Von einer Kompromittierung des geschäftlichen E-Mail-Verkehrs (Business-E-Mail- Compromise oder auch kurz BEC) spricht man, wenn der E-Mail-Verkehr infiltriert, beeinträchtigt oder manipuliert wird.
Auch wenn sich jemand als eine Person im Unternehmen ausgibt, um den Empfänger dazu zu bringen, vertrauliche Informationen zu teilen, finanzielle Transaktionen vorzunehmen oder andere Handlungen durchzuführen, die die Sicherheit des Unternehmens nachhaltig gefährden, gehört zum BEC.
Cyberkriminelle nutzen verschiedene Vorgehensweisen, um Business-E-Mail-Compromise-Angriffe erfolgreich durchzuführen. Zum einen kommen Social-Engineering- Taktiken zum Einsatz, um den Betrug ausführen zu können und zum anderen können konkrete, reale Kompromittierungen von E-Mail-Konten und Systemen vorgenommen werden.
In Fällen, in denen die Angreifer ihre Opfer durch gezieltes Social Engineering zu bestimmten Handlungen verleiten, hat der Bedrohungsakteur keinen echten Zugang zu internen Systemen. Die betroffenen Personen werden von externen E-Mail-Adressen kontaktiert. Um die Erfolgschancen des Angriffs zu erhöhen, investieren kriminelle Hacker Zeit und Mühe, um ihre Täuschungsangriffe so realistisch wie möglich aussehen zu lassen.
Sie versuchen dabei herauszufinden, wie das Unternehmen strukturiert und aufgebaut ist, wer die relevanten Personen sind und welche Zuständigkeiten und Verantwortlichkeiten vorherrschen. Nach der Informationssammlung, verfassen die Kriminellen E-Mails im Namen eines Mitarbeitenden, des CEOs oder auch eines Dienstleisters oder Geschäftspartners und kontaktieren ihre Zielpersonen. Um die potentiellen Opfer noch besser täuschen zu können, werden reale E-Mail-Adressen nachempfunden oder nur minimal verändert, sodass die betroffenen Personen den Betrug nicht einfach erkennen können. Ein typisches Beispiel wäre hier der CEO-Fraud.
Während der Angreifer im oben genannten Fall nur vorgibt, Teil der Organisation zu sein, verfügt er bei der zweiten Art des BEC-Angriffs über wirklichen Zugang zu dem E-Mail-Server oder dem E-Mail-Konto des Opfers bzw. der Person, die er vorgibt zu sein. Das bedeutet, der Angreifer hat Zugang zu dem real-existierenden E-Mail-Konto und ist beispielsweise in der Lage, E-Mails von der kompromittierten E-Mail-Adresse zu versenden oder mit Weiterleitungsregeln mitzulesen.
Es ist dem kriminellen Hacker außerdem möglich, E-Mails abzufangen und zu manipulieren. Den Zugang zu E-Mail-Konten oder Systemen verschaffen sich kriminelle Hacker unter anderem durch Phishing-Angriffe, den Einsatz von Malware oder durch Sicherheitslücken in Anwendungen.
Ein Fall aus der Praxis zur Veranschaulichung:
In einem Unternehmen wurden neue Fenster eingebaut. Nach Beendigung der Arbeiten wurde dem Unternehmen die Schlussrechnung zugestellt. Die Buchhaltungsabteilung kam der Aufforderung nach und bezahlte den ausstehenden Betrag. Einige Zeit später wurde das Unternehmen vom Fensterbauer kontaktiert und darauf hingewiesen, dass die Rechnung noch offen sei.
Bei der Klärung des Sachverhalts stellte sich heraus, dass die Rechnung, die das Unternehmen erhalten hatte, manipuliert worden war und die Zahlungsinformationen geändert wurden. Da der Verdacht auf einen Cyberangriff bestand, untersuchten die Cyberforensiker die Systeme, die E-Mails, E-Mail-Server sowie das Rechnungs-PDF. Es stellte sich heraus, dass der E-Mail-Server des Unternehmens kompromittiert worden war, wodurch die E-Mail vom Angreifer abgefangen und manipuliert werden konnte.
In Bezug auf oben genannte Angriffsmuster:
In Bezug auf weitere Angriffsmuster, u.a. Phishing-Angriffe:
Kontaktieren Sie uns.
Unser Team ist für Sie da!
Telefon: +49 30 95 999 8080
E-Mail: info@perseus.de
© 2025 Perseus Technologies GmbH. All rights reserved
