BEC-Angreifer: Beuteforderungen verdoppelten sich innerhalb eines Quartals

Waren es im 3. Quartal 2024 durchschnittlich rund 60.000 Euro, so fordern Cyber-Kriminelle per BEC im 4. Quartal 2024 bereits etwa 120.000 Euro

[datensicherheit.de, 10.04.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf den vor Kurzem von der Anti-Phishing Working Group (APWG) vorgelegten Phishing-Report für das vierte Quartal 2024 ein. Demnach hat sich im Vergleich zu den vorangegangenen Monaten die Zahl der ermittelten Phishing-Angriffe noch einmal deutlich erhöht – „auf annähernd eine Million Angriffe pro Quartal“. Erneut gestiegen sei auch der durchschnittliche Geldbetrag, den Cyber-Kriminelle bei einem BEC-Angriff mittlerweile von ihren Opfern für sich reklamieren: „Er hat sich verdoppelt – von umgerechnet rund 60.000 Euro in Q3 auf umgerechnet rund 120.000 Euro in Q4.“

Foto: KnowBe4

Dr. Martin J. Krämer: Menschliche Risiken sollten kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden!

Fast die Hälfte der BEC-Angreifer drängt Opfer zu Erwerb und Weitergabe von Geschenkkarten sowie deren Buchstaben-/Zahlen-Codes

Bei einem Angriff per „Business eMail Compromise“ (BEC) geben sich Cyber-Kriminelle als Mitarbeiter, Lieferanten oder eine andere vertrauenswürdige Partei aus und versuchen dann, über Fake-Business-E-Mails – daher der Name – ihre Opfer dazu zu bewegen, Geld, Informationen oder auch andere „Assets“ an sie weiterzuleiten. „Dabei bringen sie in aller Regel Phishing-, ,Spear Phishing’- und ,Social Engineering’-Taktiken zum Einsatz!“

• Die zentrale Strategie der Angreifer im vierten Quartal 2024 – wie schon im dritten Quartal zuvor – sei es gewesen, ihre Opfer zum Erwerb und zur Weitergabe von Geschenkkarten und deren Buchstaben-/Zahlen-Codes zu überreden. „49 Prozent der BEC-Angreifer gingen nach diesem Schema vor.“ 
• Weitere zwölf Prozent hätten versucht, ihre Opfer zum Erwerb und zur Weiterleitung von „Krypto-Währungen“ zu überreden. „Ein deutlicher Anstieg: In Q3 hatten es nur 2,7 Prozent der Angreifer auf digitale Währungen abgesehen.“ 
• Einen Kreditbetrug hätten vier Prozent der BEC-Angriffe zum Ziel gehabt. „Ein BEC-Kreditbetrug ist eine Art von Vorschussbetrug, bei dem sich ein Betrüger als Kreditgeber ausgibt, um Opfern eine zinsgünstige Finanzierung unterhalb des Marktniveaus anzubieten – allerdings nur nach der Begleichung einer Reihe von ‚Gebühren‘, die im Voraus zu entrichten sind.“ 
• 3,3 Prozent der BEC-Betrugsversuche schließlich hätten eine Erpressung zum Gegenstand gehabt. „Die Angreifer gaben sich hier als Vertreter einer nationalen Strafverfolgungsbehörde aus. In den E-Mail-Nachrichten wurde dann zum Beispiel behauptet, dass das Opfer wegen Kindesmissbrauchs gesucht werde und eine Geldstrafe zu entrichten habe.“ Andernfalls drohe die sofortige Verhaftung.

Kommunikation der BEC-Angreifer erfolgt über E-Mails – bevorzugt über „Gmail“

Die Kommunikation der BEC-Angreifer erfolge, wie der Name schon sagt, über E-Mails. „Gmail“ sei im vierten Quartal 2024 der bei weitem beliebteste Webmail-Service gewesen, welche Cyber-Kriminelle für ihre BEC-Angriffe nutzten. „81 Prozent der Angriffe wurden hierüber geführt. Weit abgeschlagen, auf Platz 2, landete Microsofts ,Webmail’, über das lediglich zehn Prozent der E-Mail-basierten BEC-Angriffe geführt wurden.“

• Der Phishing-Report zeigt laut Krämer: BEC-Angriffe nehmen quali- wie quantitativ immer weiter zu. Zunehmend fänden beim BEC Strategien und Taktiken Anwendung, wie man sie schon länger von regulären Phishing-, „Spear Phishing“- und „Social Engineering“-Angriffen kenne – mit wachsendem Erfolg.

Unternehmen würden deshalb nicht umhinkommen, hier mehr zu tun. „Sie müssen ihren Mitarbeitern sicherere E-Mail-Lösungen für ihre Business-Kommunikation bereitstellen und Anstrengungen unternehmen, das Bewusstsein für die im Internet lauernden Sicherheitsrisiken innerhalb der gesamten Belegschaft weiter anzuheben.“ Hierzu müssten sie strukturierter, umfassender und kontinuierlicher vorgehen als bisher.

Menschliche Risiken gilt es zu managen, um Mitarbeiter auf BEC-Angriffe vorzubereiten

„Sie werden die ,Human Risks’, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen müssen“. Menschliche Risiken sollten – genau wie die technischen ja auch – kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.

„Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen.“ Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit „Crowdsourcing“, um so selbst neueste Zero-Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – „so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen“. Mit solchen und ähnlichen Lösungen werde es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen wie BEC zu machen und ihre „Human Risks“ erfolgreich zu reduzieren.

Weitere Informationen zum Thema:

APWG, 19.03.2025
PHISHING ACTIVITY TRENDS REPORT 4th Quarter 2024 / Unifying the Global Response To Cybercrime / Activity October-December-September 2024

datensicherheit.de, 02.09.2021
Weltweite Zunahme der BEC-Attacken / Erfolgreicher BEC-Angriff kann für Unternehmen zu Schäden in Millionenhöhe führen

datensicherheit.de, 03.06.2020
BEC: Cyberkriminelle kapern Banküberweisungen / Kriminelle Hacker spähen Firmen gezielt aus und fälschen Identitäten um Überweisungen umzuleiten

datensicherheit.de, 03.12.2019
BEC-Attacken bevorzugt an Werktagen / Barracuda publiziert aktuellen Report „Spear Phishing: Top Threats and Trends“

datensicherheit.de, 25.03.2019
Dreister BEC-Betrug: Schaden von 170.000 US-Dollar / Zwei Verteidigungsunternehmen und eine Universität in den USA betroffen

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe / Unternehmen sind Angriffen nicht schutzlos ausgeliefert