Business E-Mail Compromise (BEC): Mal eben die Millionensumme ans falsche Konto geschickt

CorporatePhishing

Wenn es um sehr viel Geld geht, überprüft man jeden einzelnen Schritt oft mehrmals. Zu Recht, denn die Anzahlung für ein Haus, ein Autokauf oder eine große Investition müssen fehlerfrei sein, um wirksam zu werden. Doch trotz dieser Akribie fallen private wie geschäftliche Nutzer auf Betrüger herein die ihre Methoden so verfeinert haben, so dass ein 4-Augen-Prinzip schon lange nicht mehr ausreicht.

Spektakulär ist der aktuelle Fall in der Englischen Premier League: ein Verein überwies eine Million Englische Pfund nach einer realistischen Betrugs-E-Mail, die den Club überzeugte, das Geld an ein neues Konto zu senden. Glücklicherweise fiel der Bank des Vereins diese Transaktion als verdächtig auf, sie forschte nach und entdeckte den Betrug (Quelle: https://www.ncsc.gov.uk/files/Cyber-threat-to-sports-organisations.pdf).

Hackerwissen ist unnötig, das Internet reicht aus
Diese sehr geschickte Form des virtuellen Betrugs heißt: Business E-Mail Compromise, kurz BEC. Sie gehört zur Spear-Phishing-Kategorie, auch Targeted Phishing genannt. Da hierbei oft die Identitäten von Entscheidern übernommen werden, fällt hierbei häufig der Name CEO- oder CFO-Betrug. Dies greift allerdings oft zu kurz, zum Beispiel in nicht hierarchisch gegliederten Unternehmen und solchen, die diese Titel gar nicht verwenden. Es ist weniger Cybercrime sondern eher durch das Internet ermöglichte Kriminalität. Die Betrüger dahinter brauchen keine Schadsoftware programmieren, sie müssen keine Elite-Hacker sein und benötigen kein Fachwissen über Netzwerk-Intrusionen etc. Ihr Profil basiert auf Geduld, Beharrlichkeit, Selbstvertrauen und Geschick beim Social Engineering. Aber anders als ein Heiratsschwindler manipulieren sie ihre Opfer nicht mit ihrem persönlichen Auftreten, sondern sie verwenden das Internet. Grundsätzlich besteht das BEC-Prinzip aus drei Schritten:

1. Schritt:Das E-Mail-Passwort einer Person mit Entscheidungsbefugnis im Unternehmen erlangen.
2. Schritt:Sämtlichen E-Mail-Verkehr studieren, das Opfer-Verhalten lernen, große Geldtransfers beachten.
3. Schritt:Übernahme der Opfer-Identität zur Manipulation von Vertragspartnern mit dem Ziel, die ausstehenden Zahlungen an neue Konten der Betrüger umzuleiten, oder Mitarbeiter dazu zu bewegen, abgehende Rechnungen statt an echte Gläubiger an gefälschte Accounts zu senden.

BEC-Kriminelle nutzen die Technologie, um Menschen in die Irre zu führen. Sobald sie einen Fuß im Unternehmen haben, füttern sie diese Sabotage mit Insider-Wissen aus Social Engineering, um glaubwürdig zu bleiben.

Wie kann man sich gegen Business E-Mail Compromise schützen?
Ist ein Betrüger mit dieser Masche in das eigene Postfach gelangt, schreibt er Emails, kann seine Spuren aus In- und Outbox löschen, Replies der Kollegen, die misstrauisch werden, abfangen, löschen oder modifizieren und diese sogar bedrohen. Aber wie kann man sich vor so einer Übernahme, die man nicht mal bemerkt, schützen? Sophos-Experte Michael Veit hat sechs Tipps zur Prävention zusammengefasst:

  1. Zwei-Faktor-Authentifizierung (2FA): Die 2FA sichert das Passwort doppelt ab, denn der Betrüger benötigt zum erfolgreichen Einloggen in den Account weiteren Code etc. zur Identifikation. Der E-Mail-Account ist wie bei den meisten Nutzern der Schlüssel, um weitere Passwörter anderer Konten zu zurückzusetzen. Deshalb sollte man das E-Mail-Passwort außerordentlich gut absichern.
  1. Überwachungsfunktionen beim Provider anfragen: Funktionen, die die Zugriffe überwachen, helfen Logins aus ungewohnten Quellen leichter zu entdecken, ebenso wie Netzwerk-Aktivitäten, die nicht ins übliche Nutzungsmuster passen. Auch mit der Bank kann man besprechen, wie sich eine weitere Sicherheitsebene zum Schutz vor Betrug einsetzen lässt.
  1. Mehrschichtiger Prozess bei bedeutenden Accountänderungen:Besonders Änderungen bei Bezahlmodi sollten mehrere Zustimmungs- oder Benachrichtigungsschleifen durchlaufen.
  1. Jegliche Fehler und Abweichungen in E-Mails ernst nehmen:Grammatik, Rechtschreibung, Titel, Namen, alles was nicht nur falsch, sondern zunächst ungewöhnlich klingt, kann ein Hinweis sein.
  1. Bei Geldtransfers lieber telefonieren statt mailen:Ein Anruf oder der Versand wichtiger Dokumente an eine Adresse können schon aufzeigen, ob es sich um „echte“ Vertragspartner handelt. Hier lieber den klassischen Kommunikationsweg wählen.
  1. Anti-Betrugs-Training im Unternehmen: Unternehmen sollten darüber nachdenken, ihre Mitarbeiter im Hinblick auf Phishing-Betrug zu schulen. Es gibt zum Beispiel Funktionen wie Sophos Phish Threat, die das Verhalten der Belegschaft in einer Testumgebung analysieren können, um mögliches fehlerhaftes Agieren im echten Arbeitsablauf vermeiden zu können.

Leave a Reply

Your email address will not be published.