Vorsicht vor gefälschten Business-E-Mails
Beispiele für BEC-Angriffe
In jüngster Zeit haben BEC-Attacken immer wieder Schlagzeilen gemacht. Einige Beispiele, die die Dimension des Problems veranschaulichen:
- Eine Hongkonger Niederlassung von Ubiquiti Networks Inc. zahlte über 45 Millionen Dollar an Hacker, die vorgaben, ein Lieferant zu sein.
- Die belgische Bank Crelan verlor etwa 70 Millionen Euro durch betrügerische E-Mails.
- Eine Mitarbeiterin des österreichischen Luftfahrtzulieferers FACC wurde während der Weihnachtstage 2015 angewiesen, 50 Millionen Euro zu überweisen. Die streng vertrauliche Mail stammte allerdings nicht vom Vorstandsvorsitzenden, sondern von Betrügern.
- Internetdiebe haben dem Nürnberger Automobilzulieferer Leonie rund 40 Millionen Euro gestohlen. Die Täter nutzten offenbar gefälschte Dokumente und Identitäten sowie elektronische Kommunikationswege.
Fünf Warnsignale
Da BEC-Angriffe keine Links oder Anhänge enthalten, werden sie von Anti-Malware-Tools nicht aufgehalten. Und aufgrund der Hektik im Arbeitsalltag hinterfragen viele Mitarbeiter nur selten die Echtheit von E-Mails.
Sie sollten jedoch auf folgende Warnsignale achten:
Ungewöhnliche Forderungen von Top-Führungskräften: Wenn zum Beispiel der CEO eine Überweisung verlangt, dann muss man sich fragen: Wie viele CEOs sind für Finanztransaktionen verantwortlich? Gerade weil die meisten Mitarbeiter üblicherweise schnell auf eine E-Mail aus der C-Ebene reagieren, lohnt es sich, kurz innezuhalten und zu überlegen, ob die E-Mail-Aufforderung einen Sinn ergibt.
Kommunikationsverbot: Die gefälschten E-Mails verlangen nicht selten, dass die Anforderung vertraulich bleibt oder dass mit dem Absender nur per E-Mail kommuniziert werden soll. Doch so wollen sie bloss verhindern, dass der Betrug aufgedeckt wird. Legitime E-Mails mit derart sensiblen Aufforderungen bestehen für gewöhnlich nicht aus einer reinen Kommunikation per E-Mail.
Umgehung üblicher Wege: Die meisten Organisationen verfügen über Buchhaltungssysteme, in denen jede Zahlung verarbeitet werden muss, ganz gleich wie dringend das Anliegen ist. Wenn eine leitende Führungskraft diese Kanäle umgehen will, sollte man misstrauisch sein.
Falsche Sprache und Formatierung: Nicht jede Betrugs-E-Mails enthält sprachliche Fehler, und nicht jeder CEO schreibt fehlerfrei. Verdächtig wird es jedoch, wenn es sich um typische Fehler von Nicht-Muttersprachlern handelt. Etwa ortsunübliche Datumsformate (zum Beispiel Monat-Tag-Jahr in einer deutschen E-Mail) oder ein in einer anderen Sprache üblicher Satzbau.
Absenderadressen: Hochstapler-E-Mails erwecken häufig den Eindruck, von jemandem zu stammen, den der Empfänger kennt. Theoretisch könnten die Betrüger auch die echte Adresse ins Reply-to-Feld einsetzen, aber dann würde der Schwindel auffliegen. Sie verwenden daher oft „Typosquatting“ (sogenannte Tippfehlerdomänen) und fast identisch aussehende Namen.