärung beteiligter Personen über die Gefahr und Wirkungsweise von BEC Angriffen eine entscheidende Rolle.

Technische Massnahmen gegen BEC Angriffe

  • Kennzeichnung von E-Mails: Eine sehr einfache Methode ist die automatische Kennzeichnung von Nachrichten, welche von ausserhalb der Organisation stammen, z. B. im Betreff der Nachricht. Der Nachteil dieser Massnahme ist, dass sie nur gegen gewisse Arten von BEC Angriffen schützt.
  • Anti-Spoofing Engine: Diverse E-Mail Gateways verfügen mittlerweile über die Fähigkeit, sogenannte payload-less Angriffe wie Spoofing, Cyber Squatting oder auch sogenannte Display-name-deceptions zu erkennen. Diese Massnahme hilft insbesondere gegen Angriffe von aussen.
  • DMARC: DMARC steht für Domain-based Message Authentication, Reporting and Conformance. DMARC ist ein Mechanismus, der es Absendern und Empfängern ermöglicht, ihre Domäne zu überwachen und besser vor betrügerischen E-Mails zu schützen. Die Implementierung von DMARC stellt sicher, dass E-Mail-Empfänger erkennen können, wenn Spammer die "Von"-Adresse in E-Mail-Nachrichten gefälscht haben. Mit einer DMARC-Richtlinie kann ein Absender angeben, dass seine Nachrichten durch SPF (Sender Policy Framework) und/oder DKIM (DomainKeys Identified Mail) geschützt sind, und dem Empfänger mitteilen, was zu tun ist, wenn keine der beiden Authentifizierungsmethoden erfolgreich ist, z. B. die Nachricht zu verwerfen oder zurückzuweisen. DMARC nimmt dem Empfänger das Rätselraten über den Umgang mit diesen fehlgeschlagenen Nachrichten ab und begrenzt oder eliminiert die Exposition des Benutzers gegenüber potenziell betrügerischen und schädlichen Nachrichten. DMARC bietet dem E-Mail-Empfänger auch die Möglichkeit, dem Absender mitzuteilen, ob eine Nachricht die DMARC-Prüfung bestanden hat oder nicht.
  • Cyber Squatting Monitoring: Ähnlich wie viele Phishing Angriffe verwenden BEC Angriffe häufig Domänen, welche der Zieldomäne genügend ähnlich sind, um das Opfer zu täuschen. Beispiele dafür sind top level domains (aus xy.ch wird xy.org) oder einfach kleine Änderungen in der Domain selbst (postfinance.ch vs. post-finance.ch). Dabei spricht man vom sogenannten Cyber Squatting. Die gute Nachricht ist, dass es sich relativ einfach erkennen lässt. Das hilft nicht nur bei der Abwehr von BEC Angriffen, sondern auch gegen gezielte Phishing Angriffe auf die eigenen Mitarbeitenden.
  • Dark Web Monitoring: Auch gestohlene Benutzeraccounts werden sehr häufig verwendet, um BEC Attacken durchzuführen. In diesem Fall verfügt der Angreifer über eine legitime E-Mail-Adresse und ist daher äusserlich zunächst einmal kaum als Angreifer zu erkennen. Zum Glück ist jedoch die Arbeitsteilung bei Cyberkriminellen so gross, dass gestohlene Benutzeraccounts sehr häufig in einschlägigen Foren angeboten werden. Diese können durch ein fortlaufendes Dark Web Monitoring erkannt werden und lassen sich somit sehr häufig rechtzeitig erkennen.
  • Multifactor Authentication: Diese Massnahme schützt gegen eine ganze Reihe von typischen Cyberangriffen, insbesondere auch gegen BEC Account-take over. Eine gut umgesetzte MFA Strategie macht selbst gestohlene Benutzernamen und Passwörter durch externe Angreifer praktisch nutzlos.

Eine ganzheitliche Betrachtung ist notwendig

Was für viele Cyberrisiken gilt, bei denen der Mensch eine entscheidende Rolle spielt, gilt insbesondere für BEC Angriffe: Es gibt keine reine technische Lösung, sondern das richtige Zusammenspiel zwischen Technik und Organisation hilft, das Risiko zu minimieren.
 

Zusammen. Sicher.

Ist Ihr Unternehmen ausreichend gegen BEC Angriffe geschützt? Unsere erfahrenen Experten beraten Sie gerne und unterstützen Sie beim Ausbau Ihrer Sicherheitsmassnahmen.

Cyberexperte jetzt kontaktieren

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.  

Incident melden!

Verwandte Nachrichten

Kategorien:
Cybersecurity (21)
CISO (21)
Governance, Risk & Compliance (5)
Security Awareness (13)
Cloud Security (21)
Detect & Response (24)
Endpoint & Networks (8)
IoT / OT / kritische Infrastrukturen (4)
Identity & Access (1)
ISPIN Viewpoint (10)
Threat Intelligence (18)