Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Laut einem Bericht von Sicherheitsforschern bei Trustwave, der die Trends bei BEC-Angriffen (Business E-Mail Compromise) aufzeigt, stellt fest, dass diese Angriffe im Februar 2023 sprunghaft angestiegen sind.
Business E-Mail Compromise (BEC) ist nach wie vor ein lukrativer Bedrohungsvektor für Angreifer. Besonders in den ersten Monaten nach Neujahr, gibt es Steigerungen in der Anzahl von BEC-Angriffen, wohingegen diese dann im zweiten Quartal wieder um bis zu einem Drittel sinken.
Die Forscher stellten fest, dass die meisten BEC-Angriffe versuchen, Benutzer über die folgenden Themen zu täuschen:
- „Payroll Diversion“ (Umleitung von Gehaltsabrechnungen) – Aufforderung zur Änderung von Bankkonto-, Gehaltsabrechnungs- oder Überweisungsdaten.
- „Bitte um Kontaktaufnahme“ – Aufruf um die Handynummer oder persönliche E-Mail-Adresse des Empfängers.
- „Aufgabe“ – Bittet um Unterstützung bei dringenden Aufgaben oder fordert einen Gefallen ein.
- „Verfügbarkeit“ – Sehr kurze E-Mails, in denen gefragt wird, ob das Opfer verfügbar ist.
- „Rechnungstransaktion“ – Betrügerische E-Mails über überfällige Rechnungsauszüge.
- „Geschenkkartenkauf“ – Mitarbeiter sollen mit einem Geschenk überrascht werden und die Empfänger werden zumeist aufgefordert, eine Geschenkkarte zu kaufen.
- „Wire Transfer“ – Fordert den Empfänger auf, einen bestimmten Geldbetrag für eine Überweisung vorzubereiten.
- „Request for Document“ – Bittet um eine Kopie des Fälligkeitsberichts oder der Lieferantenliste oder ähnliche interne Dokumente.
Für derartige Angriffe verwenden Bedrohungsakteure meist kostenlose E-Mail-Dienste wie Gmail, ICloud, Outlook und mehr. Vor allem Google war mit satten 84 Prozent im ersten Quartal von 2023 der bevorzugte Anbieter für BEC-Spammer. Bei fast der Hälfte aller beobachteten Angriffe geben die Betrüger vor, ein Mitarbeiter des Zielunternehmens zu sein und versuchen, die Gehaltsabrechnung auf ihr eigenes Bankkonto umzuleiten. An zweiter Stelle steht der Diebstahl von persönlichen Kontaktinformationen, die über Social-Engineering Attacken eingeholt werden und dann für all mögliche Zwecke missbraucht werden.
Die BEC- und Spam-Landschaft verändert sich kontinuierlich und entwickelt sich weiter – zuletzt auch durch die Verwendung generativer KI. Werkzeuge wie zum Beispiel ChatGPT können dazu verwendet werden personalisierte und daher sehr überzeugende Phishing Emails zu erstellen. Mit ausreichender Eingabe von authentischer E-Mail der zu imitierenden Person kann dann Original von Fälschung kaum noch unterschieden werden. Mit der Zeit werden immer ausgefeilte Social-Engineering-Techniken eingesetzt. Um diesen sich ständig verändernden Bedrohungen zu begegnen, ist eine Verstärkung der technischen und menschlichen Cyber-Sicherheitsvorkehrungen erforderlich. Security Awareness-Trainings, Phishing Simulationen und moderne Sicherheitssysteme leisten hierbei schon den größten Teil der Arbeit. Auch für maschinell generierte, personalisierte und hochgradig überzeugende Emails gilt, werden ungewöhnliche Handlungen mit hohem Nachdruck verlangt, handelt es sich sehr wahrscheinlich um einen Betrugsversuch. Betroffene sollten die Authentizität einer Nachricht über einen alternativen Kanal überprüfen.