Business E-Mail Compromise 28.01.2017, 08:30 Uhr

Vorsicht vor gefälschten Business-E-Mails

Angriffe mit E-Mails verursachen in Unternehmen Millionenverluste. Wer jetzt seine Mitarbeiter richtig schult, kann ein drohendes BEC-Fiasko abwenden.
(Quelle: Rawpixel.com / Shutterstock.com)
Cyberkriminelle suchen ständig nach neuen Möglichkeiten, Unternehmen zu plündern. Zu den lukrativsten Tricks zählen Angriffe, die unter dem Namen Business E-Mail Compromise, kurz BEC, bekannt sind. Hochstapler versuchen dabei, Mitarbeiter durch Social Engineering dazu zu bewegen, Geld oder sensible Daten aus dem Unternehmen zu versenden. Nach Angaben des FBI sind dadurch bereits Verluste in Höhe von 3,1 Milliarden Dollar entstanden, wobei unsere Recherchen vermuten lassen, dass die Angriffe nicht nachlassen werden.

Reinfallen ist teuer

Das Verbrechen beginnt häufig mit einer dringenden Mail von einem gefälschten Konto einer C-Level-Führungskraft. Im Rahmen einer Geheimhaltungsverpflichtung wird verlangt, unverzüglich Gelder auf ein bestimmtes Konto zu überweisen oder vertrauliche Informationen zu übermitteln. Für gewöhnlich wirken diese E-Mails legitim; daher geht der Empfänger häufig darauf ein.
Monika-Schaufler
“„In der Hektik des Alltags hinterfragen die Mit­arbeiter nur selten die Echtheit von E-Mails.“„
Monika Schaufler
Regional Director Central EMEA bei Proofpoint
Im Unterschied zu klassischem Spam enthalten die Mails keine Anhänge oder Links zu infizierten Systemen. Sie werden in extrem geringer Anzahl versandt (ein oder zwei pro Organisation), sodass sie noch schwerer zu erkennen sind.
Unsere Untersuchungen haben ergeben, dass knapp 50 Prozent solcher Mails an den CFO eines Unternehmens gerichtet sind und 25 Prozent in der Mailbox von Personalleitern landen.
Bei 30 Prozent der kriminellen E-Mails werden im Betreff Steuerfragen angegeben, in 21 Prozent wird dringender Handlungsbedarf genannt und in 20 Prozent der Fälle wird eine Geldüberweisung verlangt.

Beispiele für BEC-Angriffe

In jüngster Zeit haben BEC-Attacken immer wieder Schlagzeilen gemacht. Einige Beispiele, die die Dimension des Problems veranschaulichen:
  • Eine Hongkonger Niederlassung von Ubiquiti Networks Inc. zahlte über 45 Millionen Dollar an Hacker, die vorgaben, ein Lieferant zu sein.
  • Die belgische Bank Crelan verlor etwa 70 Millionen Euro durch betrügerische E-Mails.
  • Eine Mitarbeiterin des österreichischen Luftfahrt­zulieferers FACC wurde während der Weihnachtstage 2015 angewiesen, 50 Millionen Euro zu überweisen. Die streng vertrauliche Mail stammte allerdings nicht vom Vorstandsvorsitzenden, sondern von Betrügern.
  • Internetdiebe haben dem Nürnberger Automobilzulieferer Leonie rund 40 Millionen Euro gestohlen. Die Täter nutzten offenbar gefälschte Dokumente und Identitäten sowie elekt­ronische Kommunikationswege.

Fünf Warnsignale

Da BEC-Angriffe keine Links oder Anhänge enthalten, werden sie von Anti-Malware-Tools nicht aufgehalten. Und aufgrund der Hektik im Arbeitsalltag hinterfragen viele Mit­arbeiter nur selten die Echtheit von E-Mails.
Sie sollten jedoch auf folgende Warnsignale achten:
Ungewöhnliche Forderungen von Top-Führungskräften: Wenn zum Beispiel der CEO eine Überweisung verlangt, dann muss man sich fragen: Wie viele CEOs sind für Finanztransaktionen verantwortlich? Gerade weil die meisten Mit­arbeiter üblicherweise schnell auf eine E-Mail aus der C-Ebene reagieren, lohnt es sich, kurz innezuhalten und zu überlegen, ob die E-Mail-Aufforderung einen Sinn ergibt.
Kommunikationsverbot: Die gefälschten E-Mails verlangen nicht selten, dass die Anforderung vertraulich bleibt oder dass mit dem Absender nur per E-Mail kommuniziert werden soll. Doch so wollen sie bloss verhindern, dass der Betrug auf­gedeckt wird. Legitime E-Mails mit derart sensiblen Aufforderungen bestehen für gewöhnlich nicht aus einer reinen Kommunikation per E-Mail.
Umgehung üblicher Wege: Die meisten Organisationen ver­fügen über Buchhaltungssysteme, in denen jede Zahlung verarbeitet werden muss, ganz gleich wie dringend das An­liegen ist. Wenn eine leitende Führungskraft diese Kanäle umgehen will, sollte man misstrauisch sein.
Falsche Sprache und Formatierung: Nicht jede Betrugs-E-Mails enthält sprachliche Fehler, und nicht jeder CEO schreibt fehlerfrei. Verdächtig wird es jedoch, wenn es sich um typische Fehler von Nicht-Muttersprachlern handelt. Etwa ortsunüb­liche Datumsformate (zum Beispiel Monat-Tag-Jahr in einer deutschen E-Mail) oder ein in einer anderen Sprache üb­licher Satzbau.
Absenderadressen: Hochstapler-E-Mails erwecken häufig den Eindruck, von jemandem zu stammen, den der Empfänger kennt. Theoretisch könnten die Betrüger auch die echte Adresse ins Reply-to-Feld einsetzen, aber dann würde der Schwindel auffliegen. Sie verwenden daher oft „Typosquatting“ (sogenannte Tippfehlerdomänen) und fast identisch aussehende Namen.

BEC-Angriffe stoppen

Aus technischer Sicht sollen BEC-Mails gar nicht erst ausgeliefert werden. Diesem Idealziel kommt man mit mehrschichtiger Absicherung am nächsten. Alle E-Mails müssen mit Verfahren wie DMARC (Domain-based Message Authentication, Reporting & Conformance) oder DKIM (DomainKeys Iden­tified Mail) authentisiert werden, zudem sind interne Richt­linien und eine dynamische Inhaltsanalyse notwendig.
Der wirksamste Schutz basiert aber auf dem Verhalten der Mitarbeiter. Organisationen sollten ihre Angestellten für folgende Punkte sensibilisieren:
Misstrauisch sein: Um Klärung bitten, die E-Mail an die IT weiterleiten oder einen Kollegen fragen, auch wenn dies in der Mail untersagt wird.
Aufs Bauchgefühl vertrauen: Das Gefühl, dass etwas nicht stimmt, ist sehr oft berechtigt. Ermuntern Sie die Mitarbeiter, ihren Instinkten zu vertrauen. Sie sollen sich Fragen stellen wie: „Würde mich mein CEO wirklich bitten, das zu tun?“
Sich Zeit lassen: Die Angreifer wählen aus gutem Grund häufig die hektischste Zeit des Tages. Sachbearbeiter müssen sich angewöhnen, auch unter Druck eine Pause einzulegen und zu überlegen, ob eine Aufforderung verdächtig ist.
„Reply to“-Feld prüfen: Zwar ist jeder E-Mail-Client anders, und bei vielen ist es schwierig, das „Reply to“-Feld zu sehen. Ein Klick auf „Antworten“ macht aber die Antwortadresse immer sichtbar. Handelt es sich wirklich um eine korrekte interne Adresse? Bei sensiblen E-Mails lohnt es sich, genau hinzuschauen, da die Fake-Adressen oft zum Verwechseln ähnlich sind.
Vorsicht bei privaten Konten: Angreifer verwenden gelegentlich ein scheinbar privates E-Mail-Konto, damit das Antwortfeld weniger verdächtig erscheint. Zum Beispiel dürften bei [Name des CEO]_persönlich@gmail.com Spamregeln oft nicht ansprechen, und die Adresse wirkt unter Umständen legitim. CIOs sollten Richtlinien erlassen, die die Verwendung von persönlichen Konten untersagen.
Ablauf einhalten: Richten Sie Verfahrenskontrollen für Transaktionen ein, auf die es die Angreifer mittels BEC-Phi­shing abgesehen haben. Führen Sie Finanz- und Beschaffungskontrollen zur Authentifizierung legitimer Aufforderungen ein. Dies kann zum Beispiel eine zweite persönliche oder telefonische Genehmigung durch einen anderen in der Organisation sein.
Wir empfehlen Unternehmen, ihre Mitarbeiter fortlaufend im Hinblick auf BEC-E-Mails zu schulen und fortschrittliche Technologien einzusetzen. Diese gehen über den reinen Malware-Schutz hinaus und bieten Funktionen für Vorbeugung, Aufdeckung und Reak­tion an.




Das könnte Sie auch interessieren