Business Email Compromise (BEC) bezieht sich auf die unbefugte Übernahme eines geschäftlichen E-Mail-Kontos durch Cyberkriminelle. Dabei erhalten Angreifer Zugriff auf ein E-Mail-Konto und nutzen es, um betrügerische Aktivitäten durchzuführen, vertrauliche Informationen zu stehlen oder weitere Cyberangriffe zu starten. BEC ist eine weit verbreitete und ernstzunehmende Bedrohung. Dabei gibt es fast immer zwei Opfer – die Person, deren E-Mail-Konto kompromittiert wurde, und die andere Person, die eine betrügerische E-Mail von dem kompromittierten E-Mail-Konto erhält und darauf hereinfällt.
Business Email Compromise (BEC)
WIE FUNKTIONIERT Business Email Compromise (BEC)
BEC-Angriffe erfolgen in der Regel in mehreren Schritten:
Brute-Force-Angriff: Ergehört zu den beliebtesten Methoden zum Knacken von Passwörtern. Hierbei setzt der Angreifer automatisierte Tools ein und probiert so lange alle möglichen Kombinationen von Benutzernamen und Passwörtern aus, bis er die richtige Kombination gefunden hat.
Phishing: Angreifer senden gefälschte E-Mails, die legitim erscheinen, um Empfänger dazu zu bringen, ihre Zugangsdaten preiszugeben. Dies geschieht oft durch Nachahmung von vertrauenswürdigen Institutionen oder Kontakten.
Malware: Durch den Versand von infizierten Anhängen oder Links können Angreifer Schadsoftware auf dem Gerät des Opfers installieren, die Zugangsdaten stiehlt oder direkten Zugriff auf das E-Mail-Konto ermöglicht.
Credential Stuffing: Hierbei nutzen Angreifer Zugangsdaten, die bei anderen Sicherheitsvorfällen kompromittiert wurden, um sich bei verschiedenen Konten des Opfers anzumelden, in der Hoffnung, dass diese die gleichen Passwörter verwenden.
Man-in-the-Middle-Angriffe: Bei dieser Methode fangen Angreifer E-Mail-Kommunikation ab, um Zugangsdaten zu erbeuten oder E-Mail-Inhalte zu manipulieren.
Ganz gleich welche Taktik angewendet wird: Das Ziel besteht darin, dass der Angreifer Ihre Identität annimmt.
Sobald die Angreifer Zugriff auf ein E-Mail-Konto haben, können sie:
- Auf vertrauliche Informationen, z.B. E-Mails, Kalender, wichtige Besprechungen mit Lieferanten oder Kunden oder das Unternehmensverzeichnis zugreifen
- Über das kompromittierte Konto Phishing-E-Mails an weitere Opfer senden
- Finanzielle Transaktionen umleiten oder betrügerische Rechnungen verschicken
- Ein Profil ihres Opfers erstellen
- Kontoberechtigungen ändern
- Weitere Angriffe auf das Netzwerk des betroffenen Unternehmens starten
BEISPIELE
Ein prominentes Beispiel für einen BEC-Angriff ist der Fall des japanischen Konzerns Toyota im Jahr 2019, bei dem Cyberkriminelle durch einen kompromittierten E-Mail-Account betrügerische Überweisungen im Wert von rund 37 Millionen Dollar veranlassten. Ein weiteres Beispiel ist der Angriff auf die Stadt Tampa, Florida, bei dem Angreifer 2020 durch BEC fast 3 Millionen Dollar erbeuteten.
Laut dem neuen Threat Report von ARCTIC WOLF lassen sich 29,7 Prozent aller untersuchten Fälle im Jahr 2021/2022 Business E-Mail Compromise zuordnen. Diese Zahl verdoppelte sich bereits in der ersten Hälfte des Jahres 2023.
MÖGLICHE ANGRIFFS-SZENARIEN
Szenario 1: Lieferketten-Hijacking
Diese Art von Angriff zielt darauf ab, die Interaktionen zwischen einem Unternehmen und seinen Lieferanten, Partnern oder Dienstleistern zu manipulieren. Im Zusammenhang mit E-Mail-Account-Compromise bedeutet Lieferketten-Hijacking, dass Angreifer ein E-Mail-Konto innerhalb der Lieferkette übernehmen, um betrügerische Aktivitäten durchzuführen. Hier wird beispielsweise versucht, die Kontodaten zu verändern, sodass Rechnungszahlungen auf die Konten der Angreifer überwiesen werden. Häufig werden im Mailclient heimlich Regeln angelegt, welche die Kommunikation vor dem eigentlichen Inhaber des Mailkontos verstecken. Sie werden z.B. in unauffällige Unterordner verschoben.
Szenario 2: Umleitung der Gehaltsabrechnung
Ein Mitarbeiter der Personalabteilung erhält eine täuschend echt aussehende E-Mail, die vorgibt, von einem internen IT-Support-Team zu stammen. Die E-Mail fordert den Mitarbeiter auf, einem Link zu folgen und seine Zugangsdaten zur Bestätigung einzugeben. Der Mitarbeiter folgt dem Link und gibt seine Zugangsdaten auf einer gefälschten Login-Seite ein, die von den Angreifern kontrolliert wird. Nach der Übernahme des E-Mail-Kontos loggen sich die Angreifer mit den erbeuteten Zugangsdaten in das E-Mail-Konto des Mitarbeiters ein. Hier erfolgt eine Manipulation der Kommunikation mit dem Ziel die Gehaltsüberweisung an ein Konto der Angreifer umzuleiten.
WIE KÖNNEN sich UNTERNEHMEN DAVOR SCHÜTZEN?
Der Schutz vor Business Email Compromise (BEC) erfordert einen mehrschichtigen Ansatz:
Awareness-Training: Schulungen für Mitarbeiter über die Gefahren von Phishing und Social Engineering sind essenziell. Mitarbeiter sollten in der Lage sein, verdächtige E-Mails zu erkennen und angemessen zu reagieren.
Starke Passwörter und Multi-Faktor-Authentifizierung (MFA): Unternehmen sollten Richtlinien für starke Passwörter durchsetzen und die Nutzung von MFA für alle E-Mail-Konten vorschreiben. Dies erschwert es Angreifern, auch bei erbeuteten Zugangsdaten, auf das Konto zuzugreifen. Erweiterung der MFA Richtlinie um risikobasierte Regeln.
E-Mail-Filter und Anti-Malware-Software: Der Einsatz fortschrittlicher E-Mail-Filter und Anti-Malware-Software kann verdächtige E-Mails und Anhänge erkennen und blockieren, bevor sie die Mitarbeiter erreichen.
Überwachung und Erkennung: Implementierung von Monitoring-Tools, die ungewöhnliche Aktivitäten erkennen, wie z.B. Anmeldeversuche von ungewöhnlichen Standorten oder massenhafter Versand von E-Mails.
Incident Response Plan: Ein klar definierter und regelmäßig getesteter Reaktionsplan für den Fall eines BEC-Angriffs hilft, den Schaden zu minimieren und schnell Gegenmaßnahmen einzuleiten.
FAZIT
Business Email Compromise ist eine ernsthafte Bedrohung für Unternehmen jeder Größe. Durch eine Kombination aus Schulungen, starken Sicherheitsmaßnahmen und effektiver Überwachung können Unternehmen das Risiko eines BEC-Angriffs erheblich reduzieren. Der Einsatz von Multifaktor Authentifizierung ist im Hinblick auf Aufwand und Nutzen vermutlich das effektivste Mittel, auch wenn es nicht das einzige bleiben sollte. Es ist wichtig, stets wachsam zu bleiben und die Sicherheitsstrategien kontinuierlich zu aktualisieren, um neuen Bedrohungen wirksam begegnen zu können.
Konrad Lönnecke
Themen
Informiert bleiben
Erhalten Sie max. einmal im Monat Neuigkeiten zu aktuellen IT-Themen aus den Bereichen IT-Betrieb und Zusammenarbeit in der Cloud.
Feedback
Haben Sie Anregungen zum Blog oder Wünsche für Themen? Dann senden Sie uns Ihr Feedback an
redaktion@intraconnect.de.