Business Email Compromise oder BEC ist die bedeutend raffiniertere Version des althergebrachten „Nigeria-Scams“. Laut FBI verloren US-Unternehmen im Jahr 2019 durch Business Email Compromise 1,7 Milliarden Dollar. Diese Zahl umfasst jedoch nur die Fälle, die dem FBI gemeldet wurden – die tatsächliche Anzahl ist wahrscheinlich höher. Obwohl ein beträchtlicher Teil der Verluste zurückgeholt werden kann, verlieren 21 Prozent der Opfer alles.

Früher konzentrierten sich die Hacker auf Großkonzerne, jetzt aber haben sie es regelmäßig auf KMUs abgesehen, die sowohl technologisch als auch finanziell weit weniger gut auf Angriffe vorbereitet sind. Große Unternehmen verfügen über ein regelrechtes Waffenarsenal, um auf Business Email Compromise-Bedrohungen zu reagieren und die Schäden zu beheben. KMUs hingegen, insbesondere die kleineren, können sich diesen Luxus nicht leisten.

Bevor wir uns mit den Business Email Compromise-Bedrohungen für KMUs befassen, wollen wir uns einige Beispiele für aufsehenerregende Angriffe auf große Unternehmen ansehen.

Mattels Verlust von 3 Millionen Dollar durch BEC

2015 verlor Mattel 3 Millionen Dollar durch Business Email Compromise, als ein Hacker einen Personalwechsel ausnutzte. Der Hacker, der sich als der neue CEO ausgab, schickte eine E-Mail an einen Finanzchef von Mattel und bat ihn um eine Überweisung an einen Anbieter in China. Mattels wachsendes Geschäft in China ließ den Transfer legitim erscheinen, und da die Bitte vom neuen CEO kam, zögerte der leitende Angestellte nicht bei der Ausführung.

In einem Bericht wurde festgestellt, dass der Hacker vor dem Angriff seine Hausaufgaben gemacht hatte, indem er soziale Medien und andere Quellen durchforstet hatte, um eine Führungskraft zu finden, die befugt war, finanzielle Transaktionen durchzuführen. Zum Glück fand die Überweisung an einem chinesischen Feiertag statt, sodass Mattel Zeit hatte, den Angriff zu melden und zu verhindern, dass die Gelder den Hacker erreichten.

Nikkeas 29 Millionen Dollar-Verlust durch einen Vendor Compromise-Angriff

2019 überwies ein US-Angestellter des japanischen Medienkonzerns Nikkea ganze $ 29 Millionen  an einen Hacker, der sich als Nikkea-Anbieter ausgab. Diese neue Art des Business Email Compromise ist als Vendor Email Compromise bekannt, bei der die E-Mailadresse eines Anbieters gehackt und dann für E-Mails an Kunden und Klienten eingesetzt wird. Verwendet ein Hacker eine geknackte E-Mailadresse, gibt es für das Opfer keinen Grund, misstrauisch auf die Zahlungsaufforderung zu reagieren.

Das Bemerkenswerte an den oben aufgeführten Beispielen ist, dass es sich immer um die Abzweigung großer Geldsummen handelt. Mit anderen Worten, es ist sehr unwahrscheinlich, dass eine der oben genannten Transaktionen lang unentdeckt bleibt. Genau aus diesem Grund hat das FBI eine gute Lösungsrate: durch rasches Melden kann schnell reagiert und der Schaden behoben werden.

Um mit der kurzen Reaktionszeit der Behörden klarzukommen, greifen Hacker kleinere Ziele an – KMUs – und fordern kleinere Geldsummen in Raten. Dadurch wird es wahrscheinlicher, dass die Transaktionen über einen längeren Zeitraum unentdeckt bleiben, was dem Hacker Zeit verschafft, Konten zu bereinigen und zum nächsten Ziel überzugehen.

Nachfolgend finden Sie drei Beispiele für die Arten von Business Email Compromise-Betrug, vor denen KMUs auf der Hut sein sollten.

Überweisungen

Die beliebteste Form des Überweisungsbetrugs wird allgemein als CEO-Betrug  bezeichnet. Hierbei fälscht ein Hacker die E-Mailadresse einer Führungskraft und fordert einen Mitarbeiter auf, eine Überweisung durchzuführen. Der Hacker könnte einen Mitarbeiter bitten, einen Anbieter zu bezahlen, eine Anzahlung auf Immobilien zu leisten oder einen großen Kauf zu tätigen.

Obwohl diese Variante des Überweisungsbetrugs immer noch weit verbreitet ist, werden bei Angriffen auf KMUs in der Regel kleine Geldbeträge verlangt. Dies erhöht die Erfolgschancen eines Hackers aus zwei Gründen: Erstens löst sei keine Alarme aus, die dazu führen könnten, dass das Opfer die Anfrage in Zweifel stellt oder jemanden benachrichtigt. Zweitens kann der Transfer eines kleinen Geldbetrags über einen längeren Zeitraum unbemerkt bleiben.

Überweisungsanfragen von gehackten, internen Konten sind eine wachsende Bedrohung. Hacker erhalten über Phishing-E-Mails Zugang zu Plattformen wie Microsoft 365 und senden den Mitarbeitern dann mit gehackten Konten E-Mails. Ein Beispiel dafür ist ein Angriff auf die katholische Gemeinde St. Ambrose in Brunswick (USA) im Jahr 2019. Ausgehend von einem gehackten Microsoft 365-Konto versendete der Hacker eine E-Mail, in der er sich als Anbieter ausgab – als ein Bauunternehmen – und forderte eine Zahlung für Restaurationsarbeiten. Der Mitarbeiter überwies 1,7 Millionen Dollar an den Hacker, der das Geld schnell auf ein anderes Konto überwies.

Steuerformular-Betrug

Bei Business Email Compromise geht es nicht immer nur um Geld. Hacker sind auch an sensiblen Daten interessiert, mit denen sie spätere Angriffe durchführen können. Das W-2, ein Steuerformular für die Lohnberichterstattung in den USA, ist ein begehrtes Dokument, das eine Vielzahl von persönlichen Informationen enthält, die Hacker verwenden können, um entweder Konten zu erstellen oder eine betrügerische Steuererklärung einzureichen und eine Rückerstattung zu erhalten.

Um an W-2s und andere Steuerformulare zu gelangen, geben sich Hacker als Angestellte aus und senden Spear-Phishing-E-Mails an HR- und Buchhaltungspersonal, in denen sie deren W-2s oder andere Steuerformulare anfordern. Dies ist in der Steuersaison eine besonders erfolgreiche Masche: Die Mitarbeiter der Personal- und Buchhaltungsabteilung sind nicht nur stark beschäftigt und wahrscheinlich abgelenkt, sondern auch daran gewöhnt, eine Fülle von Steuerfragen von den Mitarbeitern zu erhalten, was die Anfrage nicht ungewöhnlich erscheinen lässt.

Betrug durch direkte Einzahlung/Umleitung von Gehaltszahlungen

Die am schnellsten wachsende Form des Business Email Compromise laut FBI, die Umleitung von Gehaltszahlungen oder der direkte Einzahlungsbetrug, beinhaltet die Umleitung von Gehaltsschecks auf Hacker-Konten. In den meisten Fällen schickt ein Hacker, der sich als Mitarbeiter ausgibt, eine E-Mail an die Personalabteilung und bittet darum, seine Kontonummer rechtzeitig für die nächste Gehaltsabrechnung zu ändern.

Der Austausch ist kurz und knackig, auch wenn ab und zu ein wenig Pretexting und vielleicht sogar mehrere E-Mails enthalten sind, die es dem Opfer erleichtern sollen, die Bitte zu erfüllen. In einigen Fällen geben sich die Hacker als hochrangige Mitarbeiter aus, z. B. als Führungskräfte, um Druck auf die Mitarbeiter der Personalabteilung auszuüben. Den Angaben des FBI zufolge wird in den meisten Fällen von Gehaltsumleitungen die Gehaltszahlung des Opfers auf ein Prepaid-Kartenkonto überwiesen.

Verhindern von Business Email Compromise

Im Gegensatz zu Phishing-E-Mails bestehen Spear-Phishing-E-Mails in der Regel nur aus Text – es gibt keine Links, die gescannt werden können, oder andere Hinweise, die ein E-Mail-Filter erkennen kann.

Deshalb sollten die Benutzer darauf geschult werden, die Anzeichen von Spear-Phishing zu erkennen, von Pretexting und Social Engineering bis hin zu Anfragen großer Geldsummen. Wenn ein Benutzer auf eine Spear-Phishing-E-Mail antwortet, müssen Sie ihn sofort erneut schulen, um das Verhalten zu korrigieren.

Hacker führen heutzutage umfangreiche Nachforschungen durch, bevor sie ihre Angriffe starten, und so gelingt es ihnen sogar bei gut geschulten Mitarbeitern, dafür zu sorgen, dass sie nicht Lunte riechen und sogar ungewöhnliche Anfragen für normal halten. Um dieses Problem zu lösen, sollten Sie über Prozesse zur Bestätigung von Anfragen für Finanztransaktionen und Überweisungen verfügen:

  • Führen Sie schriftliche Verfahren für die Verarbeitung von Finanztransaktionen ein, einschließlich Rückrufe oder persönlicher Bestätigung.
  • Wenden Sie sich direkt an den Anbieter, um E-Mail-Anfragen zu finanziellen Transaktionen zu bestätigen.
  • Beschränken Sie die Anzahl der Mitarbeiter, die berechtigt sind, finanzielle Transaktionen durchzuführen.

Wenn Ihre aktuelle Anti-Spear-Phishing-Lösung Bedrohungen durchlässt, sollten Sie auch eine Lösung in Betracht ziehen, die mehr als Spoofing erkennt und nach böswilligem Verhalten sucht, einschließlich dringender und finanzieller Anfragen. DMARC spürt ein Spoofing exakter Domains zwar auf, hat jedoch mit ausgereifteren Spoofing-Techniken zu kämpfen.

Vade Secure for Microsoft 365 nutzt eine Anomalieerkennung zur Identifizierung ungewöhnlicher Muster im E-Mail-Verkehr einer Organisation sowie die Verarbeitung natürlicher Sprache, die den Text der E-Mail analysiert. Gemeinsam erkennen sie Betrugstechniken, wie das Spoofing des Displaynamens oder Cousin-Domains und finden im Text Anzeichen für Spear-Phishing, unter anderem auch Pretexting und Anfragen für Finanztransaktionen. Wenn Spear-Phishing entdeckt wird, löst Vade Secure für Microsoft 365 ein Warnbanner aus, das den Benutzer warnt und ihm Zeit gibt, die E-Mail neu zu bewerten und zu entscheiden, ob er fortfahren soll.