Business-E-Mail Compromise – die vernachlässigte Cybersecurity-Bedrohung

Jelle_Wieringa_wenig_Pixel

Autor: Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Das FBI beschreibt Business-E-Mail Compromise (BEC) als einen ausgeklügelten Betrug, auch CEO-Betrug genannt, der auf Unternehmen abzielt, die mit ausländischen Lieferanten zusammenarbeiten und/oder regelmäßig Überweisungen tätigen. Bei diesem Betrug werden legitime geschäftliche E-Mail-Konten durch Social-Engineering- oder Computer-Intrusionstechniken kompromittiert, um unbefugte Geldüberweisungen durchzuführen. Der Betrug erfolgt durch die Kompromittierung legitimer geschäftlicher E-Mail-Konten durch Social-Engineering- oder Computer-Intrusionstechniken, um unbefugte Geldtransfers durchzuführen.

Das Problem ist, dass BEC inzwischen massive finanzielle Verluste verursacht und pro Vorfall einen größeren Schaden anrichtet als andere Arten von Cyberkriminalität. Einem aktuellen Bericht von GreatHorn zufolge sind gefälschte E-Mail-Konten oder Websites, die am häufigsten auftretende Form von BEC-Angriffen. 71 Prozent der Unternehmen gaben an, dass sie im vergangenen Jahr einen solchen Angriff erlebt haben. Und laut dem FBI’s 2020 Internet Crime Report sind BEC-Angriffe für Verluste verantwortlich, die 64 Mal höher sind als bei Ransomware. Das FBI schätzt außerdem, dass Unternehmen im vergangenen Jahr 1,8 Milliarden US-Dollar durch BEC-Betrug verloren haben.

Ein Beispiel für die Tragweite solcher Attacken ist der Vorfall bei der Bank of America. Sie wurde Opfer eines BEC-Angriffs, bei dem insgesamt fünf Unternehmen um mehr als 1,1 Millionen US-Dollar betrogen wurden. Der Angreifer eröffnete mehrere Bankkonten, die den Anschein erweckten, von legitimen Unternehmen zu stammen. Obwohl Ransomware die Schlagzeilen beherrscht, ist es in Wirklichkeit BEC, über das sich die Unternehmen Sorgen machen und ihre Mitarbeiter, insbesondere die Führungskräfte, schulen müssten, damit diese sich dem erheblichen Bedrohungspotenzial bewusst werden.

Ein weiterer, wenn auch weniger drastischer Fall, ereignete sich in Leipzig, Anfang September, wo ein junger Mann an seine Firmenadresse eine E-Mail von einem Unbekannten bekam, der sich als Geschäftsführer seiner Firma ausgab. Darin wurde er aufgefordert, sich bei diesen auf einer mitgesandten Handynummer per Messenger zu melden und sich Google Play-Karten, ITunes-Karten, Steam-Karten und Apple-Karten zu besorgen. Das Opfer folgte den Anweisungen und übersendete dem Unbekannten die Codes der erworbenen Gutscheine. Nach erfolgter Rücksprache mit seinem tatsächlichen Chef, wurde klar, dass die E-Mail nicht von ihm stammte und es sich um einen BEC-Betrug handelte. Insgesamt entstand dadurch ein finanzieller Schaden im mittleren vierstelligen Bereich.

Die wichtigsten Angriffsmethoden, auf die Bedrohungsakteure bei den immer häufiger auftretenden Attacken zurückgreifen, lassen sich grundsätzlich in vier Kategorien aufteilen:

1.Phishing

Phishing-E-Mails werden an eine große Anzahl von Benutzern gleichzeitig gesendet, um vertrauliche Informationen zu „fischen“, indem sie sich als seriöse Quellen ausgeben – oft mit legitim aussehenden Logos im Anhang. Banken, Kreditkartenanbieter, Zustelldienste, Strafverfolgungsbehörden und das Finanzamt sind nur einige der gängigen gefälschten Marken. Bei einer Phishing-Kampagne werden in der Regel E-Mails an eine große Zahl von Benutzern verschickt. Die meisten von ihnen sind an Personen gerichtet, die diese Bank nicht nutzen, aber durch die schiere Anzahl der Empfänger erreichen diese E-Mails einen bestimmten Prozentsatz der möglichen Kandidaten.

2. Speer-Phishing

Dies ist eine sehr viel gezieltere Form des Phishings. Der Cyberkriminelle hat sich entweder über die Gruppe informiert oder Daten von Social-Media-Plattformen gesammelt, um Nutzer zu täuschen. Eine Spear-Phishing-E-Mail geht in der Regel an eine Person oder eine kleine Gruppe von Personen, die diesen Dienst nutzen. Sie enthält eine Form der Personalisierung – vielleicht den Namen der Person oder den Namen eines Kunden.

3. Executive Whaling

Hier haben es die Angreifer vor allem auf leitende Angestellte und Verwaltungsangestellte abgesehen, um Geld von Konten abzuschöpfen oder vertrauliche Daten zu stehlen. Diese Art von Betrug zeichnet sich durch Personalisierung und detaillierte Kenntnis der Führungskraft und des Unternehmens aus.

4. Social Engineering

In einem Sicherheitskontext bedeutet Social Engineering den Einsatz von psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des Social Engineering kann auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln. LinkedIn, Facebook und andere Plattformen bieten eine Fülle von Informationen über die Mitarbeiter eines Unternehmens. Dazu gehören Kontaktinformationen, Verbindungen, Freunde & Mitarbeiter, laufende Geschäftsabschlüsse und vieles mehr.

Fazit

CEO-Betrug hat laut FBI mittlerweile rund 26 Milliarden US-Dollar an Schaden angerichtet. Sicherheitsvorfälle, die auf diese Angriffstechnik zurückführen lassen, lassen sich auf der ganzen Welt nachweisen. Zwischen Mai 2018 und Juli 2019 gab es einen Anstieg der weltweit festgestellten finanziellen Verluste um 100 Prozent. Diese Form des Betrugs wurde aus 150 Ländern gemeldet, darunter auch Deutschland.