Business-E-Mail-Compromise / Kompromittierung von Geschäfts-E-Mails

Von einer Kompromittierung des geschäftlichen E-Mail-Verkehrs (Business-E-Mail- Compromise oder auch kurz BEC) spricht man, wenn der E-Mail-Verkehr infiltriert, beeinträchtigt oder manipuliert wird. Auch wenn sich jemand als eine Person im Unternehmen ausgibt, um den Empfänger dazu zu bringen, vertrauliche Informationen zu teilen, finanzielle Transaktionen vorzunehmen oder andere Handlungen durchzuführen, die die Sicherheit des Unternehmens nachhaltig gefährden, gehört zum BEC.

Wie gehen Cyberkriminelle vor? 

Cyberkriminelle nutzen verschiedene Vorgehensweisen, um Business-E-Mail-Compromise-Angriffe erfolgreich durchzuführen. Zum einen kommen Social-Engineering- Taktiken zum Einsatz, um den Betrug ausführen zu können und zum anderen können konkrete, reale Kompromittierungen von E-Mail-Konten und Systemen vorgenommen werden.

1. Betrug mit Social Engineering

In Fällen, in denen die Angreifer ihre Opfer durch gezieltes Social Engineering zu bestimmten Handlungen verleiten, hat der Bedrohungsakteur keinen echten Zugang zu internen Systemen. Die betroffenen Personen werden von externen E-Mail-Adressen kontaktiert. Um die Erfolgschancen des Angriffs zu erhöhen, investieren kriminelle Hacker Zeit und Mühe, um ihre Täuschungsangriffe so realistisch wie möglich aussehen zu lassen. Sie versuchen dabei herauszufinden, wie das Unternehmen strukturiert und aufgebaut ist, wer die relevanten Personen sind und welche Zuständigkeiten und Verantwortlichkeiten vorherrschen. Nach der Informationssammlung, verfassen die Kriminellen E-Mails im Namen eines Mitarbeitenden, des CEOs oder auch eines Dienstleisters oder Geschäftspartners und kontaktieren ihre Zielpersonen. Um die potentiellen Opfer noch besser täuschen zu können, werden reale E-Mail-Adressen nachempfunden oder nur minimal verändert, sodass die betroffenen Personen den Betrug nicht einfach erkennen können. Ein typisches Beispiel wäre hier der CEO-Fraud.

2. Kompromittierung von E-Mail-Konten oder Systemen

Während der Angreifer im oben genannten Fall nur vorgibt, Teil der Organisation zu sein, verfügt er bei der zweiten Art des BEC-Angriffs über wirklichen Zugang zu dem E-Mail-Server oder dem E-Mail-Konto des Opfers bzw. der Person, die er vorgibt zu sein. Das bedeutet, der Angreifer hat Zugang zu dem real-existierenden E-Mail-Konto und ist beispielsweise in der Lage, E-Mails von der kompromittierten E-Mail-Adresse zu versenden oder mit Weiterleitungsregeln mitzulesen. Es ist dem kriminellen Hacker außerdem möglich, E-Mails abzufangen und zu manipulieren. Den Zugang zu E-Mail-Konten oder Systemen verschaffen sich kriminelle Hacker unter anderem durch Phishing-Angriffe, den Einsatz von Malware oder durch Sicherheitslücken in Anwendungen.

Ein Fall aus der Praxis zur Veranschaulichung:  In einem Unternehmen wurden neue Fenster eingebaut. Nach Beendigung der Arbeiten wurde dem Unternehmen die Schlussrechnung zugestellt. Die Buchhaltungsabteilung kam der Aufforderung nach und bezahlte den ausstehenden Betrag. Einige Zeit später wurde das Unternehmen vom Fensterbauer kontaktiert und darauf hingewiesen, dass die Rechnung noch offen sei. Bei der Klärung des Sachverhalts stellte sich heraus, dass die Rechnung, die das Unternehmen erhalten hatte, manipuliert worden war und die Zahlungsinformationen geändert wurden. Da der Verdacht auf einen Cyberangriff bestand, untersuchten die Cyberforensiker die Systeme, die E-Mails, E-Mail-Server sowie das Rechnungs-PDF. Es stellte sich heraus, dass der E-Mail-Server des Unternehmens kompromittiert worden war, wodurch die E-Mail vom Angreifer abgefangen und manipuliert werden konnte.

 

Wie schützen Sie sich? 

Als Mitarbeitender:

In Bezug auf oben genannte Angriffsmuster:

• Kontrollieren Sie, ob es sich bei der E-Mail-Adresse des Absenders tatsächlich um die entsprechende E-Mail handelt oder ob ungewöhnliche Elemente (extra Buchstaben oder Zahlen, falscher Domain-Name, etc.) enthalten sind.
• Achten Sie auf Ansprache, Formulierungen und Redewendungen.
• Bewahren Sie auch in stressigen Situationen einen kühlen Kopf und lassen Sie sich nicht aus der Ruhe bringen.
• Vertrauen Sie Ihrem Instinkt. Wenn Ihnen etwas komisch erscheint, ist meistens auch etwas dran.
• Holen Sie sich eine zweite Meinung ein oder versichern Sie sich besser einmal zu viel, als einmal zu wenig.

In Bezug auf weitere Angriffsmuster, u.a. Phishing-Angriffe:

• Behandeln Sie E-Mail-Anhänge und Links immer mit Misstrauen.
• Klicken Sie nicht auf Links oder laden Sie sich keine Anhänge herunter in E-Mails, die Ihnen nicht vertrauenswürdig erscheinen.
• Besuchen Sie nur seriöse Internetseiten.
• Klicken Sie nicht wahllos auf Pop-Ups oder Bannerwerbung.
• Laden und installieren Sie Programme oder Software-Anwendungen nur von vertrauenswürdigen Quellen.

Als Geschäftsführer:

• Zum Schutz vor Cyberangriffen, wie zum Beispiel Phishing-Angriffen oder diverse Social-Engineering-Angriffen, reichen technische Schutzmaßnahmen wie eine aktive Firewall und Spam-Filter nicht aus. Sie müssen sich auf Ihre Mitarbeitenden konzentrieren und sie einbinden.
• Ermöglichen Sie Ihren Mitarbeiterinnen und Mitarbeitern eine umfassende und nachhaltige Bewusstseinsbildung für Cybersicherheit.
• Bieten Sie der Belegschaft regelmäßige Schulungen und Trainings zu aktuellen Angriffsmustern oder Angriffsarten an. Alternativ können Sie auch externe Dienstleister – wie Perseus – mit der Schulung der Angestellten beauftragen.
• Fördern Sie eine Unternehmenskultur, in der die Mitarbeitenden ermutigt werden, im Zweifelsfall nachzufragen und eine zweite Meinung einzuholen.