Header Image

BEC-Angriffe: das steckt hinter der 26-Milliarden-USD-Betrugsmasche

Eine neue Studie von Osterman Research untersucht, warum Business-E-Mail-Compromise(BEC)-Angriffe größere finanzielle Schäden anrichten als Ransomware – und wie sie gestoppt werden können.

By

Warum sollten Cyberkriminelle Verschleierungstools nutzen, mehrstufige Cyberangriffe planen, Endpunkte verschlüsseln und um die Höhe des Lösegelds feilschen – wenn sie einfach nur nach dem Geld fragen müssen? Genau das ist das Konzept hinter Business-E-Mail-Compromise (BEC) – einer Art von Cyberangriffen, die in den letzten Jahren dramatisch zugenommen hat.

Das Internet Crime Complaint Center (IC3) der US-Regierung, das diese Angriffe seit 2013 beobachtet, bezeichnet BEC als 26-Milliarden-USD-Betrugsmasche – obwohl diese Zahl vor dem Hintergrund steigender Angriffszahlen und der zunehmenden Nutzung von E-Mails während der Pandemie wahrscheinlich schon veraltet ist.

Während aufsehenerregende Ransomware-Angriffe nach wie vor die Schlagzeilen beherrschen, sind BEC-Attacken für deutlich höhere Verluste verantwortlich. Zum Beispiel verursachten BEC-Angriffe im Jahr 2020 allein in den USA einen Schaden in Höhe von 1,8 Milliarden USD und machten schätzungsweise 40 % der cyberkriminellen Schäden weltweit aus.

Die Anatomie eines BEC-Angriffs

Auch wenn BEC-Angriffe als eine Art Phishing-Angriffe betrachtet werden, nutzen sie weder schädlichen Code noch bösartige Links. Stattdessen kommt hier Social Engineering zum Einsatz. Diese Angriffe richten sich speziell an Organisationen, die rechtmäßige Überweisungsanfragen bearbeiten und bei denen fast immer hochrangige Führungskräfte für die Compliance zuständig sind.

Laut dem von SonicWall gesponserten Osterman-Whitepaper How to Deal with Business Email Compromise (So werden Sie mit Business-E-Mail-Compromise fertig) nutzen BEC-Akteure kostenlose Services wie Gmail, um E-Mail-Adressen zu erstellen, die den Adressen hochrangiger Führungskräfte zum Verwechseln ähnlich sind. In selteneren Fällen verschaffen sie sich mittels Phishing-Angriffen oder anderer Mittel Zugang zu den tatsächlichen E-Mail-Konten leitender Angestellter.

Image describing phishing

Oben sehen Sie eine BEC-E-Mail, die ich erhalten habe. Beachten Sie, wie der Verfasser einen Eindruck von Wichtigkeit und Dringlichkeit wecken will – die Nachricht scheint vom CEO von SonicWall zu kommen, obwohl sie von außerhalb des Unternehmens stammt. Bei dieser Nachricht handelt es sich um einen ziemlich plumpen Versuch. Meist sind solche E-Mails sprachlich und vom gesamten Erscheinungsbild wesentlich besser gemacht.

Sobald der Angreifer über eine authentische E-Mail-Adresse verfügt, nutzt er Social-Engineering-Taktiken, um das Opfer aufzufordern, entweder eine Zahlung einer gültigen Rechnung auf sein eigenes Bankkonto zu veranlassen, eine gefälschte Rechnung zu begleichen oder ein Gehalt eines Angestellten auf ein kriminelles Bankkonto zu überweisen.

Da diese betrügerischen E-Mails ein Gefühl der Dringlichkeit vermitteln und von einem CEO, einem CFO oder einem anderen hochrangigen Angestellten zu kommen scheinen, sind die Opfer meist sehr darum bemüht, den Anfragen so schnell wie möglich nachzukommen. Wenn sich Mitarbeiter auf diese Weise hereinlegen lassen, verliert das Unternehmen eine große Summe Geld und der Cyberkriminelle freut sich über ein weiteres erfolgreiches Geschäft.

Wie häufig sind BEC-Angriffe?

BEC-Angriffe wurden in jedem US-Bundesstaat sowie in 177 Ländern auf der ganzen Welt registriert. Dem jüngsten IC3-Bericht zufolge wurden knapp 20.000 dieser Angriffe allein im Jahr 2020 gemeldet – die Dunkelziffer ist wahrscheinlich höher, wenn man bedenkt, dass vier von fünf Organisationen laut der Osterman-Studie 2021 von mindestens einem BEC-Angriff betroffen waren. Beim Mittelstand (500 bis 2.500 E-Mail-Nutzer) stieg diese Zahl sogar auf neun von zehn Unternehmen.

Schlimmer noch: Knapp 60 % der befragten Organisationen gaben an, Opfer eines erfolgreichen oder fast erfolgreichen BEC-Angriffs geworden zu sein. Bei einem erfolgreichen Angriff entstand ein enormer Schaden für das betroffene Unternehmen: Durch die direkten und indirekten Kosten lagen die finanziellen Auswirkungen erfolgreicher BEC-Angriffe insgesamt bei 114.762 USD. Zwar sind die direkten Kosten für das einzelne Unternehmen durchaus signifikant. Dennoch sind sie oft zu gering, als dass sie Hilfe von Strafverfolgungsorganen und Versicherungsunternehmen erwarten könnten.

BEC-Angriffe lassen sich durchaus stoppen (aber vielleicht nicht so, wie Sie denken).

Viele andere Angriffe nutzen bösartige Links und schädlichen Code, die von Anti-Malware-Lösungen und sicheren E-Mail-Gateways aufgespürt werden können. Aber die Social-Engineering-Taktiken, die bei BEC-Angriffen zum Tragen kommen – besonders solche, bei denen eine legitime E-Mail-Adresse genutzt wird –, werden von diesen Lösungen oft nicht entdeckt.

Obwohl drei Viertel der Befragten meinen, dass der Schutz vor diesen Angriffen einen hohen Stellenwert für sie hat, setzen viele von ihnen immer noch vorwiegend auf Technologien, die nie dafür konzipiert wurden, BEC-Angriffe zu stoppen.

Es gibt nicht viel, was Sie tun können, um zu verhindern, zu den 80 % (Tendenz steigend) der Unternehmen zu gehören, die jedes Jahr von BEC-Angriffen betroffen sind – aber es gibt viele andere Maßnahmen, die Sie treffen können, um Ihre Organisation vor finanziellen Schäden zu schützen. Im Wesentlichen gibt es drei wichtige Säulen: Personen, Prozesse und Technologien.

Technologien sind Ihre erste Verteidigungslinie gegen BEC-Angriffe. Viele Lösungen kommen mit dem Versprechen, BEC-Angriffe abzuwehren, doch ihre Effektivität variiert deutlich. Für einen bestmöglichen Schutz sollten Sie eine Lösung wählen, die BEC-Angriffe blockiert und gleichzeitig Mitarbeitern Unterstützung und Orientierung bietet.

Ist Ihnen im oben aufgeführten Beispiel die Meldung aufgefallen, die den Empfänger warnt, dass die E-Mail von außerhalb der Organisation gesendet wurde? Solche Warnmeldungen mögen zwar simpel sein, aber sie können den Unterschied machen: Ist der BEC-Versuch erfolgreich oder wird die E-Mail vom Empfänger geprüft und gelöscht?

Besonders in Unternehmen, die immer noch auf traditionelle Sicherheitstechnologien setzen, ist die Schulung von Mitarbeitern unerlässlich, um einen zusätzlichen Schutz zu gewährleisten. Angestellte sollten sensibilisiert werden, nach gespooften E-Mail-Adressen, untypischer Grammatik und Syntax sowie ungewöhnlich dringlichen Nachrichten Ausschau zu halten.

Im Falle besonders raffinierter Versuche sollte es genau definierte Prozesse für den Fall geben, dass eine BEC-E-Mail in den Posteingang gelangt und vom Empfänger nicht als solche erkannt wird. Es gibt einige Maßnahmen, die oft eine erfolgreiche letzte Verteidigungslinie gegen BEC-Angriffe bilden, zum Beispiel Out-of-Band-Bestätigungen oder die Vorgabe, dass Anfragen zur Änderung der Bankverbindung durch mehrere Personen geprüft werden müssen.

This post is also available in: English Alemão Allemand Alemán Italienisch

Amber Wolff
Senior Digital Copywriter | SonicWall
Amber Wolff is the Senior Digital Copywriter for SonicWall. Prior to joining the SonicWall team, Amber was a cybersecurity blogger and content creator, covering a wide variety of products and topics surrounding enterprise security. She spent the earlier part of her career in advertising, where she wrote and edited for a number of national clients.