Business-E-Mail-Compromise (BEC) zählt mittlerweile zu den am weitesten verbreiteten Cyberangriffen. Kriminelle versuchen auf diese Weise, Zugang zu sensiblen Geschäftsdaten zu erhalten oder durch E-Mail-Betrug unrechtmäßig an Firmengelder zu kommen. Rund um die Abgabetermine fälliger Unternehmenssteuern steigt die Aktivitätskurve noch einmal deutlich an. Mit professionellen Abwehrmaßnahmen können Unternehmen ihre geschäftlichen E-Mails vor gefährlichen Angriffen schützen.
Der nächste Abgabetermin für die Unternehmenssteuer steht vor der Tür? Damit ist auch die Jagdsaison von Cyberkriminellen eröffnet. Ihre Beute sind sensible Unternehmensdaten und Finanzinformationen. Jeden Tag werden weltweit geschäftliche E-Mails kompromittiert. Die Folge sind häufig Betrügereien rund um Rechnungen sowie jede Form von Zahlungsbetrug. Und das im großen Stil. Schäden gehen oft in die Millionen.
Die Zahl der Phishing-Angriffe steigt seit Jahren deutlich – gerade rund um Termine für Steuererklärungen. Wenn beispielsweise in den USA die jährlichen Unternehmenssteuern fällig und damit sensible Daten ausgetauscht werden, gehen Cyberkriminelle mit besonderem Elan auf Raubzug. Sie fischen in geschäftlichen E-Mails nach sensiblen Unternehmensinformationen und Finanzdaten.
„The Insider Breach Report 2021“, den das unabhängige Marktforschungsinstitut Arlington Research im Auftrag des Sicherheitsunternehmens Egress erstellte, belegt, dass 95 % der befragten IT-Führungskräfte von US-Firmen um die Gefährdung ihrer per E-Mail versandte Unternehmensdaten wissen. Rund 83 % der Interviewten gaben an, dass sie in den letzten 12 Monaten von Datenverletzungen per E-Mail betroffen waren. Diese Ergebnisse spiegeln die Situation in nahezu allen Wirtschaftsregionen der Welt wider.
Sicherheitsbehörden warnen eindringlich
Sowohl das FBI als auch andere Sicherheitsorganisationen wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) bestätigen, dass Hacker bei BEC-Angriffen speziell auf Nutzer von Office-365 und Google-G-Suite abzielen. Microsoft-Office zählt demnach zu den am häufigsten verwendeten Ködern in Phishing-E-Mails und ist in mehr als der Hälfte aller digitaler Anschreiben enthalten, mit denen Anmeldedaten gestohlen werden. Auf diese Weise wollen Cyberkriminelle sich gezielt Zugang zu Konten oder Zugangsdaten verschaffen.
Mit Phishing-Ködern infizierte E-Mails erwecken den Eindruck, als gehörten sie zur Microsoft-Office-365-Unternehmensreihe oder der Teams-Kollaborationsplattform. Die Nachrichten sollen Benutzer dazu zu verleiten, ihre Anmeldedaten in einen gefälschten Anmeldebildschirm einzugeben. Alternativ wird häufig auch ein Link angeboten, über den mit nur einem Mausklick eine Malware heruntergeladen wird. Kaum einem Anwender ist bekannt, dass SSL längst kein Garant mehr für eine sichere Website ist. Der Phishing-Activity-Trends-Report zeigt, dass 80 % der Ende 2020 untersuchten Phishing-Seiten SSL verwenden.
BEC-Angriffe haben unterschiedliche Gesichter
Cyberkriminelle die Unternehmen über geschäftliche E-Mails angreifen, wollen in den meisten Fällen nur eins: Geld. Das erklärt, warum vier der häufigsten BEC-Angriffe Geldtransaktionen zum Gegenstand haben. Die Aufklärung der Mitarbeiter und deren Sensibilisierung für mögliche Cyberattacken hat daher höchste Priorität. Die Alarmglocken der Mitarbeiter sollten besonders in den folgenden Fällen schrillen:
– Umleitung von Gehaltsabrechnungen. Kriminelle senden betrügerische E-Mails an Mitarbeiter der Finanzabteilung, die für Gehaltszahlungen zuständig sind. Darin werden die Sachbearbeiter aufgefordert, die Daten eines Lohn- oder Gehaltskontos zu ändern. Statt auf das legitime Konto eines Angestellten fließen die Zahlungen stattdessen auf das Konto von Cyberbetrügern.
– Betrug bei Fusionen und Akquisitionen. Geschäftliche Vorgänge um solche Kooperationen verursachen oft einen zusätzlichen Aufwand und generieren Prozesse mit hoher Komplexität. Dieses Szenario nutzen Cyberkriminelle für ihre Zwecke. Sie geben sich beispielsweise als leitende Angestellte des Unternehmens aus und fordern Geldüberweisungen an eine dritte Partei. Vorfälle dieser Art werden immer wieder bekannt und verursachen hohe Schäden.
– Manipulierte Lieferantenrechnungen. In diesem Fall gibt sich ein Krimineller als Lieferant aus, mit dem bereits langfristige Geschäftsbeziehungen bestehen. Per E-Mail ergeht dann die Aufforderung, in den Stammdaten die Bankdaten des Lieferanten zu aktualisieren, um ausstehende Rechnungen zu begleichen. Dabei kann es um enorme Summen gehen, die zu hohen Verlusten führen. Vom Ärger mit den Lieferanten und der daraus resultierenden Korrespondenz nicht zu reden. Zusätzlich zum monetären Verlust, kann das auch zum Vertrauensverlust führen und der Reputation eines Unternehmens schaden.
– Geschenkkarten-/Gutschein-Betrug. In diesem Szenario geben sich Kriminelle als bevollmächtigte Mitarbeiter eines Unternehmens aus. Sie senden eine dringende E-Mail, in der sie z.B. andere Mitarbeiter bitten, den Kauf von Geschenkkarten oder Gutscheinen zu übernehmen, um bürokratische Hürden innerhalb des Unternehmens zu umgehen – da ja die Zeit drängt. Die beim Kauf generierten Seriennummern sollen dann dem Absender übermittelt werden, damit dieser die Geschenkkarten bzw. Gutscheine sofort verschicken kann. Hilfsbereite Mitarbeiter haben das Nachsehen, wenn sie die Summe aus ihrem eigenen Geldbeutel zahlen. Werden solche Transaktionen in größerer Zahl über das Firmenkonto getätigt, summieren sich die schnell.
Beliebte Angriffsvektoren und ihre Auswirkungen
Die Angriffsvektoren bei BEC-Angriffen sind unterschiedlich, haben aber immer nur ein Ziel: Daten oder Geld abzugreifen. Beliebte Techniken zur Kompromittierung von Konten sind unter anderem:
- Angriffe, um Zugang zu verifizierten Anmeldeinformationen zu erhalten.
- Bösartige Anhänge.
- Man-in-the-Middle-Angriffe, bei dem Cyberkriminelle heimlich Chats zwischen zwei Personen verändern.
- Social-Engineering-Angriffe.
- Spear-Phishing – dabei handelt es sich um gezielte Angriffe auf einzelne Personen. Vermeintliche Vorgesetzte ordnen z.B. Überweisungen an oder bitte unter einem Vorwand um die Übermittlung sensibler Geschäftsinformationen. Immer wieder kommt es vor, dass Mitarbeiter die gewünschten Aktionen vornehmen, weil sie Rückfragen vermeiden wollen.
BEC-Angriffe können jeden Mitarbeiter eines Unternehmens treffen und machen nicht vor Hierarchien halt. Das Spektrum der Attackierten reicht von Mitarbeitern des mittleren Managements, über die Finanzabteilung bis hin zur obersten Führungsebene. Vor der Kompromittierung geschäftlich genutzter E-Mail-Konten ist niemand sicher.
Schutz vor digitalen Fallen ist möglich
Kompromittierte Anmeldedaten können schnell zur vollständigen Übernahme eines Kontos führen. Sie gelten als eine der schädlichsten Formen von BEC-Angriffen darstellt und öffnen Cyberkriminellen Tür und Tor zu Unternehmensnetzen. Bei dieser Form eines Cyberangriffs werden gezielt Pishing-E-Mails eingesetzt, um das Konto einer Führungskraft oder eines Mitarbeiters zu hacken. Auf diese Weise gelingt es dann, unbemerkt Gelder, wie Zahlungen an Lieferanten, Gehälter oder Abschlagszahlungen für Projekte umzuleiten. Ein kontinuierliches Sicherheitstraining für die Mitarbeiter ist darum essenziell. Dazu gehört beispielsweise die immer wiederkehrende Erinnerung, dass niemand E-Mails öffnen sollte, wenn der Absender nicht bekannt ist. Das gilt für alle Beteiligten auf jeder Geschäftsebene. Auch mit weiteren gezielten Maßnahmen können Unternehmen die Kaperung von Mitarbeiterkonten stoppen:
- Einrichtung einer Multi-Faktor-Authentifizierung.
- Nutzung von URL-Scandienst, um die Echtheit von Links zu prüfen.
- Verpflichtende Mitarbeiterschulungen für alle in Sachen Cybersicherheit.
- Regelmäßige Kontrollen, ob Mitarbeiter E-Mail-Adressen und Passwörter offenlegen.
Besteht der Verdacht, das geschäftliche E-Mail-Konten Opfer von BEC-Angriffen geworden sind, ist professionelle Hilfe von Experten gefragt. Diese bietet einen Dienst an, mit dem sich kompromittierte Konten schnell identifizieren lassen und eine Übernahme durch kriminelle Elemente verhindert wird. Unternehmen können auf diese Weise herausfinden, welche Unternehmensdaten leicht zugänglich und damit anfällig für Cyberangriffe sind und ihre Netzwerke sowie geschäftliche Daten schützen.
Gerade rund um die Abgabetermine für Steuerdaten ist dieser Sicherheitsaspekt von großer Bedeutung, da die Aktivitätskurve von Cyberkriminellen in diesem Zeitraum stark ansteigt. Früh erkannte Datenlecks und deren Behebung begrenzen den Schaden und schützen geschäftliche Transaktionen.
