Beim Business E-Mail Compromise (BEC) setzen Betrüger gut vorbereitete und gefälschte Geschäfts-E-Mails ein, um Personen geschickt zu täuschen. Sie verleiten sie dazu, Transaktionen an nicht autorisierte Konten durchzuführen oder vertrauliche Informationen preiszugeben.
Auch wenn viele Phishing kennen, BEC richtet einen viel größeren Schaden an. Laut FBI-Internet-Crime-Report-Rangliste 2022 verloren die Betroffenen durch Phishing 52 Millionen US-Dollar, bei BEC aber erschreckende 2,7 Milliarden US-Dollar. Der Schaden in einem BEC-Fall ist statistisch über 50 Mal höher als beim Phishing.
Wir erklären, wie ein BEC-Angriff funktioniert, wie Sie einen Angriff erkennen und was Sie dagegen unternehmen können. Zusätzlich zeigen wir Ihnen E-Mail-Beispiele für die populärsten BEC-Angriffstypen.
BEC bezeichnet eine Form von Cyber-Betrug. Dabei täuschen Kriminelle die Identität einer vertrauenswürdigen Person oder eines Unternehmens vor, meistens durch das Hacken oder Fälschen von E-Mail-Konten. Mit manipulierten E-Mails verleiten sie dann die Empfänger dazu, Geld auf falsche Konten zu überweisen oder vertrauliche Informationen preiszugeben. Es handelt sich um eine sehr gezielte und ausgeklügelte Form des Internetbetrugs, die sowohl Unternehmen als auch Einzelpersonen betrifft.
Wie funktioniert ein BEC-Angriff?
Der Mensch ist häufig der Schwachpunkt in einer Sicherheitskette und genau diese Schwäche nutzen Angreifer aus. Betrüger gehen oft dreistufig vor.
- Zuerst spionieren sie Geschäftspartner aus. Sie nutzen dazu Informationen aus öffentlich zugänglichen Quellen, hacken sich in IT-Systeme ein oder rufen einfach bei Firmen an. Oft nutzen die Betrüger Fachjargon, um technisch unerfahrene Opfer in die Irre zu führen und sie betonen die Bedeutung ihrer Tätigkeiten. Ein gehacktes E-Mail-Konto liefert oft viele brauchbare Informationen. Monatelang beobachten sie so ihre Opfer und lernen sie genau kennen.
- Wenn sie genug wissen, schlagen sie zu. Sie greifen in die Kommunikation zwischen Geschäftspartnern ein. Sie geben sich als ein Unternehmen aus, das Geld erwartet, und schicken gefälschte Rechnungen. Diese Mails können direkt aus dem gehackten Konto kommen, von einer ähnlichen E-Mail-Adresse.
- In der dritten Stufe überweist der getäuschte Partner dann Geld auf das Bankkonto der Betrüger oder das Konto der Betrüger bei einer Krypto-Börse. Er bemerkt den Schwindel meist erst, wenn der echte Geschäftspartner nach seinem Geld fragt. Oft ist es dann zu spät und das Geld weg.
Über die folgenden beispielhaften Methoden erlangen die Angreifer die notwendigen Informationen und erhöhen die Glaubwürdigkeit der Täuschung bei einem BEC-Angriff.
Phishing und Spoofing
Ein BEC-Angriff beginnt oft mit Phishing und Spoofing. Stellen Sie sich vor, Sie bekommen eine E-Mail. Sie scheint von Ihrem Chef oder einem vertrauten Geschäftspartner zu kommen. Doch in Wahrheit ist es ein Betrüger, der die E-Mail-Adresse gefälscht hat. Das nennt man Spoofing. Und diese E-Mail enthält oft einen Link oder einen Anhang, der schädlich ist. Wenn Sie darauf klicken, landen Sie auf einer gefälschten Webseite oder laden sich einen Virus herunter. Das ist Phishing. So bekommen die Betrüger Zugang zu Ihrem Computer und können Ihre E-Mails lesen oder sogar in Ihrem Namen verschicken.
Social Engineering
Social Engineering ist ein technischer Begriff für eine alte Betrugsmasche, nur in digitaler Form. Die Betrüger setzen geschickt auf die menschliche Psyche, sie verleiten und verführen. Stellen Sie sich vor, Sie erhalten eine scheinbar dringende E-Mail von Ihrem Chef. Darin spricht er von einer vertraulichen Zahlung an einen neuen Geschäftspartner und bittet um rasche Überweisung. Aus dem Wunsch heraus ihn zu unterstützen, kommen Sie der Bitte nach. Doch hinter der Nachricht verbergen sich Täuschungskünstler, die Sie so überlistet haben, Geld auf ihr Konto zu transferieren. Dies ist das Prinzip des Social Engineerings.
Accountübernahme
Mit der Accountübernahme treiben die Betrüger den BEC-Angriff weiter voran. Sie haben durch das Phishing Zugang zu Ihrem E-Mail-Konto erlangt und sind nun in der Lage, in Ihrem Namen E-Mails zu versenden. Sie können zum Beispiel Ihre Kollegen oder Geschäftspartner kontaktieren und um eine Überweisung bitten oder sensible Daten anfordern. Weil die E-Mail scheinbar von Ihnen kommt, schöpfen die Empfänger keinen Verdacht. Damit gelingt den Betrügern die Übernahme Ihres Kontos und sie können großen Schaden anrichten.
Typische Szenarien von BEC-Angriffen
1. CEO Fraud
Beim CEO Fraud geben sich die Angreifer geschickt als Geschäftsführer aus und verfassen eine E-Mail, die den Anschein erweckt, direkt von ihm zu stammen. In dieser Nachricht wird meist mit Nachdruck eine eilige Zahlung verlangt und dabei auf Diskretion gepocht, um kritische Nachfragen zu unterbinden. Aus dem Wunsch heraus, den Geschäftsführer nicht zu enttäuschen, tätigen viele Mitarbeiter die Überweisung – leider direkt an die Betrüger.
Betreff: Dringender Zahlungsauftrag – Vertraulich!
Hallo [Name],
wir arbeiten gerade an einem vertraulichen Unternehmensübernahme. Dafür müssen wir eine Zahlung i.H.v. 50.000 € an einen Partner leisten.
Bitte überweisen Sie 50.000 € an die folgende Kontoverbindung. Es ist essentiell, die Überweisung bis morgen 11:00 abzusenden.
Bank: Muster Bank
Kontoinhaber: Strategischer Partner
IBAN: DE89 1234 5678 9123 4567 89
BIC: MUBADEFF
Bitte behandeln Sie diese Angelegenheit vertraulich. Ich möchte den Kreis bis zur Bekanntgabe der Unternehmensübernahme klein halten.
Bitte bestätigen Sie mir kurz den Erhalt dieser E-Mail und die Durchführung der Überweisung.
Mit freundlichen Grüßen
Dr. Max Mustermann
Geschäftsführer
mm@xyz.gmbH
2. Rechnungs- und Lieferantenbetrug
Der Betrüger schlüpft hier in die Rolle eines bekannten Lieferanten. Mit einer täuschend echt aussehenden E-Mail teilt er dem Unternehmen mit, dass sich die Bankverbindung geändert hat. Und prompt landet die nächste Zahlung nicht beim echten Lieferanten, sondern auf dem Konto des Betrügers. In der Hektik des Geschäftsalltags merken viele die Änderung gar nicht – bis der echte Lieferant nach seinem Geld fragt.
Betreff: Dringend: Änderung der Bankverbindung für ausstehende Rechnung
Sehr geehrter Herr Müller,
ich hoffe, es geht Ihnen gut. Mein Name ist Max Mustermann und ich bin der CFO der XYZ GmbH. Wir haben kürzlich einige Änderungen in unserer Finanzabteilung vorgenommen und werden zukünftig unsere Transaktionen über eine andere Bank abwickeln. Damit ändert sich auch unsere Bankverbindung.
Ich schreibe Ihnen, um Sie über diese Änderung zu informieren und sicherzustellen, dass die ausstehenden und zukünftigen Zahlungen an unsere neue Bankverbindung erfolgen.
Unsere neue Bankverbindung lautet wie folgt:
Bank: Private Banking Bank
Kontoinhaber: XYZ GmbH
IBAN: DE12345678901234567890
BIC: DEUTDEUTBER
Bitte stellen Sie sicher, dass alle zukünftigen Zahlungen an diese neue Bankverbindung gehen. Ich entschuldige mich für die Unannehmlichkeiten, die diese Änderung verursachen könnte, und bedanke mich für Ihr Verständnis und Ihre Zusammenarbeit.
Für Rückfragen stehe ich Ihnen selbstverständlich zur Verfügung.
Mit freundlichen Grüßen
Max Mustermann
CFO, XYZ GmbH
max.mustermann@xyz.gmbh
3. Betrug mit angeblichen Kontoänderungen
Ein weiteres raffiniertes Szenario betrifft Kontoänderungen. Hierbei täuscht der Betrüger vor, als Mitarbeiter zu agieren und teilt in einer E-Mail mit, dass eine Kontoänderung stattgefunden hat und bittet um eine Überweisung des Gehalts auf ein neues Konto. Dies erscheint auf den ersten Blick durchaus glaubwürdig, denn nicht selten wechseln Menschen ihre Bankverbindung. Versäumt es die Personalabteilung, diese Information kritisch zu prüfen, fließt das Gehalt in die Taschen des Betrügers. Ähnliche Methoden kommen auch bei Reisekosten, Bonuszahlungen und anderen internen Transaktionen zum Einsatz.
Betreff: Änderung meiner Kontoverbindung
Hallo [Name],
aufgrund persönlicher Umstände musste ich meine Bank wechseln und bitte Dich daher, meine Kontoverbindung für die Gehaltszahlungen zu aktualisieren.
Bank: Muster Bank
Kontoinhaber: Max Mustermann
IBAN: DE89 1234 5678 9123 4567 89
BIC: MUBADEFF
Bitte aktualisiere diese Informationen bis zur nächsten Gehaltszahlung. Bitte bestätigen Sie den Empfang dieser E-Mail und die Aktualisierung meiner Kontodetails.
Vielen Dank!
Mit freundlichen Grüßen
Max Mustermann
Developer
m.mustermann@xyz.gmbh
Prävention und Bekämpfung von BEC
So können sich Individuen schützen und BEC vermeiden
- Ruhe bewahren: Seien Sie vorsichtig, wenn E-Mails – besonders von Unbekannten – dringend wirken. Fragen Sie sich: »Warum dieser Stress?«. Klingt der Grund für die Eile seltsam? Dann reagieren Sie nicht sofort. Lassen Sie sich nicht durch hektische Nachrichten zu schnellen Entscheidungen drängen.
- Schauen Sie genau hin: Prüfen Sie Domains/URLs und den Absender. Ist die Domain merkwürdig? Suchen Sie nach Fehlern in den Links und schauen Sie, ob die E-Mail-Adresse bekannt ist. Ist der Schreibstil auffällig oder die Signatur ungewöhnlich oder unvollständig? Werden Sie gesiezt, aber normalerweise geduzt oder andersherum?
- Fragen Sie nach: Glauben Sie nicht blind jeder Anfrage, selbst wenn sie vom »Chef« stammt. Klären Sie direkt und persönlich, ob die Bitte echt ist. Ist der Absender wirklich der, für den er sich ausgibt? Rufen Sie Ihren Chef an, wenn es so dringend ist.
E-Mail-Authentifizierung
Über eine E-Mail-Authentifizierung lässt sich die Herkunft einer E-Mail überprüfen. Es handelt sich hierbei um technische Prozesse, die uns helfen, E-Mails auf ihre Echtheit zu prüfen. Einige der häufigsten Methoden sind SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance).
SPF (Sender Policy Framework)
SPF dient der E-Mail-Authentifizierung. Mit SPF kann Ihre Domain vor Spoofing geschützt werden. Gleichzeitig verhindert das System, dass ausgehende Nachrichten von den empfangenden Servern als Spam markiert werden. In einem SPF-Eintrag werden die Mailserver definiert, die E-Mails für Ihre Domain senden dürfen. Kommt einen E-Mail auf einem empfangenden Mailserver an, die Ihre Domain enthält, wird geprüft, ob sie auch wirklich von einem autorisierten Server gesendet wurde.
Ohne SPF ist die Wahrscheinlichkeit höher, dass von Ihrer Organisation oder Domain gesendete Nachrichten von Eingangsservern als Spam markiert werden.
Jede Domain darf nur einen SPF-Eintrag besitzen. Doch in diesem Eintrag können Sie mehrere Server und andere Anbieter bestimmen, die E-Mails für Ihre Domain senden dürfen. Hier erklären wir, wie ein SPF-Eintrag funktioniert und wie Sie diesen SPF-Eintrag bei united-domains aktivieren.
GPG (GNU Privacy Guard)
GPG, oder GNU Privacy Guard, kann BEC-Angriffe erschweren. GPG ist ein Programm zur Datenverschlüsselung und -signatur, das auf dem Prinzip der Public-Key-Kryptographie basiert und auf OpenPGP basiert. Jeder Nutzer hat einen öffentlichen Schlüssel, den jeder kennen kann, und einen privaten Schlüssel, der streng geheim gehalten wird.Um BEC zu vermeiden, können Absender ihre E-Mails mit ihrem privaten GPG-Schlüssel signieren. Der Empfänger kann dann den öffentlichen Schlüssel des Senders nutzen, um die Signatur zu überprüfen und so sicherzustellen, dass die E-Mail tatsächlich vom behaupteten Sender stammt und dass sie während der Übertragung nicht verändert wurde.
Diese Methode ist besonders effektiv, wenn sie mit den bereits genannten Techniken wie SPF, DKIM und DMARC kombiniert wird, da sie eine zusätzliche Sicherheitsebene bietet.
So können sich Unternehmen gegen BEC-Angriffe schützen
- Erstens ist es entscheidend, dass Unternehmen Mitarbeiter über die Risiken von BEC-Angriffen aufklären und sie auf die Anzeichen eines möglichen Angriffs schulen.
- Zweitens sollten Unternehmen Überprüfungsprozesse für Anfragen um Geldtransfers oder den Austausch vertraulicher Informationen einführen, insbesondere wenn sie angeblich von Führungskräften oder Geschäftspartnern stammen.
- Drittens sind technische Lösungen, wie E-Mail-Authentifizierung, Multi-Faktor-Authentifizierung und regelmäßige Überprüfung von E-Mail-Protokollen, entscheidend, um das Risiko von BEC-Angriffen zu minimieren.
Zusammenfassung
Business E-Mail Compromise (BEC) ist eine unterschätzte Gefahr, bei der Betrüger gefälschte Geschäfts-E-Mails nutzen, um Menschen zu täuschen und sie zu nicht autorisierten Transaktionen oder Informationsfreigaben zu verleiten. Im Jahr 2022 entstand durch BEC ein Schaden von 2,7 Milliarden US-Dollar – über 50 Mal höher als durch Phishing. Ein BEC-Angriff kann über verschiedene Methoden erfolgen, einschließlich Phishing, Social Engineering und Accountübernahme. Zu den häufigsten BEC-Szenarien gehören CEO Fraud, Rechnungs- und Lieferantenbetrug sowie Kontoänderungen. Schutzmaßnahmen umfassen die Schulung von Mitarbeitern, die Einführung von Überprüfungsprozessen und technische Lösungen wie E-Mail-Authentifizierung mit SPF. Es ist entscheidend, dass Unternehmen sich der Risiken bewusst sind und präventive Maßnahmen ergreifen.
