Wie man sich vor BEC-Angriffen (Business Email Compromise) schützt

Das FBI unterscheidet fünf verschiedene Kategorien von BEC-Verbrechen. Jede Kategorie beinhaltet zwar unterschiedliche Taktiken und Ziele, aber alle beruhen auf Social Engineering.

Beim CEO-Betrug geben sich Kriminelle als Geschäftsführer eines Unternehmens aus, um an Gelder oder Informationen zu gelangen. Die Psychologie hinter diesen Methoden ist einfach. Die Mitarbeiter neigen dazu, dem grössten Chef im Unternehmen zu vertrauen, und kommen der Bitte um Geld oder Daten manchmal nach, bevor sie die Legitimität der Nachricht hinterfragen. Personen in der Finanzabteilung sind besonders häufig mit dieser Art von Betrug konfrontiert, und sie sollten darauf vorbereitet sein, verdächtige Korrespondenz zu erkennen.

Bei Kontokompromittierungsangriffen gelingt es den Angreifern, das E-Mail-Konto eines Mitarbeiters zu übernehmen. Von dort aus können die Angreifer das kompromittierte Konto nutzen, um Geld von externen Anbietern anzufordern. Dieses Geld wird dann auf ein Bankkonto der Angreifer überwiesen.

Bei gefälschten Rechnungen gibt sich ein Krimineller als Lieferant aus und verlangt Geld von einem Unternehmen. Diese Angriffe sind oft sehr ausgeklügelt, und die Täter geben sich grosse Mühe, den Stil und den Inhalt einer typischen Rechnung zu duplizieren. Die Kriminellen stellen in der Regel Nachforschungen an, und die betrügerischen Forderungen stimmen wahrscheinlich mit Standardzahlungen aus der Vergangenheit überein.

Bei Anwaltsbetrügereien geben sich Kriminelle als Anwalt aus, der für ein Unternehmen tätig ist. Der vermeintliche Anwalt bittet um Geld oder Daten, und oft sind Mitarbeiter der unteren Ebene das Ziel. Überzeugt von der scheinbaren Autorität des Absenders, kommen die Empfänger der Aufforderung manchmal nach, bevor sie die Echtheit der Nachricht überprüft haben.

Bei Datendiebstahl dringt ein Angreifer in das System eines Unternehmens ein, um wichtige Informationen zu stehlen. In vielen Fällen extrahieren die Kriminellen persönliche Daten über die Top-Führungskräfte eines Unternehmens. Diese Informationen können sie dann nutzen, um innerhalb des Unternehmens einen CEO-Betrug zu begehen.

In jeder dieser Kategorien müssen die Barrieren zu den internen Systemen eines Unternehmens durchbrochen oder ein unwissentlicher Mitarbeiter ausgetrickst werden. Unabhängig von der Art des BEC-Angriffs gibt es vier Hauptphasen, die Teil einer grossen Kette von Ereignissen sind, die zu einem erfolgreichen Versuch führen können.

Stufe 1: Auswahl des richtigen Ziels

Die erste Phase des Angriffs ist die Auswahl des richtigen Ziels. Dabei ist ein wesentlicher Aspekt, wie machbar es ist, an das Geld zu kommen, indem man sich als jemand ausgibt und die Mitarbeiter des Unternehmens überzeugt, Geld auf ein Konto zu überweisen. Aus diesem Grund zielen BEC-Angriffe in der Regel auf Geschäftsführer, Rechtsanwälte und Mitarbeiter der Kreditorenbuchhaltung ab.

Um das richtige Ziel auszuwählen, müssen die Angreifer über Tage oder Wochen hinweg Erkundungen durchführen. Die heutigen betrügerischen Nachrichten sind oft sehr realistisch und enthalten auch legitime Informationen. Personalisierung, detaillierte Angaben und zeitliche Sensibilität sind erforderlich, um die bösartige E-Mail echter erscheinen zu lassen.

Cyberkriminelle nehmen sich die Zeit, das Unternehmen, das sie angreifen wollen, zu studieren, zu analysieren und zu verstehen. Eine Möglichkeit, dies zu erreichen, ist der Internet-Fussabdruck einer Person, einschliesslich persönlicher Informationen in sozialen Medien, der Internetpräsenz im Allgemeinen, geografischer Informationen und sensibler Daten, die zu viele persönliche Informationen über die Aktivitäten des Mitarbeiters liefern könnten. Je grösser dieser Fussabdruck ist, desto einfacher wird es für die böswilligen Akteure, diese Informationen zu nutzen und wiederum einen erfolgreichen BEC-Angriff zu versuchen.

Stufe 2: Vorbereitung des Angriffs

Im Gegensatz zu den häufigeren Phishing-Kampagnen, die massenhaft erstellt werden, um möglichst viele Ziele zu erreichen, ohne ein bestimmtes Unternehmen oder eine bestimmte Person im Auge zu haben, ist alles, was für eine BEC-Kampagne verwendet wird, so genau wie möglich auf echte Versionen zugeschnitten. Bei der Vorbereitung dieser Angriffe fälschen die Täter E-Mail-Adressen, erstellen ähnliche Domänen und geben sich als vertrauenswürdige Anbieter aus, damit ihre E-Mails glaubwürdig und legitim erscheinen.

Ein weiterer wichtiger Teil der Angriffsvorbereitung kann die Kompromittierung von E-Mail-Konten sein, entweder des Zielunternehmens oder eines Anbieters oder einer dritten Partei, die direkt mit dem Zielunternehmen zusammenarbeitet. Diese E-Mail-Adresse kann zwar jemandem gehören, der nicht direkt mit dem Zielunternehmen zu tun hat, aber sie ist ein Sprungbrett zu einer sehr glaubwürdigen, vertrauenswürdigen Quelle. Wenn sie nicht rechtzeitig erkannt und gestoppt wird, kann die kompromittierte E-Mail effektiv zur Durchführung des BEC-Angriffs verwendet werden.

Wenn festgestellt wird, dass ein Drittanbieter-Konto kompromittiert wurde, ist es von entscheidender Bedeutung, dies der betroffenen Partei mitzuteilen, damit diese ihren eigenen Plan zur Identifizierung, Bewertung und Entschärfung des betroffenen Kontos und der Quelle des Angriffs in Gang setzen kann. Geschieht dies nicht, können die böswilligen Akteure ihre Angriffe auf das Unternehmen oder andere Parteien fortsetzen.     

Stufe 3: Durchführung des Angriffs

Die Ausführung des Angriffs kann eine einzige E-Mail umfassen, die den Empfänger dazu verleitet, auf den Absender zu klicken oder mit ihm in Kontakt zu treten. Manchmal ist keine direkte Interaktion erforderlich. Beispielsweise öffnet der Empfänger ein Dokument, das eine infizierte Datei enthält, die wiederum dazu verwendet wird, einen Fernzugriffstunnel (auch als RAT bekannt) zu öffnen oder Dateien aus dem Internet von Servern herunterzuladen, die von den böswilligen Akteuren kontrolliert werden.

In anderen Fällen erfordert die Ausführung des Angriffs, dass beide Parteien interagieren und möglicherweise einen langen Thread erstellen, um das Endergebnis zu erreichen. Die Methode kann je nach Ziel variieren, in den meisten Fällen wird jedoch eine betrügerische Transaktion durchgeführt.

Bei anderen Angriffen können sich die Angreifer als Freunde, Familienangehörige, Mitarbeiter oder Führungskräfte ausgeben, einschliesslich der Mitglieder der Führungsebene. Bei dieser Art von Angriffen können Geschäftsprozesse ausgenutzt werden, die den böswilligen Akteuren bekannt sind. Die Ausnutzung dieser Prozesse kann unter anderem durch direkte Anfragen oder Dokumente, die den Originalen so ähnlich wie möglich sind, erfolgen.

Bei einigen anderen Methoden kann auch allgemein verfügbare Software zum Einsatz kommen, einschliesslich kostenloser und/oder quelloffener Software, die zwar rechtmässig, aber in böser Absicht verwendet wird. Wenn es sich um Malware oder Ransomware handelt, können zusätzliche Schritte erforderlich sein, z. B. die Wiederherstellung des verschlüsselten Systems und die Zahlung des Lösegelds zur Wiederherstellung der Daten.

Stufe 4: Einziehung der Zahlung

Sobald die böswilligen Akteure die Zahlung erhalten haben, wird sie in den meisten Fällen schnell durch kleinere Transaktionen auf verschiedene Konten verteilt, um Rückholaktionen oder das Einfrieren des Geldes auf dem Empfängerkonto zu verhindern.

Wenn ein Unternehmen festgestellt hat, dass es einem böswilligen Akteur gelungen ist, das Geld auf seine Konten zu bringen, müssen unbedingt die Behörden kontaktiert und der Notfallplan schnell in Gang gesetzt werden. Andernfalls kann es passieren, dass das Unternehmen das Geld nicht zurückerhält.

Wie die bedeutendsten BEC-Angriffe abliefen

Mit dem Fortschreiten der COVID-19-Pandemie wurden BEC-Angriffe immer häufiger, weitaus besser zugeschnitten und mit einer höheren Belohnung für böswillige Akteure verbunden. In einem Bericht aus dem Jahr 2021 wurde festgestellt, dass 43 % der Unternehmen allein im vergangenen Jahr einen schwerwiegenden Vorfall im Bereich der Cybersicherheit erlitten haben. Derselbe Bericht stellte fest, dass bei 35 % dieser Unternehmen BEC-Angriffe für mehr als die Hälfte der sicherheitsrelevanten Vorfälle verantwortlich waren.

Der Erfolg dieser Angriffe beruht auf Social-Engineering-Taktiken, bei denen Mitarbeiter auf allen Ebenen, einschliesslich der Führungsebene, zur Zusammenarbeit mit böswilligen Akteuren verleitet werden, ohne dass sie merken, dass sie als Teil des Angriffsvektors benutzt werden. Da menschliche Interaktion ins Spiel kommt und herkömmliche E-Mail-Sicherheitslösungen diese ausgeklügelten Bedrohungen nicht erkennen können, gibt es viel Raum für böswillige Akteure, ihre Ziele zu erreichen, ohne erwischt zu werden, bis es viel zu spät ist. Indem sie sich ansehen, wie einige der bedeutendsten BEC-Angriffe abgelaufen sind und was sie erfolgreich gemacht hat, können Sicherheitsverantwortliche die richtigen Schutzstrategien für ihre Unternehmen identifizieren und anwenden.

Angriff auf das Land Nordrhein-Westfalen im Umfang von 14,7 Millionen Dollar

Die Gesundheitsbranche stand während der COVID-19-Pandemie unter einem noch nie dagewesenen Stress, und Betrügereien aller Art wurden häufig und häufig. Das Land Nordrhein-Westfalen bildete hier keine Ausnahme. Böswillige Akteure sammelten 14,7 Millionen Dollar durch eine ausgeklügelte BEC-Kampagne.

Die von den Cyberkriminellen angewandte Methode bestand darin, die Website eines echten Unternehmens, eines Lieferanten von Schutzausrüstung aus Spanien, zu klonen. Es gelang ihnen, die E-Mail des Anbieters zu kompromittieren und mit der deutschen Gesundheitsbehörde in Kontakt zu treten. Die Beamten der Gesundheitsbehörde kauften die Ausrüstung, von der sie zu diesem Zeitpunkt annahmen, dass es sich um die eines seriösen Unternehmens handelte, und überwiesen das Geld auf die gewünschten Konten.

Dieses Geld wurde schnell von Europa nach Nigeria verschoben, wobei es den böswilligen Akteuren gelang, den unmittelbaren Konsequenzen zu entgehen. Durch das Eingreifen von Interpol und deutschen Behörden wurde das Geld schliesslich zurückerstattet.

40 Organisationen, die im Jahr 2021 von Cosmix Lynx angegriffen werden

Cosmix Lynx ist eine russische kriminelle Gruppe. Allein im Jahr 2021 hat sie 40 BEC-Angriffe gegen Organisationen in 19 Ländern auf der ganzen Welt durchgeführt. Dies mag zwar eine geringere Zahl sein als die unglaublichen 200 Angriffe im Jahr 2020, aber es ist die Menge, die sie gesammelt haben, und ihr Modus Operandi, den Unternehmen kennen sollten.

Cosmix Lynx folgt der Standardmethode für BEC-Angriffe. Es gelingt ihnen, Partner und Kunden grosser Unternehmen zu imitieren, und das mit beträchtlichem Erfolg und Auszahlungen durch ihre Ziele. Die Gruppe hat eine bestimmte Art von Unternehmen im Visier: Unternehmen, die eine Übernahme eines anderen Unternehmens planen. Die Cyberkriminellen können sich dann als CEO des Unternehmens ausgeben und Mitarbeiter per E-Mail auffordern, sich mit Anwälten zu beraten, um die Bezahlung des Kaufs abzuschliessen.

Die Gruppe gibt sich auch als Anwalt aus und fordert das Geld von dem Angestellten an, der aufgefordert wurde, die Überweisung durchzuführen. Die durchschnittliche Auszahlung von Cosmix Lynx liegt bei 1,27 Millionen Dollar, aber es wurden auch schon höhere Summen ausgezahlt.

BEC-Angriff auf gemeinnützige Gruppe One Treasure Island

One Treasure Island ist eine gemeinnützige Gruppe in der San Francisco Bay Area, die Obdachlose und Menschen mit geringem Einkommen in der Stadt unterstützt. Im Jahr 2021 wurde die Gruppe Opfer eines BEC-Angriffs über einen externen Buchhalter. Die Angreifer drangen in das E-Mail-System des Buchhalters ein, fügten sich in bestehende E-Mail-Ketten ein und gaben sich als Geschäftsführer der gemeinnützigen Organisation aus.

Auf diese Weise gelang es den Cyberkriminellen, Mitarbeiter davon zu überzeugen, 650'000 Dollar auf ihre Bankkonten zu überweisen. Nachdem das FBI eingeschaltet wurde, konnten nur 37'000 Dollar wiedergefunden werden.

BEC-Angriff auf die gemeinnützige Lebensmittelbank Philabundance

Philabundance ist eine Hilfeorganisation in Philadelphia, die Anfang 2021 Opfer eines BEC-Angriffs wurde. Während des Baus eines neuen Gebäudes für die Wohltätigkeitsorganisation erhielt einer der Mitarbeiter eine Rechnung von einem vermeintlich legitimen Lieferanten. In Wirklichkeit gaben sich die Kriminellen als eine Baufirma aus, die an dem neuen Gebäude arbeitet, und baten um die Überweisung von 923'533 Dollar auf ihr Konto.

Die Gruppe wurde erst aufmerksam, als die von ihr beauftragte Baufirma die gleiche Zahlung verlangte. Obwohl das FBI an dem Verfahren beteiligt war, wurde das Geld nicht wiedergefunden, und Philabundance musste seine Sicherheitsprozesse und -verfahren verbessern, um zukünftige Vorfälle zu verhindern.

Angriff auf die Stadt Peterborough mit einem Schaden von 2,3 Millionen Dollar 

Ein weiterer bedeutender BEC-Angriff galt der Stadt Peterborough in New Hampshire, der die Stadtverwaltung 2,3 Millionen Dollar kostete.

Die Angreifer gaben sich als Mitarbeiter von Behörden, des örtlichen Schulbezirks und einer Baufirma aus und baten um Geldüberweisungen auf ihre Konten.

Die Regierungsangestellten schickten die Gelder weiter, ohne dass die Finanzabteilung von den Überweisungen erfuhr. Als die Abteilung auf den Vorfall aufmerksam wurde, war es zu spät, die Transaktion rückgängig zu machen, da die Gelder in Kryptowährung umgewandelt worden waren.

Obwohl sich der US-Geheimdienst und die ATOM Group, ein Cybersicherheitsunternehmen, einschalteten, gelang es ihnen nicht, das Geld zurückzubekommen.

Beobachtung der Konstanten bei BEC-Angriffen

Diese Unternehmen wurden alle Opfer der gleichen Art von Angriffen, und es gibt Konstanten, die beobachtet und untersucht werden können, um eine bessere Prävention zu erreichen.

1. Versäumnis, eine sich entwickelnde Bedrohung zu erkennen

Den Unternehmen gelang es nicht, die böswilligen Akteure proaktiv zu identifizieren und zu stoppen, und sie wurden Opfer des Angriffs. BEC-Angriffe werden branchenübergreifend immer häufiger und raffinierter. Unternehmen müssen über aktuelle Bedrohungen informiert sein und die richtigen Sicherheitslösungen einsetzen, um bösartige E-Mails zu stoppen, bevor sie den Posteingang ihrer Mitarbeiter erreichen.

2. Versäumnis der Vorbereitung auf einen Vorfall

Einer der wichtigsten Faktoren dafür, dass ein Unternehmen Opfer von BEC-Angriffen wird, ist die mangelnde Vorbereitung auf solche Vorfälle. Ohne geeignete E-Mail-Sicherheitssysteme, Mitarbeiterschulungen und ein Team, das bei der Erkennung solcher Bedrohungen und der Reaktion darauf hilft, können Cyberkriminelle innerhalb einer angemessenen Zeitspanne unbemerkt agieren.

3. Langfristige Auswirkungen auf die Unternehmen

Ein BEC-Angriff kann potenziell dauerhafte Auswirkungen auf das Unternehmen haben, sowohl auf den Betrieb als auch darauf, wie Kunden, Anbieter und Lieferanten die Interaktion mit dem Unternehmen wahrnehmen.

Best Practices zum Schutz vor BEC-Angriffen (Business Email Compromise)

Es gibt Standardmethoden, um diese Fallstricke zu vermeiden und so die besten Praktiken zum Schutz eines Unternehmens vor BEC-Angriffen zu erreichen. Der Sicherheitsansatz eines Unternehmens sollte sowohl menschliche als auch technische Elemente berücksichtigen. Die Mitarbeiter des Unternehmens müssen die Arten von Cyberangriffen verstehen, mit denen sie wahrscheinlich konfrontiert werden, und fortschrittliche E-Mail-Sicherheitssysteme sind notwendig, um potenzielle Bedrohungen zu erkennen und zu stoppen.

Kontinuierliche Schulungen zum Sicherheitsbewusstsein

Um BEC-Angriffe zu verhindern, müssen alle Mitarbeiter, unabhängig von ihrer Position oder ihren Aufgaben, darin geschult werden, jede Art von bösartigem Akteur, der versucht, Kontakt aufzunehmen, sich auszugeben oder Spoofing zu betreiben, zu erkennen, zu bewerten und entsprechend zu handeln. Dies erfordert auch, dass sich die Mitarbeiter an das Sicherheitsteam wenden, das mit der Bewältigung von Cybersicherheitsvorfällen oder Versuchen, einen solchen zu starten, betraut ist.

Es gibt verschiedene Methoden der Schulung, z. B. persönlich oder über Plattformen, die den Mitarbeitern Anleitungen zu den vom Unternehmen festgelegten Standardverfahren und -prozessen geben.

In Fällen, in denen sich neue Arten von Angriffen in der Branche oder weltweit häufen, sollten die Mitarbeiter sofort auf den neuesten Stand gebracht werden, um zu verhindern, dass sie Teil dieses Trends werden. Diese Methode gilt in beide Richtungen. Wenn Mitarbeiter auf etwas aufmerksam werden, das eine neue Art von Angriffen sein könnte, sollte das zuständige Sicherheitsteam darauf aufmerksam gemacht werden, damit es die notwendigen Präventionsmassnahmen ergreifen kann.

Die Wichtigkeit, die roten Flaggen nicht zu ignorieren

Die Dinge, die Mitarbeiter beachten sollten, wenn sie eine verdächtige E-Mail erhalten oder eine E-Mail, die zwar von einer vertrauenswürdigen Quelle stammt, aber verdächtig erscheint, lassen sich in folgende Punkte zusammenfassen:

• Wenn eine E-Mail den Mitarbeiter zu sofortigem Handeln auffordert oder ein auffällig kurzes Ablaufdatum oder eine kurze Frist für die Erledigung enthält;
• Wenn die Person, die die E-Mail schickt, keinen direkten Kontakt mit dem Mitarbeiter hat oder ihn nicht führt, insbesondere wenn diese Person zur C-Suite gehört;
• Wenn in der E-Mail nach Informationen gefragt wird, die normalerweise nicht weitergegeben werden;
• Wenn es sich bei den Konten, die für eine Überweisung verwendet werden, nicht um die üblichen Konten handelt, die von dem Unternehmen verwendet oder autorisiert werden;
• Wenn die Domäne, der Inhalt, das Format oder die Informationen in der E-Mail nicht mit dem übereinstimmen, was man üblicherweise in einer E-Mail des Absenders sieht;
• Im Zweifelsfall sollte sich der Nutzer mit der richtigen Person oder dem Absender in Verbindung setzen, um die Richtigkeit der Angaben zu überprüfen.

Fortgeschrittene E-Mail Sicherheitslösungen

Auch wenn der menschliche Faktor nach wie vor der Kern von BEC-Angriffen ist, kann die Lücke durch die Unterstützung neuer Plattformen und Technologien geschlossen und die allgemeine Sicherheitslage des Unternehmens verbessert werden. Herkömmliche Methoden zur Bewertung von BEC-Angriffen stellen für Unternehmen keine wirksame Verteidigung mehr dar. Da die böswilligen Akteure ihre Taktiken schnell ändern, ist es nicht möglich, Schritt zu halten und die notwendigen Anpassungen vorzunehmen, um solche Methoden in einem angemessenen Zeitraum wirksam zu machen.

Durch die Implementierung von Technologien, die maschinelle Intelligenz nutzen, können Unternehmen Kompromittierungs- oder Phishing-Versuche erkennen, einschliesslich des Phishings von Anmeldedaten und des Anlockens hochrangiger Ziele für die feindliche Übernahme von Konten. Gleichzeitig erhalten sie einen besseren Überblick über die Bedrohungen und ermöglichen es ihren Mitarbeitern, zu arbeiten, ohne jede einzelne E-Mail durchsehen zu müssen, um herauszufinden, ob die Informationen, die sie lesen, legitim sind oder nicht. Lösungen wie xorlab Active Threat Defense (ATD) können ihre Bedrohungserkennungs-Engine automatisch an das Verhalten jeder Organisation anpassen, um BEC, Ransomware, Phishing und andere aufkommende Cyber-Bedrohungen auf den ersten Blick zu stoppen. Diese Lösungen verstehen das menschliche Kommunikationsverhalten und die Beziehungen, um selbst die raffiniertesten Angriffe aufzudecken.

Wenn Sie erfahren möchten, wie die maschinenintelligente Software von xorlab Ihr Unternehmen vor BEC-Angriffen schützen kann, fordern Sie noch heute eine Demo an.