Cyber-Kriminalität
Vorsicht vor der „Chef-Masche“!
Business E-Mail Compromise (BEC) ist für Kriminelle sehr lukrativ, und die Fälle nehmen zu. Unternehmen müssen entsprechende Prozesse als Gegenmaßnahme aufzusetzen und Mitarbeiter auf Anzeichen des Betrugs schulen.
Während Ransomware-Angriffe regelmäßig Schlagzeilen machen, bleibt eine andere Art von Cyberattacken weitgehend unter dem Radar: Business E-Mail Compromise (BEC). Dabei ist diese Angriffsmethode für die Kriminellen weitaus lukrativer. Das FBI stellt in seinem 2022 Internet Crime Report fest, dass Angreifer im vergangenen Jahr damit allein in den USA über 2,7 Milliarden US-Dollar einnahmen. Das ist etwa achtzigmal so viel, wie sie mit Lösegeld aus Ransomware erreichten. Das liegt auch daran, dass es laut FBI etwa zehnmal so viele Fälle gab.
Trend Micro registrierte in seinem kürzlich erschienenen E-Mail Threat Landscape Report für das vergangene Jahr zudem eine Zunahme der BEC-Fälle um 35 Prozent. Ein Grund mehr, diese Angriffsmethode ernst zu nehmen.
Der Angriffsablauf
BEC ist meist ein gezielter Angriff. Das bedeutet, die Täter suchen sich ein Opfer aus und erkunden über öffentlich verfügbare Informationen („Open Source Intelligence“) einen möglichen Angriffsweg. Dabei geht es vor allem um den Geschäftsalltag: Wer hat im Unternehmen das Sagen? In welche Geschäfte ist es verwickelt? Gibt es aktive Projekte, über die gesprochen wird? Auch Personen stehen im Fokus: Die Geschäftsführung, hochrangige Projektleitungen wie auch Mitarbeiter in der Finanzabteilung.
Der eigentliche Angriff erfolgt dann im Regelfall per E-Mail: Die Kriminellen fordern Mitarbeitende unterer Hierarchieebenen, bevorzugt in der Buchhaltung, auf, eine Auszahlung zu veranlassen. Dabei geben sie sich meist als Geschäftsführung oder höheres Management des Unternehmens aus. Die E-Mail klingt authentisch und manchmal auch sehr unangenehm nach Chef. Im fordernden Tonfall wird deutlich gemacht, dass es dringend sei. Meist geht es um ein wichtiges Projekt, dessen Ausgang von den Aktivitäten der nächsten Zeit abhängig sei. Deshalb sei es ja auch „Chefsache“. So wird das Opfer massiv unter Druck gesetzt. Ist die Auszahlung erfolgt, gibt es vielleicht noch ein paar freundliche Dankesworte. Dann ist der Spuk vorbei und das Geld weg.
Sich vor BEC schützen
Starke hierarchische Strukturen, die es Mitarbeitern erschweren, die Anweisungen von Vorgesetzten zu hinterfragen, erhöhen die Erfolgswahrscheinlichkeit dieser Angriffe ebenso wie fehlende Prozesse, welche beispielsweise die Auszahlung größerer Summen ohne Kontrolle erlauben. Solche Faktoren gilt es zu minimieren.
Zudem empfiehlt es sich, in Schulungsmaßnahmen noch einmal klarzustellen, dass E-Mails, die von leitenden Angestellten sind, normalerweise auch aus der eigenen Domäne stammen. Kommt eine solch dringende Aufforderung von außerhalb, ist es wahrscheinlich ein Fake. Leider gibt es aber auch eine steigende Anzahl von Fällen, in denen Täter zuvor Zugänge zu internen Ressourcen erlangten. Die Mail kommt dann eben tatsächlich von innen und enthält auch oft interne Informationen, die zuvor ausspioniert wurden. Hier sind wieder die Prozesse entscheidend – bemühen Sie sich darum, diese zu schaffen!
BEC-Betrug erkennen
Kriminelle geben sich in gefälschten E-Mails häufig als Vorgesetzte aus und versuchen, Auszahlungen zu veranlassen. Seien Sie in solchen Fällen stets kritisch, fragen Sie im Zweifelsfall beim vermeintlichen Absender noch einmal nach (persönlich oder telefonisch) und beachten Sie auch bei Zeitdruck für solche Fälle implementierte Prozesse (Vier-Augen-Prinzip, etc.).
Besondere Warnzeichen können sein:
- Die Mail kommt von außerhalb des Unternehmens (beispielsweise von einer vermeintlichen privaten E-Mail-Adresse des Geschäftsführers).
- Der Absender der Mail erzeugt Zeitdruck (dringende Überweisung sei kritisch für Projekterfolg).
- Die Mail kommt zu Randzeiten (Freitagnachmittag, vor Feiertagen, etc.).
- Auch die Kenntnis interner Details garantiert keine Authentizität! Solche Informationen können immer auch gestohlen sein.
Dieser Beitrag (wie auch schon frühere) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.