Business-E-Mail-Compromise (BEC) ist eine Art von Phishing-Betrug per E-Mail, bei dem ein Angreifer versucht, Mitglieder einer Organisation dazu zu bringen, beispielsweise Geldmittel oder vertrauliche Daten zu übermitteln. Der aktuelle „Arctic Wolf Labs Threat Report“ fand heraus, dass sich diese Angriffstaktik fest etabliert hat. Sie ist einfach in der Umsetzung – und funktioniert: Warum sollten sich Angreifer die Mühe machen, sich Zugang zu Unternehmensanwendungen zu verschaffen, Dateien zu stehlen und zu verschlüsseln, ein Lösegeld auszuhandeln, um dann Kryptowährungen zu kassieren, wenn sie stattdessen jemanden davon überzeugen können, das Geld direkt zu überweisen?
Entsprechend ging laut des aktuellen Arctic-Wolf-Labs-Threat-Reports knapp ein Drittel (29,7 %) aller von Arctic-Wolf-Incident-Response untersuchten Fälle auf das Konto von BEC. Die Zahl der durchgeführten BEC-Untersuchungen verdoppelte sich dabei in der ersten Hälfte des Jahres 2023 – ein zusätzlicher Anstieg zu den 29 %, die bereits von 2021 auf 2022, verzeichnet wurden.
Der Arctic-Wolf-Labs-Threat-Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gibt tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeigt globale Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen für das kommende Jahr.
BEC – eine unterschätzte Bedrohung
Da der unmittelbare Schaden durchschnittlich niedriger ausfällt als bei Ransomware, folgt jedoch weniger häufig eine volle Incident-Response-Untersuchung. Dennoch sollten Unternehmen wachsam sein, denn im Einzelfall – wenn BEC-Betrug beispielsweise zu einer Datenpanne führt – können die Kosten ins Unermessliche steigen. Laut des IBM-Cost-of-a-Data-Breach-Report-2023 sind BEC-Betrügereien die drittteuerste Art von Datenschutzverletzungen und kosten im Durchschnitt 4,67 Millionen US-Dollar. Die schiere Zahl der BEC-Vorfälle und die damit verbundenen direkten und indirekten Kosten zeichnen ein Bild von einer Bedrohung, die mehr Aufmerksamkeit in der Geschäftswelt verdient.
Diese Arten von BEC gibt es
BEC-Betrug gibt es in vielen Formen, von denen sich einige überschneiden. Derzeit machen sechs Arten die große Mehrheit der Vorfälle aus:
- CEO/Executive Fraud: Ein Angreifer, der sich als CEO oder eine andere Führungskraft innerhalb eines Unternehmens ausgibt, sendet einer Person mit der Befugnis zur Überweisung von Geldern eine E-Mail mit der Bitte um eine Überweisung auf ein vom Angreifer kontrolliertes Konto.
- Attorney-Impersonation: Ein Angreifer gibt sich als Anwalt oder Rechtsvertreter des Unternehmens aus und sendet einem Mitarbeitenden eine E-Mail mit der Bitte um Übersendung von Geldmitteln oder sensible Daten. Diese Art von BEC-Angriffen zielt in der Regel auf Mitarbeiterinnen und Mitarbeiter der unteren Ebene ab.
- Datendiebstahl: Ein Angreifer hat es auf Mitarbeitende der Personal- und Finanzabteilung abgesehen, um an persönliche oder sensible Informationen über einzelne Personen innerhalb des Unternehmens, z.B. Geschäftsführer und Führungskräfte, zu gelangen. Diese Daten können dann für künftige Cyberangriffe genutzt werden. In selteneren Fällen kann ein Angreifer, der sich als Kunde oder Lieferant ausgibt, einen Empfänger (z.B. in einer rechtlichen oder technischen Funktion) auffordern, geistiges Eigentum oder andere sensible oder geschützte Informationen zu übermitteln.
- Account-Compromise: Bei dieser Variante (die auch unter dem BEC-Synonym E-Mail-Account-Compromise (EAC) bekannt ist) gibt sich ein Angreifer nicht einfach als Besitzer eines vertrauenswürdigen E-Mail-Kontos aus, sondern es gelingt ihm, Zugriff auf ein rechtmäßiges E-Mail-Konto zu erlangen. Er nutzt dieses, um den Betrug auszuführen, indem er E-Mails von dem gekaperten Konto aus versendet und beantwortet. Dabei setzt er manchmal Filterwerkzeuge und andere Techniken ein, um zu verhindern, dass der tatsächliche Kontoinhaber diese Aktivitäten bemerkt.
- False-Invoice-Scheme / Scheinrechnungen: Ein Angreifer, der sich als bekannter Verkäufer oder Lieferant ausgibt, sendet eine E-Mail an eine Person mit der Befugnis, Geld zu überweisen und bittet um eine Überweisung auf ein vom Angreifer kontrolliertes Konto.
- Product-Theft: Eine relativ neue Masche – auf die das FBI im März 2023 aufmerksam machte – bei der ein Angreifer, der sich als Kunde ausgibt, ein Unternehmen dazu bringt, eine große Menge an Produkten auf Kredit zu verkaufen (und zu versenden).
Wie kann man sich schützen?
Unternehmen sollten alle ihre Mitarbeitenden über die Betrugsmasche aufklären und eine Sicherheitskultur etablieren, die dazu einlädt, Sicherheitsbedenken jederzeit zu äußern und zu überprüfen. Mitarbeitende sollten zudem bei jeder E-Mail darauf achten, ob die E-Mailadresse korrekt oder aber verkürzt oder abgeändert ist und ob die Tonalität der Nachricht der Unternehmenskultur oder dem Schreibstil des jeweiligen (angeblichen) Absenders entspricht. Außerdem ist es hilfreich für bestimmte Prozesse, z.B. im Accounting, einen klaren Freigabeprozess zu definieren, um zusätzliche Sicherheitsnetze einzubauen. Im Verdachtsfall sollten alle Mitarbeitenden zudem den Kommunikationskanal wechseln und zum Beispiel über eine bekannte Telefonnummer checken, ob eine Überweisungsaufforderung an ein neues Konto wirklich von dem angegebenen Absender innerhalb des Unternehmens stammt.
Info: Weitere Erkenntnisse zur aktuellen Bedrohungslage und Informationen, wie Sie sich schützen können, finden Sie im aktuellen Arctic-Wolf-Labs-Threat-Report unter arcticwolf.com.
#ArcticWolf
