Was ist E-Mail-Account-Compromise (EAC)?

Sie haben wahrscheinlich schon einmal den Begriff „Business-E-Mail-Compromise (BEC)“ gehört. Aber kennen Sie auch „E-Mail-Account-Compromise (EAC)“, den engen Cousin von BEC? Tatsächlich sind BEC und EAC so eng miteinander verflochten, dass das FBI diese Betrügereien seit 2017 zu einer einzigen Verbrechensart zusammenfasst. In diesem Beitrag schauen wir jedoch einmal genauer hin.

E-Mail-Account-Compromise (EAC) ist ein hoch entwickelter Angriff, bei dem Taktiken wie Passwortspray, Phishing oder Malware eingesetzt werden, um die E-Mail-Konten der Opfer zu kompromittieren und Zugang zu legitimen Postfächern zu erhalten. Der Zweck von EAC ist meistens E-Mail-Betrug: mithilfe des kompromittierten Kontos und Social Engineering täuscht oder bedroht der Angreifer das Opfer, damit er/sie eine finanzielle Zahlung leistet.

Bei EAC gibt es fast immer zwei Opfer – die Person, deren E-Mail-Konto kompromittiert wurde, und die andere Person, die eine betrügerische E-Mail von dem kompromittierten E-Mail-Konto erhält und darauf hereinfällt.

Angreifer können sich auf verschiedenen Wegen Zugang zu einem legitimen Postfach verschaffen:

• Ein Brute-Force-Angriff gehört zu den beliebtesten Methoden zum Knacken von Passwörtern. Hierbei setzt der Angreifer automatisierte Tools ein und probiert so lange alle möglichen Kombinationen von Benutzernamen und Passwörtern aus, bis er die richtige Kombination gefunden hat.
• Eine weitere, weit verbreitete Methode ist Phishing, bei dem Angreifer eine E-Mail mit einem Link zu einer gefälschten Website senden, auf der das Opfer die eigenen Zugangsdaten eingibt, woraufhin sie in die Hände der Angreifer gelangen.
• Manchmal nutzen Angreifer auch Malware wie Keylogger oder Stealer, um in das Konto des Opfers einzubrechen.

Ganz gleich welche Taktik angewendet wird: Das Ziel besteht darin, dass der Angreifer Ihre Identität annimmt.

Sobald Angreifer legitimen Zugriff auf das E-Mail-Konto des Opfers erhalten, haben sie Zugriff auf eine Fundgrube an Informationen – E-Mails, Kalender, wichtige Besprechungen mit Lieferanten oder Kunden, Unternehmensverzeichnis und sogar Dateien in den Dateifreigaben – und können daraus ein Profil ihres Opfers erstellen.

Die Angreifer halten den Zugriff auf das Konto aufrecht, indem sie Regeln für die E-Mail-Weiterleitung erstellen oder Kontoberechtigungen ändern, sodass sie das Opfer genau beobachten und das Unternehmen studieren können. Sie ahmen das Opfer nach, erstellen sehr überzeugende E-Mails und nutzen das gewonnene Wissen, um E-Mails zum richtigen Zeitpunkt zu versenden.

Zu den Angriffszielen von EAC-Angriffen gehören Ihre Mitarbeiter (sowohl persönliche als auch Firmen-E-Mails), Ihre Geschäftspartner und Ihre Kunden. E-Mail-Account-Compromise folgt oft einem der folgenden Schemata:

Szenario I: Ihre Buchhaltungsabteilung wurde kompromittiert

Der Angreifer kompromittiert das E-Mail-Konto eines Mitarbeiters Ihrer Buchhaltungsabteilung. Sobald er Zugang hat, erstellt der Angreifer eine Weiterleitungsregel innerhalb der E-Mail-Plattform und sammelt Kopien aller E-Mails. Dann nutzt er das gewonnene Wissen, wie z. B. den Zahlungsrhythmus und die Interaktion mit Kunden, um identisch aussehende Rechnungen unter Verwendung der richtigen Terminologie und Logos zu erstellen und diese an Ihren Kunden zu senden.

Wenn der Kunde die Rechnung bezahlt, geht das Geld direkt auf das Bankkonto des Betrügers und nicht auf das Ihres Unternehmens. Der Kunde glaubt, dass er Ihr Unternehmen bezahlt, aber in Wirklichkeit bezahlt er unwissentlich den Betrüger. Folglich verliert Ihr Unternehmen nicht nur Geld, sondern bekommt auch ein ernstes Problem mit der Kundenzufriedenheit.

Szenario II: Die Buchhaltungsabteilung Ihres Lieferanten wurde kompromittiert

Der Angreifer kompromittiert das E-Mail-Konto Ihres Lieferanten. Genau wie im obigen Beispiel erfährt der Angreifer von der Interaktion zwischen Ihnen und Ihrem Lieferanten und kennt alle Details. Er erstellt dann identisch aussehende Rechnungen und sendet sie an Ihr Unternehmen. Nur ersetzt der Angreifer dieses Mal die Bankdaten durch das Bankkonto, auf das Sie das Geld überweisen sollen.

Infolgedessen erhält Ihr Lieferant keine Zahlung von Ihrem Unternehmen, und Ihr Unternehmen erleidet einen finanziellen Verlust, weil es Betrüger zu Unrecht bezahlt hat. Dies schadet auch Ihrer Geschäftsbeziehung zum Lieferanten.

In diesem Fall kompromittiert der Angreifer das E-Mail-Konto eines Mitarbeiters und sendet eine E-Mail an die Personalabteilung mit der Bitte, die Kontoinformationen des geschädigten Mitarbeiters zu aktualisieren und durch das Bankkonto des Angreifers zu ersetzen.

In einigen Fällen kompromittiert der Angreifer auch das E-Mail-Konto eines leitenden Angestellten und studiert das Geschäft des Opfers, wie z. B. Fusions- und Akquisitionsaktivitäten (M&A). Der Angreifer sendet dann mit dem E-Mail-Konto der Führungskraft eine E-Mail an die Buchhaltungsabteilung mit der Aufforderung, eine Geldüberweisung durchzuführen, um eine Übernahme abzuschließen, nur dass dabei das Bankkonto durch das Konto des Angreifers ersetzt wurde.

Sowohl BEC als auch EAC nehmen Menschen ins Visier, setzen Social Engineering ein und sind darauf ausgelegt, betrügerische Überweisungen und Zahlungen anzufordern oder Informationen zu stehlen.

Der größte Unterschied zwischen Business-E-Mail-Compromise (BEC) und E-Mail-Account-Compromise (EAC) besteht darin, dass der Angreifer im Falle von BEC vorgibt, Sie zu sein, während Sie im Falle von EAC der Angreifer sind.

Bei BEC verwenden Angreifer oft Identitätsbetrugstaktiken wie Domain-Spoofing, E-Mail-Spoofing und ähnlich aussehende Domains, um Personen dazu zu verleiten, Zahlungen auf betrügerische Konten vorzunehmen.

Bei EAC finden Angreifer eine Möglichkeit, Ihr E-Mail-Konto zu kompromittieren und Ihre Identität anzunehmen. Wenn sie Ihre legitime E-Mail-Adresse verwenden, um E-Mail-Betrug intern oder mit Ihren Geschäftspartnern oder Kunden zu betreiben, umgehen die Angreifer E-Mail-Authentifizierungskontrollen wie SPF, DKIM und DMARC.

Da EAC und BEC so eng miteinander verbunden sind, ist es entscheidend, dass Sie einen ganzheitlichen Ansatz zum Schutz Ihres Unternehmens verfolgen. Mit anderen Worten, wenn Sie sich nur vor EAC schützen, sprechen Sie nur einen Teil des Problems an. Für einen wirksamen Schutz müssen Sie sowohl für BEC als auch für EAC eine Lösung finden.

Angesichts der Komplexität der verschiedenen Taktiken und Kanäle für diese Angriffe benötigen Sie eine umfassende Lösung, die alle Taktiken der Angreifer berücksichtigt. Wenn Sie sich nur auf eine einzige technische Kontrolle oder eine einzige Schulung des Sicherheitsbewusstseins verlassen, bleibt Ihr Unternehmen ungeschützt. Erfahren Sie mehr über Proofpoints umfassenden E-Mail-Schutz.