Business Email Compromise (BEC), auch als Chefmasche bezeichnet, hat sich 2022 für die Betrüger klar ausgezahlt. Laut dem neuesten Internet Crime Report des FBI Internet Crime Complaint Center (IC3) verloren Unternehmen im vergangenen Jahr mehr als 2,7 Milliarden US-Dollar aufgrund dieser Betrügereien. Das sind 300 Millionen US-Dollar mehr als noch 2021.
Die Verluste waren auch fast 80 Mal höher als bei Angriffen durch Ransomware. Tatsächlich zeigt der IC3-Bericht des FBI, dass BEC-Betrug im letzten Jahr erschreckende 27 % aller finanziellen Verluste durch Cyberkriminalität ausmachte. Hinzu kommt, dass die Durchschnittskosten pro Zwischenfall ebenfalls stiegen – von 120.000 US-Dollar (2021) auf 124.000 US-Dollar (2022).
Gleichzeitig gingen 2022 beim FBI IC3 weniger Beschwerden ein (800.944 bzw. 847.376). Die Gesamtverluste stiegen jedoch von 6,9 Milliarden US-Dollar auf mehr als 10,2 Milliarden USD, was im Vorjahresvergleich eine Steigerung von 48 % bedeutet.
Abb. 1: Beschwerden und Verluste im Zusammenhang mit Cyberkriminalität aus den letzten fünf Jahren. (Quelle: FBI IC3: „Internet Crime Report 2022“ (Bericht zu Internetkriminalität 2022))
BEC ist häufiger als je zuvor – und die Verluste nehmen unaufhaltsam zu
BEC war eine der größten Bedrohungen, auf die in diesem Bericht hingewiesen wurde. Im Jahr 2022 erhielt das IC3 21.832 Beschwerden über BEC-Betrug. Im Jahresvergleich hat sich die Zahl der BEC-Beschwerden verdreifacht – von 3 % Zunahme im Jahr 2021 zu einer 9-prozentigen Zunahme 2022. Dieser Trend zeigt, dass BEC-Angriffe häufiger als je zuvor erfolgen.
Ebenso ist auch die Zahl der Opfer im Jahresvergleich um fast 10 % gestiegen. Untersuchungen für den State of the Phish 2023-Bericht von Proofpoint bestätigen diesen Trend. Für diesen Bericht hatten wir 7.500 Endnutzer sowie 1.050 IT-Sicherheitsexperten in 15 Ländern befragt – und 75 % der Umfrageteilnehmer erklärten, dass ihr Unternehmen 2022 mindestens einen BEC-Angriff verzeichnet hat.
Der State of the Phish-Bericht weist außerdem darauf hin, dass es in nicht englischsprachigen Ländern zu mehr BEC-Angriffen in der jeweiligen Landessprache kommt. Die meisten BEC-Angriffe erfolgen jedoch immer noch auf Englisch.
Im Vergleich zu Phishing fallen weniger Opfer auf BEC herein. Gleichzeitig sind die finanziellen·Verluste ungleich höher, da BEC-Betrug äußerst gezielt erfolgt und deshalb bei geringerem Volumen für die Bedrohungsakteure lukrativer ist.
Abb. 2: BEC-Betrug machte 27 % aller finanziellen Verluste durch Cyberkriminalität aus, die im vergangenen Jahr von Unternehmen gemeldet wurden. (Quelle: FBI IC3: „Internet Crime Report 2022“ (Bericht zu Internetkriminalität 2022))
Betrüger gehen raffinierter vor
Typische BEC-Methoden sind beispielsweise kompromittierte Lieferanten-E-Mails, Aufforderungen zum Kauf großer Mengen an Gutscheinkarten, Umleitung von Gehaltszahlungen, Anfragen zu Steuerdaten sowie Immobilienbetrug. Seit einiger Zeit registriert das FBI auch raffiniertere Betrugsversuche, bei denen die Akteure wie folgt vorgehen:
- Sie verleiten die Opfer zur Geldüberweisung direkt an Kryptowährungsplattformen, wo die Gelder schnell weitergeleitet werden können, ohne dass ihr Weg von Bankinstituten verfolgt werden kann.
- Sie greifen auf die Investitionskonten der Opfer statt auf Bankkonten zu.
- Sie fälschen legitime geschäftliche Telefonnummern und fordern die Opfer auf, betrügerische Bankdaten zu bestätigen.
- Sie nutzen Callcenter zum Betrügen von Opfern, d. h. die Akteure geben sich als Technik- und Kunden-Supportvertreter oder Behördenmitarbeiter aus.
Proofpoint blockiert jeden Monat mehr als 3 Millionen BEC-Nachrichten. Die größten Schäden im Zusammenhang mit BEC entstanden unseren Beobachtungen nach durch Betrug mit Lieferantenrechnungen.
Vor Kurzem analysierten wir fast 2.000 Unternehmen und stellten dabei fest, dass etwa 88 % im Februar 2023 in einem Zeitraum von sieben Tagen einen Lieferanten-E-Mail-Angriff verzeichnet hatten. Diese Erkenntnis ist ein weiterer Beleg dafür, dass Lieferanten mittlerweile einen neuen Bedrohungsvektor darstellen. Leider verfügen die meisten Unternehmen nicht über die notwendigen Tools, die ihnen zeigen, welche Lieferanten oder Geschäftspartner imitiert oder kompromittiert sein könnten.
Phishing bei Bedrohungen dominierend
Es muss nur eine einzige Person auf den Phishing-Köder hereinfallen, damit die Cyberkriminellen Zugriff auf die Informationen erhalten, mit denen sie ein Unternehmen unterwandern, Konten kompromittieren oder Gelder abzweigen können. Wenig überraschend ist Phishing für viele Bedrohungsakteure auch weiterhin die Angriffsstrategie der Wahl:
- Im Jahr 2022 hingen 38 % aller Beschwerden an das FBI IC3 mit Phishing zusammen.
- 84 % der von Proofpoint im State of the Phish 2023-Bericht untersuchten Unternehmen hatten mindestens einen erfolgreichen Phishing-Angriff verzeichnet.
Abb. 3: Vergleich der häufigsten Angriffstypen nach Anzahl der Beschwerden an das IC3. (Quelle: FBI IC3: „Internet Crime Report 2022“ (Bericht zu Internetkriminalität 2022))
Die Angreifer haben es auf Menschen abgesehen. Die meisten Menschen verfügen jedoch nicht über das Wissen und die Tools, um sich vor Phishing-Angriffen schützen zu können, die in erster Linie auf Social Engineering setzen.
Unternehmen müssen ihre personenzentrierten Risiken kennen und in die Absicherung den gefährlichsten Bedrohungsvektors investieren: E-Mail. Gleichzeitig sollten sie alle Mitarbeiter in Sicherheitsfragen schulen. Darüber hinaus sollten Unternehmen Bedrohungsdaten zur Verbesserung ihrer Security-Awareness-Programme nutzen. Sehr sinnvoll ist auch, Anwendern eine Schaltfläche zum Melden verdächtiger E-Mails bereitzustellen, mit denen sie sich selbst und ihr Unternehmen schützen können.
Viele Ransomware-Opfer schweigen lieber
Die Zahl der Ransomware-Zwischenfälle ist 2022 um 36 % zurückgegangen und liegt bei 2.385 Beschwerden an das IC3. Die bereinigten Verluste durch diese Zwischenfälle beliefen sich auf 34,3 Millionen US-Dollar, während sie im Jahr 2021 noch bei 49 Millionen US-Dollar lagen.
Auf den ersten Blick erscheint dieser Rückgang positiv. Wahrscheinlich liegt er jedoch daran, dass Ransomware-Opfer bei der Meldung solcher Zwischenfälle bei Strafverfolgungsbehörden zögerlich sind. Der Bericht weist darauf hin, dass es durch dieses Zögern schwierig ist, reale Zahlen zu Ransomware-Opfern zu erhalten.
Interessant ist auch, dass fast zwei Drittel (64 %) der in unserem State of the Phish 2023-Bericht untersuchten Unternehmen 2022 mit Ransomware infiziert wurden. Sorgen bereitet uns zudem, dass mehr als zwei Drittel der betroffenen Unternehmen mehrfach infiziert wurden. Deshalb gehen wir fest davon aus, dass die reale Zahl der Zwischenfälle sowie die damit zusammenhängenden Verluste im vergangenen Jahr deutlich höher lagen als gemeldet.
Cyberkriminelle nutzen verschiedene Techniken, um Opfer mit Ransomware zu infizieren. Laut dem Bericht waren die beiden häufigsten Infektionsvektoren für Ransomware im vergangenen Jahr Phishing-E-Mails und die Ausnutzung des Remote-Desktop-Protokolls (RDP) sowie von Software-Schwachstellen.
Viele Ransomware-Angriffe beginnen mit einer E-Mail. Um sie effektiver abzuwehren, müssen Unternehmen einen Shift-Left-Ansatz implementieren und in E-Mail-Sicherheit investieren, die Bedrohungen schon frühzeitig in der Angriffskette abwehrt. Ebenso wichtig ist auch der Schutz der gesamten Angriffskette in den Phasen vor und nach der Kompromittierung.
Schutz vor E-Mail-Bedrohungen mit einem mehrschichtigen Plattform-Ansatz
Es steht außer Frage, dass Angreifer auch weiterhin Mitarbeiter und menschliche Schwachstellen mit Social Engineering angreifen – und sich dabei immer neue Tricks einfallen lassen. Sie suchen ständig neue Tools sowie Methoden und nutzen verschiedene Bedrohungsvektoren, um ihre Opfer anzugreifen.
Der am häufigsten genutzte Bedrohungsvektor ist aber immer noch E-Mail. Der beste Schutz ist eine mehrschichtige Plattform mit verschiedenen Sicherheitskontrollen, die über das zuverlässige E-Mail-Gateway hinausgehen und E-Mail-Authentifizierung, Sicherheitsschulungen, mSOAR sowie den Austausch von Bedrohungsdaten umfassen.
Unsere Bedrohungsschutz-Plattform kann Ihre Mitarbeiterrisiken minimieren. Proofpoint Aegis bietet Ihnen einen Überblick über riskante Anwender und Lieferanten sowie die Bedrohungen, die Ihr Unternehmen angreifen.
Weitere Informationen zur Abwehr von E-Mail-Bedrohungen finden Sie auf dieser Seite.