Direkt zur Definition von Business Email Compromise: Business Email Compromise (BEC) liegt vor, wenn sich ein Hacker Zugang zu einem Firmen-E-Mail-Konto verschafft oder ein legitim aussehendes Konto fälscht und die Identität des Kontoinhabers annimmt, um Betrug gegen das Unternehmen zu begehen. BEC-Angriffe, die auf kommerzielle, staatliche und gemeinnützige Organisationen abzielen, können zu enormen Datenverlusten, Sicherheitsverletzungen und der Gefährdung finanzieller Vermögenswerte führen. Es ist ein weit verbreiteter Irrglaube, dass sich Cyberkriminelle in der Regel auf multinationale Konzerne und Großunternehmen konzentrieren; kleine und mittlere Unternehmen (KMU) sind heutzutage ebenso Ziel von E-Mail-Betrug wie die großen Unternehmen der Branche. Die Übernahme des E-Mail-Kontos des Opfers ist vertrauenswürdig. Ein Angreifer versucht, ein Unternehmen zu betrügen, indem er sich als Person in einer autoritären Position ausgibt, z. B. als CFO oder CEO, als Geschäftspartner oder als jemand anderes, dem die Zielperson stillschweigend vertrauen könnte.
Ein Angreifer richtet häufig ein Konto mit einer E-Mail-Adresse ein, die fast identisch ist mit einer im Unternehmensnetzwerk, wobei er oft Techniken wie Typosquatting (z. B. amaz0n.com statt amazon.com) oder ähnliche Domänen verwendet. BEC wird auch als "Man-in-the-E-Mail-Angriff" bezeichnet. Einfache BEC-Angriffe sind gefährlich, da es recht schwierig ist, sie zu erkennen, da sie scheinbar von der legitimen E-Mail-Adresse eines Unternehmens stammen, was es schwierig macht, eingebettete Links zu fragwürdigen URLs, die von Hackern verwendet werden, zurückzuverfolgen.
Es ist kaum verwunderlich, dass das FBI den Business Email Compromise (BEC) als "26-Milliarden-Dollar-Betrug" eingestuft hat, wenn man bedenkt, dass die durchschnittlichen Kosten für Unternehmen bei 5,01 Millionen Dollar pro Verstoßund die Bedrohung wird immer größer. Business Email Compromise (BEC)-Angriffe zielen auf Mitarbeiter ab, die fiktive oder legitime geschäftliche E-Mail-Adressen verwenden. Über 1,8 Milliarden Dollar wurden im Jahr 2020 von BEC-Betrügern erwirtschaftet, mehr als mit jeder anderen Form der Cyberkriminalität, wobei die USA ein Hauptzentrum für diese Auswirkungen sind. BEC-Angriffe betreffen mehr als 70 % der Unternehmen weltweit und führen jedes Jahr zum Verlust von Milliarden von Dollar.
Wichtigste Erkenntnisse
- Business Email Compromise (BEC) ist ein ausgeklügelter Betrugsangriff auf Unternehmen jeder Größe, der darauf abzielt, durch betrügerische E-Mails, die sich als vertrauenswürdige Unternehmen ausgeben, zu betrügen.
- BEC stützt sich stark auf Social Engineering und nutzt Taktiken wie CEO-Betrug, gefälschte Rechnungen und ähnlich aussehende Domains, um Mitarbeiter zur Überweisung von Geldern oder zur Preisgabe sensibler Daten zu verleiten.
- Die Implementierung und Durchsetzung von DMARC (mit SPF und DKIM) mit der Richtlinie "p=reject" ist von entscheidender Bedeutung, um Domain-Spoofing zu verhindern und nicht autorisierte E-Mails zu blockieren.
- Eine mehrschichtige Verteidigungsstrategie mit Mitarbeiterschulungen, strengen Zahlungsverifizierungsprotokollen, MFA und Wachsamkeit gegen Typosquatting ist unerlässlich.
- Der Einsatz zusätzlicher E-Mail-Sicherheitsprotokolle wie MTA-STS für TLS-Verschlüsselung und BIMI für Markenerkennung kann den Schutz und das Vertrauen weiter erhöhen.
Was ist Business Email Compromise und wie funktioniert es?
Bei einem BEC-Angriff geben sich die Bedrohungsakteure als Mitarbeiter oder zuverlässige Partner aus. Sie überreden das Opfer zu einer bestimmten Handlung, z. B. zur Gewährung des Zugangs zu vertraulichen Informationen oder zur Überweisung von Geld, wobei sie häufig ausgeklügelte Social-Engineering-Angriffe wie Phishing, CEO-Betrug, gefälschte Rechnungen und E-Mail-Spoofing einsetzen. Bedrohungsakteure sind trotz des zunehmenden Wissens über die Kompromittierung von Geschäfts-E-Mails weiterhin erfolgreich. So hat beispielsweise die russische Cyber-Gang Cosmic Lynx zahlreiche raffinierte BEC-Kampagnen mit gut geschriebenen Phishing-E-Mails durchgeführt, die eine Entdeckung erschweren. Darüber hinaus nutzen Cyberkriminelle Trends wie die Telearbeit aus, indem sie betrügerische E-Mails versenden, die sich als beliebte Tools wie Zoom ausgeben, um Anmeldedaten zu stehlen.
Die Häufigkeit dieser Angriffe auf abnormale Verbraucher stieg im ersten und zweiten Halbjahr 2021 um beeindruckende 84 %. Trotzdem stieg die Angriffsrate im zweiten Halbjahr 2021 auf 0,82 pro tausend Postfächer. Bedrohungsakteure gehen bei der Durchführung von BEC-Betrügereien oft in bestimmten Phasen vor:
- Targeting von E-Mail-Listen: Böswillige Akteure sammeln Ziel-E-Mails von LinkedIn, Datenbanken oder Websites.
- Angriff starten: Sie versenden E-Mails mit gefälschten oder ähnlich aussehenden Domänen und gefälschten Absendernamen.
- Social Engineering: Die Angreifer geben sich als vertrauenswürdige Beamte aus, um Geldtransfers oder die Weitergabe von Daten zu erzwingen.
- Finanzielle Gewinne: Die letzte Phase, in der der finanzielle Diebstahl oder die Datenverletzung stattfindet.
Vereinfachen Sie die Sicherheit mit PowerDMARC!
Was sind die wichtigsten Arten von Angriffen auf Unternehmens-E-Mails?
Nach Angaben des FBI gibt es folgende Hauptarten von BEC-Betrug:
Gefälschte Wohltätigkeitsorganisationen
Eine der häufigsten Formen von BEC-Angriffen ist das Versenden von E-Mails von gefälschten Wohltätigkeitsorganisationen, die vorgeben, Geld für einen guten Zweck zu sammeln. Diese E-Mails enthalten oft Anhänge mit bösartiger Software, die Computer mit Viren und anderer Malware infizieren soll.
Probleme beim Reisen
Ein weiterer häufiger BEC-Betrug besteht darin, dass E-Mails von gefälschten Reisebüros verschickt werden, in denen behauptet wird, dass es ein Problem mit Ihrer Flug- oder Hotelbuchung gibt - in der Regel, weil jemand seine Buchung in letzter Minute storniert hat. In der E-Mail werden Sie aufgefordert, Ihre Reisebroschüre zu aktualisieren, indem Sie auf einen in der Nachricht enthaltenen Anhang oder Link klicken. In diesem Fall könnten Sie versehentlich Malware auf Ihrem Computer installieren oder Hackern Zugang zu vertraulichen Daten auf Ihrem Gerät gewähren.
Steuerliche Bedrohungen
Bei diesem Angriff droht eine Regierungsbehörde mit rechtlichen oder behördlichen Maßnahmen, wenn die Opfer nicht zahlen. Diese Betrügereien beinhalten oft gefälschte Rechnungen und Zahlungsaufforderungen, um rechtliche Konsequenzen zu vermeiden.
Rechtsanwalt Impersonation
In diesen E-Mails wird behauptet, dass ein Anwalt Ihre Hilfe in einer rechtlichen Angelegenheit benötigt - entweder wurde er verhaftet oder er versucht, von jemandem geschuldetes Geld einzutreiben. In diesen Fällen bitten die Betrüger Sie um Ihre persönlichen Daten, damit sie Ihnen in der betreffenden Rechtsangelegenheit "helfen" können (z. B. Geld zurückschicken).
Das Schema der Scheinrechnungen
Bei diesem Betrug schickt ein Unternehmen einem anderen Unternehmen eine Rechnung, in der Regel über einen hohen Betrag. In der Rechnung wird behauptet, dass der Empfänger Geld für Dienstleistungen oder Artikel schuldet, die er nicht erhalten hat. Er wird möglicherweise aufgefordert, Geld zu überweisen, um die gefälschte Rechnung zu begleichen.
Datendiebstahl
Bei diesem Betrug werden sensible Daten Ihres Unternehmens gestohlen und an Konkurrenten oder andere interessierte Parteien verkauft. Die Diebe können auch damit drohen, Ihre Daten zu veröffentlichen, wenn Sie nicht auf ihre Forderungen eingehen.
Wie funktionieren BEC-Angriffe?
So funktionieren BEC-Angriffe:
- Gefälschtes E-Mail-Konto oder gefälschte Website - Der Angreifer fälscht eine E-Mail-Adresse oder eine Website, die legitim erscheint, manchmal unter Verwendung von Techniken wie Typosquatting oder ähnlich aussehenden Domänen. Von diesem Konto aus versenden sie eine oder mehrere Phishing-E-Mails, in denen sie nach finanziellen Informationen wie Kontonummern und PINs fragen oder um Überweisungen bitten. Mit E-Mail-Authentifizierungsprotokollen wie DMARC, SPF und DKIM können Sie verhindern, dass Hacker Ihre Domain fälschen.
- Spear-Phishing-E-Mails - Spear-Phishing-E-Mails sind sehr gezielte E-Mails, die direkt an bestimmte Mitarbeiter gesendet werden, häufig an Mitarbeiter der Finanz- oder Personalabteilung. Sie sind oft als interne Mitteilungen von einer Person innerhalb des Unternehmens (z. B. einer Führungskraft) getarnt und enthalten Betreffzeilen wie "dringende Überweisung" oder "dringende Rechnung", in denen sensible Daten oder sofortiges Handeln gefordert werden.
- Verwendung von Malware - Angreifer können bösartige Software (Malware) auf dem Computer eines Opfers installieren, oft über bösartige Links oder Anhänge in Phishing-E-Mails. Sie verwenden Malware, um Aktivitäten zu verfolgen, Tastatureingaben zu erfassen (Keylogger), Screenshots zu erstellen oder sich dauerhaft Zugang zum System und Netzwerk zu verschaffen.
Wie kann man die Kompromittierung von Geschäfts-E-Mails verhindern?
Ein erfolgreicher BEC-Angriff kann ein Unternehmen viel Geld kosten und erheblichen Schaden anrichten. Sie können diese Angriffe jedoch verhindern, indem Sie ein paar einfache Schritte befolgen, z. B:
1. Schützen Sie Ihre Domäne mit DMARC, SPF und DKIM
E-Mail-Authentifizierungsprotokolle wie Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) sind unerlässlich. Mit SPF können Sie festlegen, welche Mailserver berechtigt sind, E-Mails für Ihre Domäne zu versenden. DKIM fügt den E-Mails eine digitale Signatur hinzu, anhand derer die Empfänger überprüfen können, ob die E-Mail nicht manipuliert wurde.
DMARC stützt sich auf SPF und DKIM. Mit Hilfe des Protokolls kann ein Unternehmen durch Absenderüberprüfung und Domänenabgleich feststellen, welche Quellen E-Mails im Namen seiner Domäne versenden, und erhält einen besseren Einblick in seine E-Mail-Kanäle. Mit DMARC können Domänenbesitzer festlegen, wie Empfänger E-Mails behandeln sollen, die SPF- oder DKIM-Prüfungen nicht bestehen.
Um BEC wirksam zu verhindern, müssen Sie DMARC mit einer Durchsetzungsrichtlinie implementieren. Die Richtlinien sind:
p=none
: Überwacht den E-Mail-Verkehr, ohne die Zustellung zu beeinflussen. Bietet keinen Schutz gegen BEC.p=quarantine
: Sendet verdächtige E-Mails in den Spam- oder Junk-Ordner des Empfängers.p=reject
: Blockiert E-Mails, die die Authentifizierungsprüfung nicht bestehen, vollständig. Dies ist die empfohlene Richtlinie für maximalen BEC-Schutz.
Implementierung von DMARC erfordert die Veröffentlichung korrekt formatierter SPF-, DKIM- und DMARC-Einträge in Ihrem DNS. Ein empfohlener DMARC-Eintrag für die Durchsetzung könnte wie folgt aussehen: v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Diese Richtlinie weist fehlerhafte E-Mails zurück und sendet aggregierte (rua) und forensische (ruf) Berichte an bestimmte Adressen zur Überwachung. Nur eine Ablehnungsrichtlinie minimiert BEC effektiv, indem sie verhindert, dass gefälschte E-Mails die Posteingänge der Empfänger erreichen. Während Anti-Spam-Filter vor eingehendem Phishing schützen, schützt DMARC Ihre Domäne davor, in ausgehenden E-Mails verwendet zu werden. Phishing und Spoofing Angriffe.
Die regelmäßige Überwachung mittels DMARC-Berichten (aggregiert und forensisch) ist von entscheidender Bedeutung, um den E-Mail-Verkehr zu verfolgen, Authentifizierungsprobleme zu identifizieren und potenzielle Imitationsversuche zu erkennen.
2. Anti-Phishing-Schutz
Verwenden Sie Anti-Phishing-Software und E-Mail-Sicherheits-Gateways, die eingehende E-Mails auf bösartige Links, Anhänge und Anzeichen von Social Engineering überprüfen, um Bedrohungen zu blockieren, bevor sie die Benutzer erreichen.
3. Aufgabentrennung und Zahlungsprotokolle
Stellen Sie sicher, dass kritische Funktionen, insbesondere Finanztransaktionen wie Überweisungen, nicht von einer Person allein ausgeführt werden. Entwickeln Sie strenge Protokolle für die Zahlungsfreigabe, die mehrere Genehmigungen und eine zweite Bestätigung (z. B. telefonisch oder persönlich) für Anträge erfordern, insbesondere für dringende Anträge oder solche, die Änderungen der Zahlungsdaten beinhalten.
4. Kennzeichnung externer E-Mails
Konfigurieren Sie Ihr E-Mail-System so, dass E-Mails, die von außerhalb Ihres Unternehmens stammen, eindeutig gekennzeichnet sind. So können Mitarbeiter potenziell verdächtige Nachrichten, die sich als interne Absender ausgeben, schnell erkennen.
5. Sorgfältige Prüfung von E-Mail-Adressen und Details
Schulen Sie Ihre Mitarbeiter darin, die E-Mail-Adresse des Absenders sorgfältig auf feine Unterschiede, Typosquatting oder ähnliche Domains zu prüfen. Prüfen Sie, ob die "Antwort an"-Adresse mit der "Absender"-Adresse übereinstimmt. Seien Sie vorsichtig bei E-Mails, die Dringlichkeit oder Geheimhaltung verlangen.
6. Informieren Sie Ihre Mitarbeiter
Die beste Verteidigung gegen BEC-Angriffe ist die Aufklärung und Sensibilisierung der Mitarbeiter. Die Mitarbeiter müssen über die Bedrohung durch BEC, die Funktionsweise, gängige Taktiken (z. B. Dringlichkeit, Ausgeben als Autorität) und die möglichen Angriffsziele aufgeklärt werden. Sie sollten die Unternehmensrichtlinien zur E-Mail-Nutzung, zur gemeinsamen Datennutzung und zu Finanztransaktionen kennen, einschließlich der Überprüfungsverfahren. Führen Sie simulierte Phishing-Tests durch, um das Bewusstsein zu schärfen und Personen zu identifizieren, die weitere Schulungen benötigen. Ermutigen Sie Ihre Mitarbeiter, verdächtige E-Mails oder Anfragen sofort zu melden, ohne Repressalien befürchten zu müssen.
7. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)
Implementieren Sie MFA für alle E-Mail-Konten und andere wichtige Systeme. MFA fügt eine zusätzliche Sicherheitsebene hinzu, die über das Passwort hinausgeht und das Risiko einer Kontokompromittierung deutlich verringert, selbst wenn die Anmeldedaten gestohlen werden. Ziehen Sie eine risikobasierte oder standortbasierte MFA für mehr Sicherheit in Betracht.
8. Automatische E-Mail-Weiterleitung verbieten
Deaktivieren Sie die automatische Weiterleitung von E-Mails an externe Adressen in den Einstellungen des E-Mail-Systems Ihres Unternehmens. Hacker können diese Funktion missbrauchen, um die Kommunikation unbemerkt zu überwachen oder sensible Informationen umzuleiten, nachdem sie ein Konto kompromittiert haben.
9. Implementierung von zusätzlichen Sicherheitsprotokollen
Erwägen Sie, die E-Mail-Sicherheit weiter zu verbessern:
- MTA-STS (Mail Transfer Agent Strict Transport Security): Sorgt für die TLS-Verschlüsselung von E-Mails während der Übertragung und schützt so vor Lauschangriffen und Man-in-the-Middle-Angriffen. Verwenden Sie TLS-RPT (TLS Reporting), um Berichte über erfolgreiche und fehlgeschlagene TLS-Verhandlungen zu erhalten.
- BIMI (Markenindikatoren zur Identifizierung von Nachrichten): Fügt Ihr verifiziertes Markenlogo an authentifizierte E-Mails an, erhöht die Markenerinnerung und hilft Empfängern, legitime Nachrichten in unterstützten E-Mail-Clients visuell zu identifizieren. BIMI erfordert die Durchsetzung von DMARC.
- SPF-Datensatz-Verwaltung: Stellen Sie sicher, dass Ihr SPF-Datensatz innerhalb der 10 DNS-Lookup-Grenze bleibt, um Validierungsfehler zu vermeiden. Tools wie SPF Flattening können bei der Verwaltung komplexer Einträge helfen.
10. Betrug melden
Wenn Sie einen BEC-Betrug vermuten oder ihm zum Opfer fallen, melden Sie ihn sofort den zuständigen Behörden (wie dem IC3 des FBI in den USA) und Ihren Finanzinstituten. Die Meldung hilft den Strafverfolgungsbehörden, diese Straftaten zu verfolgen und möglicherweise Gelder zurückzuerhalten.
Schlussfolgerung
Business Email Compromise-Betrügereien umgehen selbst die fortschrittlichsten Sicherheitsmaßnahmen und zielen oft mit einer einzigen, gut gestalteten E-Mail auf wichtige Mitarbeiter wie den CEO oder CFO ab. Letztendlich ist BEC ein wirklich heimtückischer Angriffsvektor, der in der Geschäftswelt nach wie vor weit verbreitet ist. Und das bedeutet, dass Sie sich dessen sehr bewusst sein sollten, unabhängig von der Größe Ihres Unternehmens. Eine Kombination aus technischen Kontrollen wie der Durchsetzung von DMARC, robusten internen Verfahren und kontinuierlicher Mitarbeiterschulung ist notwendig, um eine starke Abwehr aufzubauen.
Verwenden Sie den DMARC-Analysator von PowerDMARC, um sicherzustellen, dass die E-Mails Ihrer Domain zugestellt werden, und um den Versand gefälschter E-Mails zu vermeiden. Wenn Sie Spoofing unterbinden, tun Sie mehr als nur Ihre Marke zu schützen. Sie sichern das Überleben Ihres Unternehmens, indem Sie einen entscheidenden Teil des E-Mail-Authentifizierungsstapels implementieren, der auch SPF, DKIM, BIMI, MTA-STS und TLS-RPT für einen umfassenden Schutz umfassen kann.
- Microsoft Sender Requirements Enforced - Wie man 550 5.7.15 Ablehnungen vermeidet - 30. April 2025
- Wie kann man Spyware vorbeugen? - April 25, 2025
- Wie man SPF, DKIM und DMARC für Customer.io einrichtet - 22. April 2025