Email Security

    Ransomware mag für Schlagzeilen sorgen, aber BEC ist der stille Killer

    Business Email Compromise betrifft Tausende von Unternehmen in Australien und Neuseeland. Ransomware mag im Rampenlicht stehen, aber BEC ist ein heimlicher Killer.

    by Dan McDermott
    43BLOG_1.jpg

    Business Email Compromise (BEC) ist eine der größten Bedrohungen für die Cybersicherheit.

    Die Schlagzeilen, in denen oft über die Forderungen von Ransomware-Banden berichtet wird, vermitteln nicht unbedingt diesen Eindruck. Aber BEC, bei dem Kriminelle gezielte E-Mails verschicken, um Mitarbeiter zur Weitergabe von Daten oder zur Leistung von Zahlungen zu verleiten, verursacht einem durchschnittlichen Unternehmen wohl einen weitaus größeren Schaden. Hier erfahren Sie, was BEC ist, warum es wichtig ist und wie Sie sich vor Angriffen schützen können.

    Warum E-Mail-Kompromittierung für Unternehmen eine ernsthafte Bedrohung darstellt

    Die größten Cyber-Bedrohungen entwickeln sich von Jahr zu Jahr weiter. Das Australian Cyber Security Centre (ACSC) stuft Betrug, Shopping und Online-Banking als die größten Risiken im Jahr 2021 ein. Die Kompromittierung von Geschäfts-E-Mails ist nicht weit entfernt.

    Während die Zahl der gemeldeten Angriffe in Australien im Jahr 2021 leicht zurückging, stieg der durchschnittliche Schaden pro Vorfall im Vergleich zum Vorjahr um 50 % auf über 50.600 US-Dollar, da die Kriminellen immer raffinierter und organisierter vorgehen. Ein australischer Hedgefonds verlor 8,7 Millionen Dollar , nachdem er falsche Rechnungen bezahlt hatte, erlitt einen erheblichen Imageschaden und meldete schließlich Konkurs an.

    Ransomware beherrscht die Schlagzeilen, aber BEC braucht Ihre Aufmerksamkeit

    Insgesamt erhielt die ACSC im letzten Jahr 4.600 Meldungen über BECs, verglichen mit weniger als 500 Meldungen über Ransomware. In ähnlicher Weise berichtete das Internet Crime Complaint Center des FBI, dass US-Unternehmen durch BEC einen Schaden von 1,8 Milliarden Dollar erlitten haben, aber nur 29,1 Millionen Dollar durch Ransomware. Die großen Zahlen einiger aufsehenerregender Ransomware-Fälle (ganz zu schweigen von der Tatsache, dass schon der Name von Ransomware nach Hollywood-Drama trieft) lassen die Bedrohung größer erscheinen.

    All dies bedeutet nicht, dass Ransomware keine Bedrohung darstellt - Ransomware stellt ein zunehmend kritisches Risiko dar, über das oft zu wenig berichtet wird. Clevere Cyberexperten wissen jedoch, dass die Ransomware-Schlagzeilen die Cybersecurity-Teams nicht von BEC-Angriffen ablenken sollten.

    Wie BEC-Kriminelle ihre Ziele auswählen

    Business Email Compromise wird oft als Social Engineering bezeichnet, was bedeutet, dass es sich um psychologische Manipulation handelt. Im Gegensatz zu wahllosen E-Mail-Betrügereien, bei denen die Kriminellen mit einer großen Anzahl von in der Regel wenig ausgefeilten E-Mails einige wenige Opfer anlocken, sind BEC-Angriffe im Allgemeinen geplant und präzise.

    Die Betrüger lassen es in der Regel so aussehen, als käme ihre gefälschte E-Mail von einer vertrauenswürdigen Person, indem sie eine gefälschte E-Mail-Adresse oder ein kompromittiertes Konto verwenden und sich dann in eine Unterhaltung einmischen. Sie können vorgeben, ein Partner oder ein Angestellter zu sein.

    Die Kriminellen können Tage oder Wochen brauchen, um ihre Ziele zu finden und Websites, soziale Medien und das Dark Web zu durchforsten, um sowohl die Kontaktdaten des Empfängers als auch andere Daten herauszufinden, die ihnen helfen, eine überzeugende Fassade aufzubauen. Wenn sie in der Lage sind, eine echte Konferenz, auf der ein CEO gesprochen hat, "weiterzuverfolgen" oder auf ein Projekt zu verweisen, das ein Finanzcontroller verfolgt hat, wird ihre Täuschung sehr viel wahrscheinlicher erfolgreich sein. Führungskräfte und Mitarbeiter der Buchhaltung sind besonders attraktive Ziele.

    Die Arten von BEC-Angriffen - und warum sie so gefährlich sind

    Während Phishing (per E-Mail) am weitesten verbreitet ist, entwickeln sich auch Smishing (SMS) und Vishing (per Sprache) zu größeren Gefahren. Der Angriff kann über eine einzige E-Mail oder einen längeren Thread erfolgen. Zu den Angriffsarten gehören:

    1. CEO-Imitation: ein falscher CEO fordert die Überweisung von Geldern auf das Konto der Kriminellen
    2. Nachahmung eines Anwalts: Einem Mitarbeiter wird ein dringendes Rechtshilfeersuchen übermittelt.
    3. Datendiebstahl: Cyberangreifer, die sich häufig als Personalverantwortliche ausgeben, fordern persönliche Daten an, die für einen späteren Angriff verwendet werden können.
    4. Kompromittierung von Mitarbeitern oder Partnern: Kriminelle geben sich als Mitarbeiter aus, um Zahlungen von Dritten anzufordern, oder geben sich als Partner aus, um Geld von Ihrem Unternehmen zu erhalten.

    BEC-Angriffe können vertraute Kontakte nutzen, um das Vertrauen der Opfer zu gewinnen, oder bestehende Arbeitsabläufe ausnutzen, um Mitarbeiter dazu zu bringen, auf Autopilot zu handeln. Sorgfältig formulierte Nachrichten und Anhänge erwecken das Gefühl der Dringlichkeit durch Worte wie "überfällig" oder "sofortiges Handeln". Die E-Mails können versuchen, die Formulierungen des Unternehmens zu kopieren oder die Zielperson mit einer harmlosen, geschäftsüblichen Frage zu locken, bevor sie mit einer betrügerischen Anfrage überfallen wird.

    Gefälschte Rechnungen oder Google-Formulare, Aufforderungen zum Zurücksetzen von Passwörtern oder Links zu gefälschten Anmeldeseiten - all dies sind Möglichkeiten, wie die Kommunikation zu einem Betrug eskalieren kann. Sobald die Zahlung erfolgt ist, wird das Geld schnell auf mehrere Konten verteilt, um die Wahrscheinlichkeit zu verringern, dass Ihr Unternehmen die Papierspur verfolgt.

    Zur Bekämpfung von BEC sind sowohl Technologie als auch Schulung erforderlich

    Es gibt keine Einzellösung für Business Email Compromise, da es sich im Wesentlichen um ein Betrugsspiel von Mensch zu Mensch handelt. Um diese Bedrohung zu bekämpfen, müssen Sie Technologien einsetzen, die die technischen Risiken begrenzen, und Ihre Mitarbeiter schulen, damit sie betrügerische E-Mails erkennen. Sowohl die ACSC als auch die neuseeländische NCSC bieten Leitlinien an.

    Diese wichtigen Ansätze können dazu beitragen, dass Ihre Organisation sicher ist:

    1. Verwenden Sie die Multi-Faktor-Authentifizierung (MFA), um es Angreifern zu erschweren, E-Mail-Konten zu kompromittieren.
    2. Schützen Sie kritische Daten mit Netzwerksegmentierung oder Zero-Trust-Richtlinien
    3. Verstärken Sie die Firewalls und die bestehende E-Mail-Sicherheit, indem Sie sicherstellen, dass sie so konfiguriert sind, dass sie maximalen Schutz bieten, und erwägen Sie das Hinzufügen spezieller Schutzschichten.
    4. Achten Sie besonders auf Zeit- und Fernarbeitskräfte, die die Sicherheitsprotokolle möglicherweise weniger gut kennen.
    5. Verwenden Sie Tools wie DMARC, um die Gefahr von E-Mail-Spoofing zu verringern.
    6. Ermutigen Sie Ihre Mitarbeiter, auf verdächtige E-Mails zu achten und diese zu melden.

    Häufige, gezielte und ansprechende Mitarbeiterschulungen bringen weitaus bessere Ergebnisse als schablonenhafte Umfragen oder langweilige unternehmensweite Videos. Die Mitarbeiter sollten dazu ermutigt werden:

    1. Seien Sie skeptisch bei ungewöhnlichen Anfragen, insbesondere bei solchen, die eine dringende Antwort erfordern
    2. Denken Sie sorgfältig über die Nachricht und den Absender nach - beide könnten betrügerisch sein
    3. Anfragen, die die Notwendigkeit der Vertraulichkeit betonen oder die üblichen Kanäle umgehen
    4. Hören Sie auf Ihren Instinkt - im Zweifelsfall sollten die Mitarbeiter direkt bei einem Kollegen nachfragen oder eine neue, separate E-Mail zur Bestätigung an den Absender schicken, anstatt einfach auf den Nachrichten-Thread zu antworten.

    Wie man BEC schlägt

    Es ist leicht, sich in der Dramatik von Ransomware-Bedrohungen zu verlieren, aber CISOs sollten andere, eher alltägliche Sicherheitsrisiken nicht vernachlässigen. Es sind die Bedrohungen, die man nicht kommen sieht, die in der Regel am gefährlichsten sind, und BEC-Angriffe sind besonders tödlich, weil sie wie typische Geschäftsmitteilungen aussehen. Die Verwendung von gefälschten E-Mail-Adressen und sozial manipulierten Nachrichten kann leicht dazu führen, dass unvorsichtige Mitarbeiter in die Irre geführt werden, was zu Diebstahl, Datenverlust und Rufschädigung führt.

    Um das BEC-Risiko in den Griff zu bekommen, ist ein Ansatz erforderlich, der technologische Lösungen und Mitarbeiterschulungen kombiniert. Wenn Ihr Unternehmen beides effektiv handhaben kann, dann können diese betrügerischen E-Mails schnell markiert, gemeldet und im Papierkorb abgelegt werden, wo sie hingehören.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang