Der Materna Blog – wissen was los ist

Business Email Compromise

Phishing-Prävention: Business E-Mail Compromise verhindern

Ob privat oder geschäftlich, E-Mails gehören heute zum täglichen Leben. Leider bieten sie aber auch eine große Angriffsfläche für potentielle Betrüger. Erfahren Sie mehr über Business E-Mail Compromise (BEC) und darüber, wie Sie sich schützen können.

Alltäglich erhalten und versenden wir E-Mails. Auch Einladungen, Urlaubsgrüße oder Geschäftsunterlagen gehen den elektronischen Weg und es fühlt sich an, als wäre es schon immer so gewesen. Laut dem Email Statistics Report der Radicati Group ist die Anzahl der gesendeten und empfangenen E-Mails von 269 Milliarden im Jahr 2017 auf rund 320 Milliarden im Jahr 2021 gestiegen. Diese Zahlen zeigen, wie wichtig der Informationsaustausch durch das Medium E-Mail war, ist und sicher auch weiterhin bleibt.

Dieser Trend bleibt auch denjenigen nicht verborgen, die hier eine große Chance sehen, auf dubiosen und illegalen Wegen Geld zu erbeuten. Gerade im Unternehmensumfeld: Betrug durch Business E-Mail Compromise (BEC) wird immer beliebter bei potenziellen Angreifern. BEC braucht keine hohe technische Raffinesse – die „Technik“ basiert auf der Manipulation des menschlichen Verhaltens. Es ist eine Verbindung aus Wissen, das sich ein potenzieller Angreifer auf unterschiedlichsten Wegen beschafft hat, und psychologischen Tricks.

Um Anhaltspunkte über möglich Opfer zu erhalten, durchsuchen potenzielle Angreifer öffentlich verfügbare Informationen. Oftmals ist keine lange Suche oder der Weg über das „Social Engineering“ notwendig, da für einige Geschäftsbeziehungen, z. B. bei öffentlichen Ausschreibungen, Daten öffentlich verfügbar gemacht werden. Dort finden sich häufig Kontaktadressen, Organisationsnamen und manchmal auch Mitarbeiter-Identitäten.

Im zweiten Schritt werden die recherchierten Kontakte angeschrieben und das mit E-Mail-Absenderadressen, die den originalen und bekannten Adressen eines Kollegen, Kunden, Partners oder des Chefs sehr ähnlich sehen. Zum Beispiel wird anstatt der bekannten und legitimen Mailadresse max.mustermann@besterkunde.de, die Mailadresse max.mustermann@besterhunde.de verwendet. Enthält die präparierte Mail dann noch recherchierte Fachterminologie oder bereichsübliche Abkürzungen, ist die gefälschte Kommunikation nur durch den wirklich sehr aufmerksamen Blick in die Mailadresse zu erkennen.

Hat der Betrüger den Kontakt zu einer Seite der recherchierten Geschäftsbeziehung erfolgreich aufgebaut und konnte bspw. die erneute Zusendung einer Rechnung erreichen, etabliert er mit diesen neuen Informationen den Kontakt zum tatsächlichen Geschäftspartner des ersten Kontaktes. Die Kommunikation kann nun zu beiden Seiten stattfinden, ohne dass die jeweils andere Seite davon erfährt, denn für die beiden bisherigen Kommunikationspartner sieht es ja nach einer legitimen Kommunikation aus. So ist die klassische Man-in-the-middle-Attack etabliert und kurz darauf übermittelt der Betrüger die entscheidende Mail mit der Originalrechnung und einem Hinweis auf die geänderte Bankverbindung. In der Regel ist der Angriff danach vorbei. Er dauert meist nicht länger als 20 bis 30 Tage, da sonst die Gefahr für die Entdeckung der Man-in-the-middle-Situation von den regulären Geschäftspartnern für den Angreifer zu hoch ist und seine Absichten schnell zunichte macht.

Das FBI hat Fälle von BEC in fünf Master-Betrugsarten unterteilt, die sich als sehr effektiv erwiesen haben. Diese Betrugsarten haben nach Auswertungen des FBI im vergangenen Jahr zu einem Schaden von rund 40 Milliarden US-Dollar geführt. Die Dunkelziffer liegt wahrscheinlich noch um einiges darüber.

BEC Betrugsarten

(Wie) Kann man BEC erkennen?

Einen BEC zu erkennen, ist nicht leicht und erfordert eine erhöhte Aufmerksamkeit. Regelmäßige Awareness-Schulungen für die Mitarbeitenden eines Unternehmens können die Gefahr des BEC verringern. Die folgenden Indikatoren lassen einen möglichen Angriff erkennen.

  1. Zeitlicher Druck wird aufgebaut: „Zahlen Sie in den nächsten 24 Stunden“ oder „Sollten Sie nicht zahlen, legen wir Rechtsmittel ein“…
  2. Das Überweisungskonto wurde plötzlich geändert.
  3. Die Mailadresse des Absenders ist unbekannt oder weicht vom üblichen Format ab.
  4. Es werden Formulierungen und Abkürzungen benutzt, die sonst nicht verwendet werden.

Es gibt aber auch technische Lösungen, bei denen eingehende E-Mails mit Namen und Adressbezeichnungen von Benutzern des Unternehmens verglichen werden. So lässt sich beispielsweise die Gefahr für den CEO-Betrug verringern.

Seien Sie aufmerksam und denken Sie immer daran: „The first line of defense is YOU“.

Schlagwörter: , , ,

Autoreninfo

Thorsten Kuhles verantwortet als Cyber Security Incident Manager bei Materna die interne und externe Vorfallsbearbeitung. Zuvor war er langjährig u.a. im Bereich Pentesting und IT-Forensik bei der Bundeswehr sowie in Führungspositionen im Bereich Cyber Security bei namhaften Unternehmen tätig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.
Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Sie müssen den Bedingungen zustimmen, um fortzufahren.

ÖV-Symposium 2022: Wichtige Innovationstreiber gestalten digitalen Wandel in der Verwaltung
eGovernment-Studie 2022: Onlinezugangsgesetz vs. digitale Nutzungslücke