Definition

Business E-Mail Compromise (BEC) ist die Kompromittierung eines Unternehmens durch betrügerische Phishing-E-Mails. Dabei verleiten Spam-E-Mails Mitarbeiter dazu, Geld – manchmal hunderttausende Dollar in einer einzigen Überweisung – oder vertrauliche Unternehmensdaten bzw. personenbezogene Daten preiszugeben. Sie stammen scheinbar vom Geschäftsführer oder einer anderen hochrangigen Führungskraft und weisen den Empfänger an, die Details vertraulich zu halten.

Wie funktioniert eine Business-E-Mail-Compromise-(BEC)-Attack?

BEC soll das Opfer überzeugen, dass eine E-Mail von einer Führungskraft wie dem Geschäftsführer oder Direktor der Finanzabteilung gesendet wurde. Dabei handelt es sich jedoch um eine Täuschung. In der E-Mail wird entweder eine Geldüberweisung des Unternehmens (der häufigste Fall) oder die Weitergabe von personenbezogenen Informationen von Mitarbeitern (wie Informationen in Steuerformularen) angefordert.

Diese Scams sind genau auf ein Unternehmen zugeschnitten und beginnen mit ausführlichen Recherchen, um die richtige Person in einer Organisation zu finden, den Dienstweg zu ermitteln und den besten Zeitpunkt zum Verschicken der E-Mail zu bestimmen – idealerweise, wenn der „Absender“ verreist ist, um die Erfolgschancen zu maximieren. Trotz des erforderlichen Aufwands treten diese Angriffe häufig auf und bedrohen tausende von Unternehmen jeden Monat. Das FBI schätzt, dass Schwindler-E-Mails Organisationen im Jahre 2015 mehr als 2 Mrd. US-Dollar kosteten.

Da sich diese Angriffe auf Social Engineering anstelle von Malware stützen, können Schwindler-E-Mails oft Sicherheitslösungen umgehen, die nur nach schädlichem Inhalt oder verdächtigen Verhaltensweisen suchen.

Screenshot einer E-Mail, in der ein Mitarbeiter aufgefordert wird, schnell eine Überweisung zu tätigen.

Wie kann ich mich vor BEC schützen?

Viele Sicherheitsvorkehrungen suchen nach schädlichen Dokumenten oder bekannten Blacklist-URLs, um E-Mails als verdächtig zu identifizieren. Angriffe durch Schwindler-E-Mails weisen jedoch nur selten diese offensichtlichen Merkmale auf. Sie verlassen sich auf Social Engineering und überarbeitete, müde oder naive Mitarbeiter, die sich von gefälschten Anfragen nach Geld oder Informationen überrumpeln lassen. Aufmerksame Mitarbeiter sind die letzte Verteidigungslinie gegen Bedrohungen durch Schwindler. Wie bei so vielen Phishing-Methoden und anderen E-Mail-basierten Angriffen weisen BEC-E-Mails häufig Merkmale auf, die Benutzer als Warnhinweise ansehen sollten, falls solch eine Nachricht durch die Schutzmaßnahmen der Organisation gerutscht sein sollte:

  • Führungskräfte fragen nach ungewöhnlichen Informationen: Wie viele Geschäftsführer möchten tatsächlich ein Einkommenssteuerformular oder Steuerinformationen über einzelne Mitarbeiter prüfen? Während die meisten Mitarbeiter rasch auf eine E-Mail vom Geschäftsführer reagieren, lohnt es sich, Ihren gesunden Menschenverstand einzusetzen, um die Sinnhaftigkeit einer solchen E-Mail-Anfrage zu prüfen. Der Direktor der Finanzabteilung würde beispielsweise nach zusammengefassten Lohndaten oder einen bestimmten Bericht fragen, aber eher nicht nach den Daten einzelner Mitarbeiter.
  • Anfragen, die nicht dem normalen Dienstweg folgen: Die meisten Organisationen haben Buchhaltungssysteme, über die eine dringende Überweisung abgewickelt werden kann; eine andere Methode wäre äußerst verdächtig. Wenn diese Kanäle umgangen werden, beispielsweise durch eine E-Mail direkt von einer Führungskraft, die eine sofortige dringende Überweisung anfordert, sollte der Empfänger skeptisch sein.
  • Sprachliche Probleme und ungewöhnliche Datumsformate: Einige E-Mail-Köder haben einwandfreie Grammatik und einige Geschäftsführer schreiben E-Mails in gebrochenem Englisch. Die Gegenwart amerikanischer Datumsformate (Monat Tag Jahr) oder ein Satzaufbau, der darauf hinweist, dass eine E-Mail von einem Nicht-Muttersprachler verfasst wurde, sind in vielen dieser Angriffen üblich.
  • „Antwortadressen“, die nicht mit der Absenderadresse übereinstimmen: Das ist in E-Mail-Clients oder Webmail-Anwendungen nur sehr selten offensichtlich, aber Schwindler-E-Mails weisen oft manipulierte Absenderadressen auf. Sie können auch Doppelgänger-Domains verwenden, um Empfänger zu täuschen (beispielsweise yourc0mpany.com anstatt yourcompany.com).

Hände auf einer Tastatur

Hier finden Sie einige Tipps, um Organisationen vor BEC-Angriffen zu schützen:

  • Seien Sie skeptisch. Fragen Sie nach Klärungen, leiten Sie eine E-Mail an die IT weiter oder fragen Sie einen Kollegen, anstelle hunderttausende Dollar an ein gefälschtes Unternehmen in China zu schicken.
  • Wenn sich etwas falsch anfühlt, ist es das wahrscheinlich auch. Regen Sie Ihre Mitarbeiter an, sich auf ihre Instinkte zu verlassen und zu fragen „Würde mein Geschäftsführer mich anweisen, dies zu machen?“ oder „Warum legt dieser Lieferant keine Rechnung über unser Portal vor?“.
  • Arbeiten Sie gewissenhaft. Angreifer setzen ihre Kampagnen aus gutem Grund zu den geschäftigsten Tageszeiten an. Wenn ein Personalleiter rasch seine E-Mails durcharbeitet, ist es wahrscheinlicher, dass eine verdächtige Anfrage nicht als solche erkannt wird.

Der wichtigste Punkt ist jedoch, dass robuste E-Mail-, Netzwerk- und Endpunkt-Sicherheitslösungen gemeinsam mit Weiterbildungsinitiativen für die Benutzer eingesetzt werden.

Vorsicht vor JavaScript - Bösartige E-Mail-Kampagnen mit .js-Anhängen nehmen explosionsartig zu

Seit dem letzten Monat erkennen Proofpoint-Forscher einen neuen Trend in bösartigen E-Mail-Kampagnen: angehängte JavaScript-Dateien.