Business Email Compromise (BEC) Angriffe: Die Hauptursache für Zahlungsbetrug
Laut der Association for Financial Professionals war die Kompromittierung von Geschäfts-E-Mails die Hauptursache für Zahlungsbetrugsversuche bei US-Unternehmen im Jahr 2019.
Wichtige Punkte
- 75 % der Unternehmen wurden im vergangenen Jahr Opfer von business email compromise (BEC) Angriffen, und 38 % verloren dadurch Geld.
- Die Angriffe zielen auf ein breiteres Spektrum von Mitarbeitern ab und versuchen, sensible Informationen sowie betrügerische Zahlungen zu erlangen
- Einige Unternehmen verzeichneten mehr als 100 BEC-Betrugsversuche, obwohl die durchschnittliche Zahl deutlich geringer war.
- Sicherheitsexperten können das Problem mit Sicherheitsschulungen und einer engeren Zusammenarbeit mit Finanzkonzernen bekämpfen.
Laut einem aktuellen Bericht der Association for Financial Professionals wurden im Jahr 2019 mehr Unternehmen Opfer von Zahlungsbetrug durch Business Email Compromise (BEC) Angriffe als durch jede andere Methode. Bei BEC-Angriffen versuchen Betrüger, Mitarbeiter zu Zahlungen zu verleiten, indem sie Phishing-E-Mails versenden, die sich als Führungskräfte des Unternehmens, Lieferanten oder andere vertrauenswürdige Quellen ausgeben. Die AFP, die Fachleute aus dem Finanzwesen und anderen Bereichen vertritt, stellte fest, dass BEC-Angriffe im vergangenen Jahr häufiger vorkamen als jede andere Betrugstaktik im Zahlungsverkehr, einschließlich gefälschter Schecks und gestohlener Kreditkarten; drei Viertel der befragten Unternehmen waren von BEC-Angriffen betroffen.[1]
Es gibt aber nicht nur schlechte Nachrichten: Obwohl die Zahl der Unternehmen, die 2019 von BEC-Angriffen betroffen waren, extrem hoch war, war sie sogar etwas niedriger als im Vorjahr, was eine Trendwende nach vier Jahren des Wachstums in Folge darstellt. Und weniger Unternehmen haben Geld verloren: 38 % meldeten Verluste aufgrund von BEC-Angriffen, im Vergleich zu 54 % im Vorjahr.
Die geringeren Verluste sind zum Teil darauf zurückzuführen, dass die Unternehmen Sicherheitsschulungen und -kontrollen eingeführt haben, die sie in die Lage versetzen, mehr Angriffe zu erkennen und zu verhindern. Leider waren die Verbesserungen keineswegs gleichmäßig verteilt: Von den großen Unternehmen mit einem Umsatz von über 1 Milliarde Dollar konnten weniger als in den Vorjahren vermeiden, Opfer zu werden. Während die meisten Unternehmen relativ wenige BEC-Versuche zu verzeichnen hatten, waren 10 bis 20 % der Befragten im vergangenen Jahr mit bis zu 100 Angriffen konfrontiert, und einige wenige hatten sogar noch mehr Angriffe zu verzeichnen.
Laut Tom Hunt, AFP's Director, Treasury Services, sind "Zahlungsexperten heute schlauer und erkennen BEC-Versuche", die auf die Finanzabteilung von Unternehmen abzielen. "Es ist jedoch besorgniserregend, dass sich die Angriffe immer mehr auf den Rest des Unternehmens und insbesondere auf die Kreditorenbuchhaltung verlagern. Vor allem bei großen Unternehmen, die sich durch eine stärkere Aufgabentrennung auszeichnen, können laxe Kontrollen zu Problemen führen, insbesondere wenn die Innenrevision nicht misst, wie die Zahlungsrichtlinien außerhalb der Finanzabteilung befolgt werden." Dem AFP-Bericht zufolge gab es auch BEC-Angriffe auf das Personalwesen, den Betrieb, den Vertrieb und das Marketing, die Geschäftsleitung und andere Unternehmensbereiche.
Verkäufer-Imitationen nehmen zu
In der Vergangenheit haben sich Betrüger oft als leitende Angestellte oder Lohnbuchhalter ausgegeben, so die AFP. Diese Angriffe gibt es nach wie vor, aber immer häufiger geben sie sich als Geschäftspartner von Lieferanten aus. "Die Systeme von immer mehr Anbietern werden gehackt, so dass Hacker leicht fiktive Informationen im Namen legitimer Geschäftspartner übermitteln können", sagt Hunt. "Wenn ein Sachbearbeiter in der Kreditorenbuchhaltung nicht die für einen Handelspartner hinterlegten Telefonnummern anruft oder sogar ein Fax schickt, ist er viel anfälliger."
Bei vielen Angriffen auf Unternehmens-E-Mails wird versucht, Zahlungen über elektronische Überweisungen zu erlangen, bei denen das Geld sofort überwiesen wird und oft nicht zurückgefordert werden kann. Da jedoch immer mehr Unternehmen das mit einmaligen Überweisungen verbundene Betrugsrisiko erkannt und Maßnahmen zu deren Verhinderung ergriffen haben, nutzen einige Kriminelle stattdessen die langsameren elektronischen ACH-Zahlungen. Zwar bleibt in der Regel mehr Zeit, um betrügerische ACH-Zahlungen rückgängig zu machen, wenn sie entdeckt werden, doch weist Hunt darauf hin, dass diese Zahlungen in vielen Unternehmen unbemerkt bleiben können, da die einzelnen Zahlungen routinemäßig als Teil großer Stapel verarbeitet werden. Infolgedessen wird ACH-Betrug möglicherweise nicht rechtzeitig entdeckt, es sei denn, ein Lieferant ruft zufällig an, um sich nach dem Status einer noch nicht eingegangenen Zahlung zu erkundigen, und das Unternehmen stellt fest, dass die Zahlung auf das falsche Konto eingegangen ist. "Alle Prozesse und Richtlinien, die Sie für Überweisungen haben, sollten auch für andere Zahlungsarten gelten", sagt Hunt. "Vertrauen Sie, aber überprüfen Sie. Prüfen Sie Anfragen zur Änderung von Bankdaten sorgfältig. Bauen Sie Prozesse rund um bekannte Rückrufkontakte auf, und halten Sie diese Informationen auf dem neuesten Stand."
Schulungen zur Sensibilisierung der Endbenutzer sind von entscheidender Bedeutung
Die Schulung des Sicherheitsbewusstseins der Endbenutzer ist entscheidend für die Verhinderung erfolgreicher E-Mail-Angriffe auf Unternehmen, betont Hunt. "Das ist eine ständige und fortlaufende Herausforderung, da sich die Bedrohungen weiterentwickeln und betrügerische Nachrichten immer authentischer aussehen". Bei der Schulung können Fachleute für Cybersicherheit und Finanzen zusammenarbeiten und sich gegenseitig unterstützen. "Seien Sie wachsam und halten Sie Ihre Schulungen auf dem neuesten Stand. Und schaffen Sie ein Umfeld, in dem es in Ordnung ist, Fragen zu stellen, vor allem bei Zahlungen: Validieren, revalidieren, Änderungen bestätigen und um Nachverfolgung bitten, auch wenn sich dadurch der Prozess manchmal verzögert."
Im Rahmen ihrer Cybersicherheitsschulung sollten die Mitarbeiter daran erinnert werden, dass BEC-Versuche nicht immer direkt Zahlungen betreffen. Kriminelle können auch nach personenbezogenen Daten oder W-2-Formularen von Mitarbeitern fragen, die sie dann verwenden können, um Steuerrückerstattungen zu stehlen oder in die persönlichen Finanzkonten von Personen einzubrechen. Dies kann sowohl dem Ruf des Unternehmens als auch dem finanziellen Schaden für die betroffene Person schaden.
Seit der AFP-Untersuchung hat die Coronavirus-Pandemie enorme Störungen für Unternehmen verursacht und eine Zunahme bösartiger Cyber-Aktivitäten ausgelöst. "Da die Menschen zu Hause arbeiten, hören wir von mehr Betrugsversuchen, die die Anfälligkeit der Kommunikation ausnutzen, und von Menschen, die sich nicht an interne Verfahren halten, die sie im Büro routinemäßig befolgen würden", sagt Hunt. Die Zusammenarbeit zwischen der Finanzabteilung und der IT-Sicherheit unter Risikomanagement ist wichtiger denn je. Hunt schlägt vor, dass Treasury- und Cybersicherheitsexperten enger zusammenarbeiten können, um betrügerische E-Mails zu identifizieren und die entsprechenden IP-Adressen zu blockieren, bevor die Empfänger zu kostspieligen Fehlern verleitet werden können.
Die Quintessenz
Die Kompromittierung von Geschäfts-E-Mails bleibt eine Bedrohung für alle Unternehmen. BEC-Angriffe zielen zunehmend auf Mitarbeiter in verschiedenen Abteilungen des Unternehmens ab, nutzen Hackerangriffe auf Partner in der Lieferkette und verfolgen weniger auffällige ACH-Zahlungen anstelle von Banküberweisungen. Um diese Angriffe abzuwehren, müssen Finanz- und Cybersicherheitsexperten zusammenarbeiten und sich auf die Schulung des Sicherheitsbewusstseins sowie auf sichere E-Mail-Technologien konzentrieren, Zahlungsprozesse stärken und eine Kultur schaffen, in der Mitarbeiter ermutigt werden, Fragen zu stellen und zweifelhafte Anfragen zu überprüfen.
[1] 2020 AFP® Payments Fraud and Control Survey Report, Association for Financial Professionals
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!