Von Camille Charaudeau, CybelAngel
Business-E-Mail Compromise (BEC) zählt mittlerweile zu den am weitesten verbreiteten Cyberangriffen. Kriminelle versuchen auf diese Weise, Zugang zu sensiblen Geschäftsdaten zu erhalten oder durch E-Mail-Betrug unrechtmäßig an Firmengelder zu kommen. Rund um die Abgabetermine fälliger Unternehmenssteuern steigt die Aktivitätskurve noch einmal deutlich an. Mit professionellen Abwehrmaßnahmen können Unternehmen ihre geschäftlichen E-Mails vor gefährlichen Angriffen schützen.
Der nächste Abgabetermin für die Unternehmenssteuer steht vor der Tür? Damit ist auch die Jagdsaison von Cyberkriminellen eröffnet. Ihre Beute sind sensible Unternehmensdaten und Finanzinformationen. Jeden Tag werden weltweit geschäftliche E-Mails kompromittiert. Die Folge sind häufig Betrügereien rund um Rechnungen sowie jede Form von Zahlungsbetrug – und das im großen Stil. Die Schäden gehen dabei oft in die Millionen. Das gilt auch für die Zahl der Phishing-Angriffe. Diese steigt seit Jahren deutlich in zeitlicher Nähe zu Terminen für Steuererklärungen. Wenn in den USA die jährlichen Unternehmenssteuern fällig und damit sensible Daten ausgetauscht werden, gehen Cyberkriminelle auf Raubzug. Sie fischen in geschäftlichen E-Mails nach sensiblen Unternehmensinformationen und Finanzdaten.
„The Insider Breach Report 2021“, den das unabhängige Marktforschungsinstitut Arlington Research im Auftrag des Sicherheitsunternehmens Egress erstellte, belegt, dass 95 Prozent der befragten IT-Führungskräfte von US-Firmen um die Gefährdung ihrer per E-Mail versandte Unternehmensdaten wissen. Rund 83 Prozent der Interviewten gaben an, dass sie in den letzten 12 Monaten von Datenverletzungen per E-Mail betroffen waren. Diese Ergebnisse spiegeln die Situation in nahezu allen Wirtschaftsregionen der Welt wider.
Sicherheitsbehörden warnen eindringlich
Sowohl das FBI als auch andere Sicherheitsorganisationen wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) bestätigen, dass Hacker bei BEC-Angriffen speziell auf Nutzer von Office 365 und Google G Suite abzielen. Microsoft Office zählt demnach zu den am häufigsten verwendeten Ködern in Phishing-E-Mails und ist in mehr als der Hälfte aller digitaler Anschreiben enthalten, mit denen Anmeldedaten gestohlen werden. Auf diese Weise wollen Cyberkriminelle sich gezielt Zugang zu Konten oder Zugangsdaten verschaffen.
Mit Phishing-Ködern infizierte E-Mails erwecken den Eindruck, als gehörten sie zur Microsoft Office 365-Unternehmensreihe oder der Teams-Kollaborationsplattform. Die Nachrichten sollen Benutzer dazu zu verleiten, ihre Anmeldedaten in einen gefälschten Anmeldebildschirm einzugeben. Alternativ wird häufig auch ein Link angeboten, über den mit nur einem Mausklick eine Malware heruntergeladen wird. Kaum einem Anwender ist bekannt, dass SSL längst kein Garant mehr für eine sichere Website ist. Der Phishing Activity Trends Report zeigt, dass 80 Prozent der Ende 2020 untersuchten Phishing-Seiten SSL verwenden.
BEC-Angriffe haben unterschiedliche Gesichter
Cyberkriminelle, die Unternehmen über geschäftliche E-Mails angreifen, wollen in den meisten Fällen nur eins: Geld. Das erklärt, warum vier der häufigsten BEC-Angriffe Geldtransaktionen zum Gegenstand haben. Die Aufklärung der Mitarbeiter und deren Sensibilisierung für mögliche Cyberattacken hat daher höchste Priorität. Die Alarmglocken der Mitarbeiter sollten besonders in den folgenden Fällen schrillen:
- Umleitung von Gehaltsabrechnungen: Kriminelle senden betrügerische E-Mails an Mitarbeiter der Finanzabteilung, die für Gehaltszahlungen zuständig sind. Darin werden die Sachbearbeiter aufgefordert, die Daten eines Lohn- oder Gehaltskontos zu ändern. Statt auf das legitime Konto eines Angestellten fließen die Zahlungen auf das Konto von Cyberbetrügern.
- Betrug bei Fusionen und Akquisitionen: Geschäftliche Vorgänge um solche Kooperationen verursachen oft einen zusätzlichen Aufwand und generieren Prozesse mit hoher Komplexität. Dieses Szenario nutzen Cyberkriminelle für ihre Zwecke. Sie geben sich beispielsweise als leitende Angestellte des Unternehmens aus und fordern Geldüberweisungen an eine dritte Partei. Vorfälle dieser Art werden immer wieder bekannt und verursachen hohe Schäden.
- Manipulierte Lieferantenrechnungen: In diesem Fall gibt sich ein Krimineller als Lieferant aus, mit dem bereits langfristige Geschäftsbeziehungen bestehen. Per E-Mail ergeht dann die Aufforderung, in den Stammdaten die Bankdaten des Lieferanten zu aktualisieren, um ausstehende Rechnungen zu begleichen. Dabei kann es um enorme Summen gehen, die zu hohen Verlusten führen. Vom Ärger mit den Lieferanten und der daraus resultierenden Korrespondenz nicht zu reden. Zusätzlich zum monetären Verlust kann das auch zum Vertrauensverlust führen und der Reputation eines Unternehmens schaden.
- Geschenkkarten-/Gutschein-Betrug: In diesem Szenario geben sich Kriminelle als bevollmächtigte Mitarbeiter eines Unternehmens aus. Sie senden eine dringende E-Mail, in der sie z. B. andere Mitarbeiter bitten, den Kauf von Geschenkkarten oder Gutscheinen zu übernehmen. Damit sollten aus Zeitgründen bürokratische Hürden innerhalb des Unternehmens umgangen werden. Die beim Kauf generierten Seriennummern sollten dann dem Absender übermittelt werden, damit dieser die Geschenkkarten bzw. Gutscheine sofort verschicken könne. Hilfsbereite Mitarbeiter haben das Nachsehen, wenn sie die Summe aus ihrem eigenen Geldbeutel bezahlen. Bei Transaktionen über das Firmenkonto können schnell größere Summen zusammenkommen.
Beliebte Angriffsvektoren und ihre Auswirkungen
Die Angriffsvektoren bei BEC-Angriffen sind unterschiedlich, haben aber immer nur ein Ziel: Daten oder Geld abzugreifen. Beliebte Techniken zur Kompromittierung von Konten sind unter anderem:
- Angriffe, um Zugang zu verifizierten Anmeldeinformationen zu erhalten
Bösartige Anhänge - Man-in-the-Middle Angriffe, bei denen Cyberkriminelle heimlich Chats zwischen zwei Personen verändern
Social-Engineering Angriffe - Spear-Phishing – dabei handelt es sich um gezielte Angriffe auf einzelne Personen. Vermeintliche Vorgesetzte ordnen z.B. Überweisungen an oder bitten unter einem Vorwand um die Übermittlung sensibler Geschäftsinformationen. Immer wieder kommt es vor, dass Mitarbeiter die gewünschten Aktionen vornehmen, weil sie Rückfragen vermeiden wollen.
BEC-Angriffe können jeden Mitarbeiter eines Unternehmens treffen und machen nicht vor Hierarchien halt. Das Spektrum der Attackierten reicht von Mitarbeitern des mittleren Managements, über die Finanzabteilung bis hin zur obersten Führungsebene. Vor der Kompromittierung geschäftlich genutzter E-Mail-Konten ist niemand sicher.
Schutz vor digitalen Fallen ist möglich
Kompromittierte Anmeldedaten können schnell zur vollständigen Übernahme eines Kontos führen. Sie gelten als eine der schädlichsten Formen von BEC-Angriffen und öffnen Cyberkriminellen Tür und Tor zu Unternehmensnetzwerken. Bei dieser Form eines Cyberangriffs werden gezielt Pishing-E-Mails eingesetzt, um das Konto einer Führungskraft oder eines Mitarbeiters zu hacken. Damit gelingt es, unbemerkt Gelder, wie z. B. Zahlungen an Lieferanten, Gehälter oder Abschlagszahlungen für Projekte umzuleiten. Ein kontinuierliches Sicherheitstraining für die Mitarbeiter ist darum essenziell. Dazu gehört beispielsweise die immer wiederkehrende Erinnerung, dass niemand E-Mails öffnen sollte, wenn der Absender nicht bekannt ist. Das gilt für alle Beteiligten auf jeder Geschäftsebene. Auch mit weiteren gezielten Maßnahmen können Unternehmen die Kaperung von Mitarbeiterkonten stoppen:
- Einrichtung einer Multi-Faktor-Authentifizierung.
- Nutzung von URL-Scandienst, um die Echtheit von Links zu prüfen.
- Für sämtliche Mitarbeiter verpflichtende Schulungen in Sachen Cybersicherheit.
- Regelmäßige Kontrollen, ob Mitarbeiter E-Mail-Adressen und Passwörter offenlegen.
Besteht der Verdacht, das geschäftliche E-Mail-Konten Opfer von BEC-Angriffen geworden sind, ist professionelle Hilfe von Experten gefragt. Mit deren Dienstleistung lassen sich kompromittierte Konten schnell identifizieren und eine Übernahme durch kriminelle Elemente verhindern. Unternehmen können auf diese Weise herausfinden, welche Unternehmensdaten leicht zugänglich und damit anfällig für Cyberangriffe sind und ihre Netzwerke sowie geschäftliche Daten schützen.
Eine besondere hohe Gefährdung besteht in zeitlicher Nähe zu Abgabeterminen für Steuerdaten, da Cyberkriminelle dann besonders aktiv sind. Früh erkannte Datenlecks und deren Behebung begrenzen den Schaden und schützen geschäftliche Transaktionen.
