Business eMail Compromise: Ausnutzung menschlichen Verhaltens

E-Book von proofpoint beschreibt bedeutende Vorfälle der letzten zwölf Monate

[datensicherheit.de, 03.06.2020] Sogenannte BEC-E-Mails zuverlässig als solche zu entlarven, stellt eine große Herausforderung dar. Ein solcher Angriff per „Business eMail Compromise“ – auch als „Chefmasche“ oder „CEO-Betrug“ bekannt – nutzt menschliches Verhalten aus. proofpoint stellt nun aktuell als E-Book eine Aufstellung der bekanntesten und niederträchtigsten BEC- und EAC-Angriffe („eMail Account Compromise“) der letzten zwölf Monate zur Verfügung.

Abbildung: proofpoint

proofpoint-E-Book „Sie haben BEC! Die 10 größten, gefährlichsten und dreistesten BEC-Betrugsversuche von 2020 und 2019“

Business eMail Compromise: dicht dran am Original

Es ist offensichtlich nicht immer einfach, authentische E-Mails und betrügerische Nachrichten zu unterscheiden: Die Anfrage etwa stammt von der richtigen Person und auch deren Inhalt – etwa eine Banküberweisung vorzunehmen oder Auskunft zu vertraulichen Mitarbeiterdaten zu geben – kann durchaus zum üblichen Tagesgeschäft des jeweiligen Mitarbeiters gehören.
Indem der Absender solcher Anfragen nun seine Identität fälscht, kann es ihm gelingen, den Ansprechpartner damit zu überlisten – ein unter Umständen teurer Irrtum.

Business eMail Compromise nutzt für Menschen typischen Eigenschaften aus

BEC-Angriffe nutzen laut proofpoint „just die für Menschen typischen Eigenschaften aus, die eine funktionierende Gesellschaft sowie reibungslose Abläufe in Unternehmen erst ermöglichen“.
BEC-Betrüger setzten auf menschliche Psychologie und bezögen sich auf reguläre Geschäftsprozesse, um die Adressaten dazu zu verleiten, z.B. Gelder zu überweisen, Überweisungen und Zahlungen umzuleiten oder vertrauliche Informationen zu versenden.

Business eMail Compromise eng verwandt mit eMail Account Compromise

Die Kompromittierung von E-Mail-Konten (EAC) sei eng mit BEC verwandt. Doch anstatt lediglich mithilfe eines Doppelgänger-Kontos eine Person zu imitieren, der ein Anwender vertraut, kaperten EAC-Angreifer das tatsächliche Konto der vertrauenswürdigen Person.
BEC- und EAC-Angriffe ließen sich insbesondere mit veralteten Tools, nur punktuell ansetzenden Lösungen und den in Cloud-Plattformen integrierten Schutzmaßnahmen nur schwer erkennen und verhindern. BEC-E-Mails enthielten weder Malware noch schädliche URLs, welche mit standardmäßiger Cyber-Abwehr analysiert werden könnten.

Business eMail Compromise: Beute in Milliarden-Höhe

Es überrasche nicht, dass die Opfer von BEC-Betrugsversuchen bereits Milliarden US-Dollar verloren hätten – mit steigender Tendenz. Im aktuellen E-Book stellt proofpoint „einige der größten, gefährlichsten und dreistesten Betrugsversuche der letzten Monate vor“.
Diese Fälle zeigten, dass BEC- und EAC-Betrüger in der Wahl ihrer Ziele nicht wählerisch seien: Sie griffen Organisationen jeder Größe sowie Menschen auf jeder Stufe der Karriereleiter an.

Ein Fallbeispiel: Rijksmuseum Twenthe

Cyber-Kriminelle hätten „große Beute im Sinn“. Daher überrasche es kaum, wenn sie z.B. die mit wertvollen Meisterwerken befassten Kunsthändler und Museen ins Visier nähmen. Irgendwann habe in diesem konkreten Fall ein Betrüger entweder das E-Mail-Konto des Kunsthändlers kapern oder eine überzeugende Doppelgänger-Adresse erstellen können. Der Händler habe jedenfalls das Gemälde „A View of Hampstead Heath: Child’s Hill, Harrow in the Distance“ des englischen Landschaftsmalers John Constable aus dem Jahre 1824 verschickt, doch die Überweisung sei an ein Konto in Hongkong und nicht an jenes des Verkäufers gegangen – der EAC-Betrüger habe in einer früheren E-Mail die Zahlungsdetails „aktualisiert“.
Das Rijksmuseum Twenthe (Nationalmuseum im niederländischen Enschede) habe so 3,1 Millionen US-Dollar verloren. Es habe sodann den Kunsthändler verklagt und behauptet, dieser hätte fahrlässig gehandelt oder nicht eingegriffen, als der Betrüger sein Konto kompromittierte. Der Händler habe im Gegenzug gegen das Museum geklagt und sei der Meinung, dass dort die Bankdaten vor der Überweisung hätten genauer überprüft werden sollen.

Personenorientierte Sicherheitsmaßnahmen gegen Business eMail Compromise

Zum Glück sei es „nie zu spät – oder zu früh – für den Aufbau einer starken Abwehrstrategie gegen BEC/EAC“.
Da sich diese Angriffe gegen menschliche Schwächen und nicht gegen technische Schwachstellen richteten, seien personenorientierte Sicherheitsmaßnahmen erforderlich, welche ein großes Spektrum an BEC- und EAC-Techniken verhindern, erkennen und abwehren könnten.

Weitere Informationen zum Thema:

proofpoint
E-Book / Die größten 10 BEC-Betrugsversuche von 2019 und 2020

proofpoint
E-Book “You’ve Got BEC!A Roundup of the 10 Biggest, Boldest, and Most Brazen Business Email Compromise Scams of 2020 and 2019“

datensicherheit.de, 03.06.2020
BEC: Cyberkriminelle kapern Banküberweisungen

datensicherheit.de, 03.12.2019
BEC-Attacken bevorzugt an Werktagen