Kompromittierung von Geschäfts-E-Mails

Was ist “Business Email Compromise”?

Business Email Compromise (BEC) ist eine Art von Cyberangriff, der auf Unternehmensmitarbeiter abzielt, die für die Abwicklung von Beschaffungen und/oder Überweisungen innerhalb eines bestimmten Geschäftsbereichs zuständig sind.

Das Ziel dieses Social-Engineering-Betrugs ist es, das Opfer dazu zu bringen, Geld oder andere hochwertige Geschäftsgüter an den Angreifer zu senden.

Nach Angaben des Internet Crime Complaint Center (IC3) des FBI sind BEC-Angriffe eine der profitabelsten Arten von Cyberangriffen, die jedes Jahr im In- und Ausland zu einem Verlust von Milliarden von Dollar führen.

Unternehmen, die mit ausländischen Lieferanten zusammenarbeiten, Unternehmen, die regelmäßig Geld drahtlos überweisen, und Unternehmen, die öffentliche Cloud-E-Mail-Dienste nutzen, sind besonders anfällig für BEC-Angriffe.

Diese Art von Angriffen wird häufig durch eine Phishing-E-Mail initiiert, die den Anschein erweckt, dass es sich um legitime Geschäftskorrespondenz handelt.

Die betrügerische E-Mail könnte beispielsweise eine einfache Adressänderungsanfrage eines legitimen Geschäftspartners enthalten. Wird die Änderungsanfrage jedoch ungeprüft angenommen, sendet das Opfer die nächste finanzielle Zahlung oder den nächsten Einkauf an einen Ort, der unter der Kontrolle des Angreifers steht.

Techopedia erklärt Business Email Compromise

BEC-Angriffe werden häufig durch Spear-Phishing-E-Mails initiiert, die sich an Mitarbeiter mit bestimmten Aufgaben richten. Diese Art von bösartiger E-Mail ist in der Regel gut geschrieben und ähnelt stark der normalen Korrespondenz des Unternehmens, das angegriffen wird. Zu den bekannten BEC-Angriffsvektoren gehören:

  • Änderungsauftragsbetrug – der Angreifer fordert das Opfer auf, die Bankdaten eines legitimen Geschäftspartners mit den vom Angreifer bereitgestellten Routing-Nummern zu “aktualisieren”. Diese Art des Angriffs wird häufig eingesetzt, um legitime Zahlungen auf ein Konto unter der Kontrolle des Angreifers umzuleiten, aber der Auftragsänderungsbetrug kann auch eingesetzt werden, um teure Anschaffungen – wie neue Computer – an einen Ort der Wahl des Angreifers umzuleiten.
  • C-Level-Betrug – der Angreifer gibt sich als einer der C-Level-Führungskräfte des Unternehmens aus und bringt einen Mitarbeiter, der zur Überweisung von Geldern berechtigt ist, dazu, Geld auf ein Konto unter der Kontrolle des Angreifers zu überweisen.
  • Erlaubnisbetrug – der Angreifer zielt auf eine Führungskraft ab, die Zugang zu personenbezogenen Daten der Mitarbeiter hat, und stiehlt die Erlaubnis, zukünftige Angriffe durchzuführen.

Prävention von BEC-Angriffen

Um zu verhindern, dass ein BEC-Angriff erfolgreich ist, empfiehlt das FBI, dass Unternehmen die folgenden Schritte unternehmen:

  • Erzwingen Sie Null-Vertrauen und starke Multi-Faktor-Authentifizierung für alle E-Mail-Konten.
  • Schaffen Sie mehr als einen Kommunikationskanal, um wichtige Transaktionen zu überprüfen.
  • Verlangt von beiden Seiten jeder Transaktion die Verwendung digitaler Signaturen.
  • Verbieten Sie die Nutzung virtueller Konferenzplattformen, die nicht von der Abteilung für Informations- und Kommunikationstechnologie (IKT) des Unternehmens genehmigt wurden.
  • Behandeln Sie ungeplante Überweisungen und Änderungsanträge mit Misstrauen und verlangen Sie von den Mitarbeitern, dass sie die Rechtmäßigkeit solcher Anträge überprüfen, bevor sie ihnen nachkommen.

Verwandte Begriffe

Margaret Rouse

Margaret Rouse ist eine preisgekrönte technische Autorin und Dozentin. Sie ist für ihre Fähigkeit bekannt, komplexe technische Themen simpel und nachvollziehbar zu erklären. In den letzten zwanzig Jahren sind ihre Erklärungen auf TechTarget-Websites erschienen und sie wurde in Artikeln der New York Times, des Time Magazine, USA Today, ZDNet, PC Magazine und Discovery Magazine als Quelle und Expertin zitiert. Wenn Sie einen Vorschlag für eine neue Definition haben oder eine technische Erklärung verbessern möchten, schicken Sie einfach Margaret eine E-Mail oder kontaktieren Sie sie auf LinkedIn oder Twitter.