Business Email Compromise (BEC)
Von einer Kompromittierung des geschäftlichen E-Mail-Verkehrs (Business-E-Mail- Compromise oder auch kurz BEC) spricht man, wenn der E-Mail-Verkehr infiltriert, beeinträchtigt oder manipuliert wird.
Auch wenn sich jemand als eine Person im Unternehmen ausgibt, um den Empfänger dazu zu bringen, vertrauliche Informationen zu teilen, finanzielle Transaktionen vorzunehmen oder andere Handlungen durchzuführen, die die Sicherheit des Unternehmens nachhaltig gefährden, gehört zum BEC.
Cyberkriminelle nutzen verschiedene Vorgehensweisen, um Business-E-Mail-Compromise-Angriffe erfolgreich durchzuführen. Zum einen kommen Social-Engineering- Taktiken zum Einsatz, um den Betrug ausführen zu können und zum anderen können konkrete, reale Kompromittierungen von E-Mail-Konten und Systemen vorgenommen werden.
In Fällen, in denen die Angreifer ihre Opfer durch gezieltes Social Engineering zu bestimmten Handlungen verleiten, hat der Bedrohungsakteur keinen echten Zugang zu internen Systemen. Die betroffenen Personen werden von externen E-Mail-Adressen kontaktiert. Um die Erfolgschancen des Angriffs zu erhöhen, investieren kriminelle Hacker Zeit und Mühe, um ihre Täuschungsangriffe so realistisch wie möglich aussehen zu lassen.
Sie versuchen dabei herauszufinden, wie das Unternehmen strukturiert und aufgebaut ist, wer die relevanten Personen sind und welche Zuständigkeiten und Verantwortlichkeiten vorherrschen. Nach der Informationssammlung, verfassen die Kriminellen E-Mails im Namen eines Mitarbeitenden, des CEOs oder auch eines Dienstleisters oder Geschäftspartners und kontaktieren ihre Zielpersonen. Um die potentiellen Opfer noch besser täuschen zu können, werden reale E-Mail-Adressen nachempfunden oder nur minimal verändert, sodass die betroffenen Personen den Betrug nicht einfach erkennen können. Ein typisches Beispiel wäre hier der CEO-Fraud.
Während der Angreifer im oben genannten Fall nur vorgibt, Teil der Organisation zu sein, verfügt er bei der zweiten Art des BEC-Angriffs über wirklichen Zugang zu dem E-Mail-Server oder dem E-Mail-Konto des Opfers bzw. der Person, die er vorgibt zu sein. Das bedeutet, der Angreifer hat Zugang zu dem real-existierenden E-Mail-Konto und ist beispielsweise in der Lage, E-Mails von der kompromittierten E-Mail-Adresse zu versenden oder mit Weiterleitungsregeln mitzulesen.
Es ist dem kriminellen Hacker außerdem möglich, E-Mails abzufangen und zu manipulieren. Den Zugang zu E-Mail-Konten oder Systemen verschaffen sich kriminelle Hacker unter anderem durch Phishing-Angriffe, den Einsatz von Malware oder durch Sicherheitslücken in Anwendungen.
Ein Fall aus der Praxis zur Veranschaulichung:
In einem Unternehmen wurden neue Fenster eingebaut. Nach Beendigung der Arbeiten wurde dem Unternehmen die Schlussrechnung zugestellt. Die Buchhaltungsabteilung kam der Aufforderung nach und bezahlte den ausstehenden Betrag. Einige Zeit später wurde das Unternehmen vom Fensterbauer kontaktiert und darauf hingewiesen, dass die Rechnung noch offen sei.
Bei der Klärung des Sachverhalts stellte sich heraus, dass die Rechnung, die das Unternehmen erhalten hatte, manipuliert worden war und die Zahlungsinformationen geändert wurden. Da der Verdacht auf einen Cyberangriff bestand, untersuchten die Cyberforensiker die Systeme, die E-Mails, E-Mail-Server sowie das Rechnungs-PDF. Es stellte sich heraus, dass der E-Mail-Server des Unternehmens kompromittiert worden war, wodurch die E-Mail vom Angreifer abgefangen und manipuliert werden konnte.
In Bezug auf oben genannte Angriffsmuster:
In Bezug auf weitere Angriffsmuster, u.a. Phishing-Angriffe:
A Business Email Compromise (BEC) occurs when corporate email communication is infiltrated, manipulated, or otherwise compromised.
This also includes cases where an attacker impersonates someone within the organization in order to trick recipients into sharing sensitive information, authorizing financial transactions, or taking actions that could significantly jeopardize the company’s security.
Cybercriminals use a range of techniques to carry out BEC attacks successfully. These include social engineering tactics designed to deceive victims, as well as actual compromise of email accounts or systems.
In cases where attackers manipulate their targets through social engineering, the threat actor does not have direct access to internal systems. The affected individuals are contacted from external email addresses. To increase their chances of success, attackers often invest time and effort in crafting convincing emails.
They research the structure of the company, identify key individuals, and understand responsibilities and workflows. Based on this information, the attacker drafts emails impersonating employees, CEOs, service providers, or business partners. These emails are then sent to the intended targets. To make the deception even more convincing, attackers use email addresses that closely mimic real ones – often with only slight alterations – making the fraud difficult to detect. One common example of this type of attack is CEO fraud.
While social engineering attacks rely on impersonation from the outside, the second type of BEC attack involves actual access to a legitimate email account or server within the organization. In this case, the attacker is able to send emails from the compromised account, create forwarding rules, or monitor email traffic unnoticed.
This type of access is often gained through phishing, malware, or by exploiting vulnerabilities in software applications. Once inside, attackers can intercept and alter legitimate communication, including invoices or payment instructions.
Real-world example:
A company hired a contractor to install new windows. After the work was completed, the contractor sent a final invoice. The company’s accounting department paid the invoice as instructed. Some time later, the contractor reached out to ask why the invoice had not been paid.
An investigation revealed that the invoice had been manipulated, and the payment details had been changed. Suspecting a cyberattack, forensic analysts examined the company’s systems, emails, email server, and the invoice PDF. It turned out the company’s email server had been compromised, allowing the attacker to intercept and alter the invoice email.
When dealing with potential BEC attempts:
Double-check whether the sender’s email address is legitimate or contains unusual elements (extra characters, misspellings, wrong domain names, etc.).
Pay attention to the tone, language, and writing style of the message.
Stay calm, even in high-pressure situations. Do not let urgency override caution.
Trust your instincts. If something feels off, it probably is.
Don’t hesitate to ask a colleague for a second opinion or confirm suspicious requests through a separate communication channel.
For other attack types, such as phishing:
Always treat email attachments and links with caution.
Avoid clicking on links or downloading files from emails you don’t trust.
Visit only reputable websites.
Avoid clicking on pop-ups or banner ads.
Only download and install software from trusted sources.
Technical safeguards such as firewalls and spam filters are essential but not enough on their own. The human factor is often the weakest link.
Provide your employees with ongoing, practical cybersecurity awareness training.
Offer regular workshops or briefings on current cyberattack methods. Alternatively, engage specialized providers like Perseus to train your staff.
Promote a workplace culture where employees feel encouraged to ask questions and seek second opinions when in doubt.
Kontaktieren Sie uns.
Unser Team ist für Sie da!
Telefon: +49 30 95 999 8080
E-Mail: info@perseus.de
© 2025 Perseus Technologies GmbH. All rights reserved
