Fälschung bzw. Manipulation geschäftlicher E-Mails (Business Email Compromise, BEC)

Ein E-Mail mit einem bekannten Name in Ihrem Posteingang kommt nicht immer von der Person, von der Sie sie erwarten.

Übersicht

Schwindler-E-Mails verleiten Menschen dazu, Geld – manchmal hunderttausende Dollar in einer einzigen Überweisung – oder vertrauliche Unternehmensdaten bzw. personenbezogene Daten zu senden. Sie stammen scheinbar vom Geschäftsführer oder einer anderen hochrangigen Führungskraft und weisen den Empfänger an, die Details vertraulich zu halten.

Verstehen Sie die Bedrohung

WIE FUNKTIONIERT ES?

Schwindler-E-Mail ist unter verschiedenen Namen bekannt, häufig als Fälschung bzw. Manipulation geschäftlicher E-Mails (BEC) oder Geschäftsführer-Schwindel. Dieser Angriff soll das Opfer überzeugen, dass eine E-Mail von einer Führungskraft wie dem Geschäftsführer oder Direktor der Finanzabteilung gesendet wurde. In ihr wird entweder eine Geldüberweisung des Unternehmens (der häufigste Fall) oder die Weitergabe von personenbezogenen Informationen von Mitarbeitern (wie auf Steuerformularen) angefordert.

Diese Angriffe sind genau abgezielt und beginnen mit ausführlicher Nachforschung, um die richtige Person in einer Organisation zu finden, den Dienstweg zu ermitteln und den besten Zeitpunkt zum Verschicken der E-Mail zu bestimmen – idealerweise, wenn der „Absender“ verreist ist, um die Erfolgschancen zu maximieren. Trotz des erforderlichen Aufwands treten diese Angriffe häufig auf und Tausende von Unternehmen werden jeden Monat durch solche Angriffe bedroht. Das FBI schätzt, dass Schwindler-E-Mails Organisationen im Jahre 2015 mehr als 2 Mrd. US-Dollar kosteten.

Da sich diese Angriffe auf Social Engineering anstelle von Malware stützen, können Schwindler-E-Mails oft Sicherheitslösungen vermeiden, die nur nach schädlichem Inhalt oder verdächtigen Verhaltensweisen suchen.

bec_example-1.jpg

WIE KANN ICH MICH DAVOR SCHÜTZEN?

Viele Sicherheitsvorkehrungen suchen nach schädlichen Dokumenten oder bekannten Blacklist-URLs, um E-Mails als verdächtig zu identifizieren. Angriffe durch Schwindler-E-Mails weisen jedoch nur selten diese offensichtlichen Merkmale auf. Sie verlassen sich auf Social Engineering und überarbeitete, müde oder naive Mitarbeiter, die sich von gefälschten Anfragen nach Geld oder Informationen überrumpeln lassen. Aufmerksame Mitarbeiter sind die letzte Verteidigungslinie gegen Bedrohungen durch Schwindler. Wie bei so vielen Phishing-Methoden und anderen E-Mail-basierten Angriffen, haben Schwindler-E-Mails häufig Merkmale, die Benutzer als Warnhinweise ansehen sollten, falls solch eine Nachricht durch die Schutzmaßnahmen der Organisation gerutscht sein sollte:

  • Führungskräfte fragen nach ungewöhnlichen Informationen: Wie viele Geschäftsführer möchten tatsächlich ein Einkommenssteuerformular oder Steuerinformationen über einzelne Mitarbeiter prüfen? Während die meisten Mitarbeiter rasch auf eine E-Mail vom Geschäftsführer reagieren, lohnt es sich, Ihren gesunden Menschenverstand einzusetzen, um die Sinnhaftigkeit einer solchen E-Mail-Anfrage zu prüfen. Der Direktor der Finanzabteilung würde beispielsweise nach zusammengefassten Lohndaten oder einen bestimmten Bericht fragen, aber eher nicht nach den Daten einzelner Mitarbeiter.
  • Die meisten Organisationen haben Buchhaltungssysteme, über die Rechnungen und Zahlungen abgewickelt werden, unabhängig davon wie dringend diese sein mögen. Wenn diese Kanäle umgangen werden, beispielsweise durch eine E-Mail direkt von einer Führungskraft, die eine sofortige dringende Überweisung anfordert, sollte der Empfänger skeptisch sein.
  • Anfragen, die nicht dem normalen Dienstweg folgen: Die meisten Organisationen haben Buchhaltungssysteme, über die eine dringende Überweisung abgewickelt werden kann; eine andere Methode wäre äußerst verdächtig.
  • Sprachliche Probleme und ungewöhnliche Datumsformate: Einige E-Mail-Köder haben einwandfreie Grammatik und einige Geschäftsführer schreiben E-Mails in gebrochenem Englisch. Die Gegenwart europäischer Datumsformate (Tag Monat Jahr) oder Satzaufbau, der darauf hinweist, dass eine E-Mail von einem Nicht-Muttersprachler verfasst wurde, sind in vielen dieser Angriffen üblich.
  • „Antwortadressen“, die nicht mit der Absenderadresse übereinstimmen: Das ist in E-Mail-Clients oder Webmail-Anwendungen nur sehr selten offensichtlich, aber Schwindler-E-Mails weisen oft manipulierte Absenderadressen auf. Sie können auch Doppelgänger-Domänen verwenden, um Empfänger zu täuschen (beispielsweise yourc0mpany.com anstatt yourcompany.com).

50-50-threat-keyboard.jpg

 

Hier finden Sie einige Tipps, um Organisationen vor diesen immer häufigeren Angriffen zu schützen:

  • Seien Sie skeptisch. Fragen Sie nach Klärungen, leiten Sie eine E-Mail an IT weiter oder fragen Sie einen Kollegen, anstelle Hunderttausende Dollar an ein gefälschtes Unternehmen in China zu schicken.
  • Wenn sich etwas falsch anfühlt, ist es das wahrscheinlich auch. Regen Sie Ihre Mitarbeiter an, sich auf ihre Instinkte zu verlassen und zu fragen „Würde mein Geschäftsführer mich anweisen, dies zu machen?“ oder „Warum legt dieser Lieferant keine Rechnung über unser Portal vor?“.
  • Arbeiten Sie gewissenhaft. Angreifer setzen ihre Kampagnen aus gutem Grund zu den geschäftigsten Tageszeiten an. Wenn ein Personalleiter rasch seine E-Mails durcharbeitet, ist es wahrscheinlicher, dass eine verdächtige Anfrage nicht als solche erkannt wird.

Der wichtigste Punkt ist jedoch, dass robuste E-Mail-, Netzwerk- und Endpunkt-Sicherheitslösungen gemeinsam mit Bildungsinitiativen für die Benutzer eingesetzt werden. 

Verteidigen gegen Imposter E-Mails mit Proofpoint E-Mail-Schutz. E-Mail-Sicherheit zum Schutz vor Bedrohungen wie E-Mails, Phishing, Spam, Bulk-E-Mails und Viren.

Wie Credential Phishing Sich Ändert und wie Sie es Stoppen

Ihre Mitarbeiter sind das Angriffsziel # 1. Sie müssen Sie schützen und Angriffswege und Risiken erkennen, bevor Sie gefährlich werden können.

Mit der zunehmenden Anzahl an sensiblen und vertraulichen Informationen - und einer sich erweiternden Angriffsfläche durch Geräte, Cloud Apps und mobile Standorte -  können Sie es sich nicht mehr leisten, sich auf traditionelle Abwehrmechanismen zu verlassen.

Dieses Whitepaper soll Ihnen dabei helfen zu verstehen, wie Proofpoint Targeted Attack Protection Ihnen helfen kann, Credential Phishing Angriffe zu erkennen, abzuwehren und darauf zu reagieren bevor sie Schaden anrichten können.

Vorsicht vor JavaScript - Bösartige E-Mail-Kampagnen mit .js-Anhängen nehmen explosionsartig zu

Seit dem letzten Monat erkennen Proofpoint Forscher einen neuen Trend in bösartigen E-Mail-Kampagnen: angehängte JavaScript-Dateien.