Kennen Sie BEC oder BEC-Betrug?
Author
Maren Keller, Di, 17. Mai. 2022
in IT-Sicherheit

Kennen Sie BEC oder BEC-Betrug?

Business E-Mail Compromise immer beliebter

Eine Betrugsform, die speziell an Unternehmen gerichtet ist, nennt sich BEC oder BEC-Betrug. Haben Sie die Begriffe schon einmal gehört? 

Bei uns erfahren Sie, wie diese Betrugsform aussieht, was sie so gefährlich macht und wie Betriebe sich schützen können.

BEC: Betrug an Firmen

Eine für Unternehmen besonders gefährliche Betrugsform ist BEC. Dabei handelt es sich um die Abkürzung für Business E-Mail Compromise, zu deutsch Kompromittierung von Geschäfts-E-Mails.

Dabei ist ganz besonders wichtig, dass der Faktor Mensch das schwächste Glied in der IT-Sicherheitskette ist. Denn während stets aktuelle Antivirensoftware der IT-Basisschutz von PC-SPEZIALIST oder ein ausgefeiltes Anti-Ransomware-System die IT Ihres Betriebes zuverlässig schützt, reicht ein unbedarfter Klick auf eine eingegangen E-Mail und schon hat der Angreifer Zugriff auf das Firmennetzwerk.

Ursache dafür, dass der BEC so erfolgreich ist, ist die große Gewinnspanne für Cyberkriminelle. Die rührt daher, dass sie es schaffen, Zielpersonen durch Social Engineering dazu bringen, ihren Anweisungen zu folgen. Angriffe dieser Art waren in den vergangenen Jahren für Betrugsverluste in Milliardenhöhe verantwortlich. Phishing ist das einfachste Beispiel für solche Betrugsversuche und dazu gehört auch der sogenannte CEO-Fraud.

BEC: Hand am Handy, auf dem Display E-Mail-Icon mit Posteingang. Bild: Pexels/Ready Made

Sensibilisieren Sie Ihre Mitarbeiter und schulen Sie sie im Umgang mit eingehenden E-Mails. Bild: Pexels/Ready Made

So schlimm ist BEC

Laut FBI-Report zur Internetkriminalität gab es im Jahr 2021 knapp 20.000 Beschwerden bezüglich eines BEC ein. Damit ist der BEC-Betrug nur die neuntbeliebteste Betrugsart und rangiert weit hinter herkömmlichem Phishing (324.000 Beschwerden), Nichtzahlung/Nichtlieferung (82.000 Beschwerden) und Datenschutzverletzungen (52.000 Beschwerden).

Aber mit diesen knapp 20.000 Angriffen auf die IT von Firmen durch kompromittierende E-Mails ergaunerten die Kriminellen 2,4 Milliarden US-Dollar. Damit belegt BEC bei der Gewinnspanne den ersten Platz vor Anlagebetrug (1,5 Milliarden US-Dollar Gewinn) und Romance Scamming (950 Millionen US-Dollar). Der BEC-Betrug macht damit rund 35 Prozent der Gesamtverluste durch Cyberkriminalität aus.

Doch wie funktionieren die BEC-Angriffe? Und was macht sie so erfolgreich? Und warum scheinen Betriebe dagegen keine Mittel zu finden?

Wie funktioniert der Betrug?

Wie bei jedem Internetbetrug bzw. Scamming werden die Hintermänner immer gewiefter. Konnte man früher beim Phishing noch davor warnen, dass Logos schlecht gefälscht waren oder die betrügerischen E-Mails voller Rechtschreibfehler waren, machen Kriminelle diese „Anfängerfehler“ kaum noch. Und genau das macht die Angriffe auch so gefährlich.

Beim BEC-Betrug wenden sich die Kriminellen gezielt an Firmen. Und dann läuft der Betrug mittels kompromittierender E-Mails an Firmen folgendermaßen ab:

Leitende Angestellte oder der Geschäftsführer selbst schreiben augenscheinlich eine E-Mail an Mitglieder von Finanzabteilungen. In der E-Mail bittet der Chef dann um eine dringende Geldüberweisung. Oder – anderes Szenario – die Mitarbeiter der Finanzabteilung erhalten einen Nachricht von einem Lieferanten, der eine längst fällige Zahlung an eine aktualisierte Bankverbindung verlangt.

Grundsätzlich gilt: Die Kriminellen täuschen Identitäten anderer Personen vor, die in irgendeiner Beziehung zu dem betroffenen Unternehmen stehen. Das können neben Vorgesetzten auch Kollegen sein oder Kunden, Partner, Anwälte, Berater oder ähnliches. Keine dieser E-Mail stammt vom angegebenen Absender. Gemein ist allen, dass sie Druck aufbauen. Die Zahlung soll möglichst sofort angewiesen werden.

BEC: Frau am Laptop, sorgenvoller Blick. Bild: Pexels/Yan Krukov

Ob im Home Office oder im Büro – BEC-Betrug kann jederzeit und an jedem Ort stattfinden. Bild: Pexels/Yan Krukov

Antivirensoftware hilft nicht

Das Problem: Bei Angriffen dieser Art kann keine noch so gute Antivirensoftware vor der Gefahr schützen. Denn bei BEC-Angriffen kommt keine Malware zum Einsatz. Diese Art der Angriffe sind für Unternehmen denkbar schlecht erkennbar, da sich die Angreifer Zugriff zu geschäftlichen E-Mail-Konten verschaffen und die Identität des Inhabers nachahmen.

BEC ist deshalb auch – abgeleitet vom Man-in-the-Middle-Angriff – als Man-in-the-Email-Angriff bekannt. Hierbei glauben zwei Parteien, dass sie direkt miteinander sprechen. In Wahrheit hört/liest entweder ein Angreifer mit oder verändert sogar die Kommunikation.

Es gibt drei Gründe, warum diese Art der Angriffe so erfolgreich sind: Unzureichende Sicherheitsprotokolle, immer ausgefeiltere Angriffstechniken und mangelnde Aufklärung der Mitarbeiter. Zumindest was den ersten Grund angeht, kann PC-SPEZIALIST in Ihrer Nähe Sie unterstützen: Mit dem IT-Basisschutz und dem damit einhergehenden Monitoring Ihrer Software.

Schutz vor BEC-Angriffen

Unternehmen  – gleich welcher Größe – sind ein beliebtes Angriffsziel für Cyberkriminelle. Vor allem, weil die Firmen auf die Angriffe oftmals nicht vorbereitet sind. Wir geben Tipps, wie Sie Ihren Betrieb schützen können!

  • Richten Sie, wo immer es geht die Multi-Faktor-Authentifizierung ein. So verhindern Sie, dass sich Unbefugte bei ihren E-Mail-Konten anmelden können, besonders dann, wenn ein Angreifer versucht, sich von einem neuen Standort aus anzumelden.
  • Wir empfehlen den Einsatz einer E-Mail-Sicherheitslösung, die in der Lage ist Spear-Phishing– und Cyberfraud-Angriffe automatisch zu erkennen und zu stoppen. Wenden Sie sich an Ihren PC-SPEZIALIST vor Ort, wenn Sie hierbei Hilfe benötigen.
  • Führen Sie Sicherheitsschulungen Ihrer Mitarbeiter durch, um sie zu sensibilisieren. Ihre Mitarbeiter sollten in der Lage sein, betrügerische E-Mails zu erkennen und stets skeptisch bleiben, wenn es um eiligen Geldtransfer geht. Fragen Sie im Zweifelsfall lieber einmal mehr beim augenscheinlichen Absender nach, ehe Sie eine Überweisung tätigen. Rufen Sie den Absender an. Ist das E-Mail-Konto gehackt, geht Ihre Anfrage per E-Mail direkt an die Kriminellen.
  • Neben den Sicherheitsschulungen, sollten Sie Ihre Mitarbeiter regelmäßig testen, um das Sicherheitsbewusstsein für Angriffe wie BEC zu erhöhen. Simulierte Angriffe sind mit Abstand die effektivste Form der Schulung.

Haben Sie bereits Erfahrungen mit BEC-Angriffen gemacht? Oder kennen Sie Betriebe, die massiv Geld verloren haben, weil Sie einem Betrug auf den Leim gegangen sind? Hinterlassen Sie Ihre Erfahrungen gern in unseren Kommentaren. Sie helfen dadurch, andere zu schützen.

_______________________________________________

Verwendete Quellen: welivesecurity, IT-daily, proofpoint, nospamproxy, FBI-Report

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.