Experten für Cybersicherheit und das FBI identifizieren sechs Arten von BEC-Angriffen.
 

Gefälschte Rechnungen

Hier gibt der BEC-Angreifer vor, ein Anbieter zu sein, mit dem das Unternehmen zusammenarbeitet, und sendet dem Zielmitarbeiter eine E-Mail mit einer gefälschten Rechnung. Wenn das Unternehmen die Rechnung bezahlt, geht das Geld direkt an den Angreifer. Um diese Angriffe überzeugend zu machen, fangen Angreifer tatsächliche Lieferantenrechnungen ab und modifizieren so so, dass direkte Zahlungen auf die eigenen Bankkonten erfolgen.

Bemerkenswerterweise gibt es Gerichtsurteile (Link befindet sich außerhalb von ibm.com) nach denen Unternehmen, die auf gefälschte Rechnungen hereinfallen, für ihre echten Kollegen verantwortlich sind.

Einer der größten Betrugsfälle mit gefälschten Rechnungen richtete sich gegen Facebook und Google. Von 2013 bis 2015 gab sich ein Betrüger als Quanta Computer aus, ein echter Hardwarehersteller, mit dem beide Unternehmen zusammenarbeiten. Er stahl 98 Millionen US-Dollar von Facebook und 23 Millionen US-Dollar von Google. Der Betrüger wurde zwar gefasst und beide Unternehmen erhielten den größten Teil ihres Geldes zurück, doch ein solches Ergebnis ist bei BEC-Scams selten.
 

CEO Fraud

Bei CEO Fraud geben sich Betrüger als Führungskraft aus, in der Regel als CEO, und bitten einen Mitarbeiter, Geld irgendwohin zu überweisen. Oft erfolgt dies unter dem Vorwand, einen Deal abzuschließen, eine überfällige Rechnung zu begleichen oder auch Geschenkkarten für Kollegen zu kaufen.

Bei dieser Betrugsmasche wird häufig ein Gefühl der Dringlichkeit erzeugt, damit die Zielperson schnell und überstürzt handelt, z. B. „Diese Rechnung ist überfällig. Wir verlieren diesen Service, wenn wir sie nicht sofort begleichen.“. Auch Geheimhaltung wird oft als Mittel eingesetzt, damit die Zielperson keine Mitarbeiter konsultiert, wie „Dieser Deal ist vertraulich. Erzählen Sie also niemandem davon.“.

2016 nutzte ein Betrüger, der sich als CEO des Luft- und Raumfahrtherstellers FACC ausgab, eine gefälschte Firmenübernahme und brachte einen Mitarbeiter dazu 47 Millionen US-Dollar zu überweisen (Link befindet sich außerhalb von ibm.com). Infolge des Betrugs entließ der Unternehmensvorstand sowohl den CFO als auch den CEO, weil sie ihre Pflichten „verletzt“ hatten.
 

Email Account Compromise (EAC) oder die Kompromittierung von E-Mail-Konten

Hierbei übernehmen Betrüger das E-Mail-Konto eines Mitarbeiters ohne Leitungsfunktion. Sie verwenden es, um gefälschte Rechnungen an andere Unternehmen zu senden oder andere Mitarbeiter dazu zu verleiten, vertrauliche Informationen weiterzugeben. EAC dient Betrügern häufig dazu, die Anmeldedaten von Konten auf höherer Ebene abzugreifen, die sie dann für CEO-Betrug nutzen können. 

Nachahmung von Anwälten

Bei dieser Masche geben sich Betrüger als Anwalt aus und bitten ein Opfer, eine Rechnung zu begleichen oder vertrauliche Informationen weiterzugeben. Derartige Betrüger setzen darauf, dass viele Menschen mit Anwälten kooperieren, und dass es nicht verwunderlich ist, wenn ein Anwalt um Vertraulichkeit bittet. 

Mitglieder der russischen BEC-Bande Cosmic Lynx geben sich im Rahmen eines Doppelangriffs mit falscher Identität häufig als Anwälte aus (Link befindet sich außerhalb von ibm.com). Zunächst erhält der CEO des Zielunternehmens eine E-Mail, in der ihm ein „Anwalt“ vorgestellt wird, der das Unternehmen bei einer Akquisition oder einem anderen Geschäftsabschluss unterstützt. Dann sendet der falsche Anwalt dem CEO eine E-Mail mit der Bitte, eine Zahlung für den Abschluss des Geschäfts zu tätigen. Cosmic Lynx-Angriffe stehlen jedem Zielunternehmen durchschnittlich 1,27 Millionen US-Dollar.
 

Datendiebstahl

Viele BEC-Angriffe richten sich an HR- und Finanzmitarbeiter, um personenbezogene Daten (Personally Identifiable Information, PII) und andere sensible Daten zu stehlen, mit denen sie Identitätsdiebstahl begehen oder zukünftige Angriffe ausführen können.

Der IRS warnte (Link befindet sich außerhalb von ibm.com) etwa im Jahr 2017 vor einem BEC-Scam, bei dem Mitarbeiterdaten gestohlen wurden. In diesem Fall gaben sich Betrüger als Geschäftsführer aus und forderten einen Mitarbeiter in der Gehaltsabrechnung auf, Kopien von W2-Anträgen der Mitarbeiter zu senden. Diese Anträge enthalten auch die Sozialversicherungsnummern und andere sensible Informationen von Beschäftigten. Einige der Lohnbuchhalter erhielten Folge-E-Mails mit der Aufforderung, Überweisungen auf ein betrügerisches Konto vorzunehmen. Die Betrüger gingen davon aus, dass Zielpersonen, die die Anfrage für W2-Anträge für glaubwürdig hielten, auch hervorragende Ziele für eine Überweisungsanfrage waren.
 

Warendiebstahl

Anfang 2023 warnte das FBI (Link befindet sich außerhalb von ibm.com) vor einer neuen Art von Angriffen, bei denen sich Betrüger als Firmenkunden ausgeben, um Produkte des Zielunternehmens zu stehlen. Die Betrüger nutzen gefälschte Finanzdaten, geben sich als Mitarbeiter der Einkaufsabteilung eines anderen Unternehmens aus und handeln einen großen Kauf auf Kredit aus. Das Zielunternehmen versendet die Bestellung – in der Regel Baumaterialien oder Computerhardware –, aber die Betrüger zahlen nie.

Technisch gesehen ist BEC eine Art von Spear-Phishing, d. h. ein Phishing-Angriff, dessen Ziel eine bestimmte Person oder Gruppe von Personen ist. Das Besondere an BEC-Angriffen ist, dass es sich bei der Zielperson um einen Angestellten oder Mitarbeiter eines Unternehmens oder einer Organisation handelt und der Betrüger sich als ein anderer Angestellter oder Mitarbeiter ausgibt, den die Zielperson kennt oder dem sie geneigt ist zu vertrauen.

Einige BEC-Angriffe sind das Werk einzelner Betrüger, andere (siehe oben) werden von BEC-Banden gestartet. Diese Banden operieren wie seriöse Unternehmen und beschäftigen Spezialisten wie Spezialisten für die Lead-Generierung, die Zielpersonen suchen, Hacker, die in E-Mail-Konten eindringen, und professionelle Schreiber, die dafür sorgen, dass die Phishing-E-Mails fehlerfrei und überzeugend sind. 

Wenn ein Betrüger bzw. eine Bande ein Unternehmen ausgewählt hat, folgt ein BEC-Angriff in der Regel demselben Muster.
 

Auswahl einer Zielorganisation

Fast jedes Unternehmen, jede gemeinnützige Organisation oder Regierung eignet sich als Ziel für BEC-Angriffe. Große Organisationen mit viel Geld und Kunden – und ausreichend Transaktionen, bei denen BEC-Exploits unbemerkt bleiben können – sind offensichtliche Ziele.

Globale oder lokale Ereignisse können BEC-Angreifern allerdings nochmal spezifischere Gelegenheiten bieten – einige offensichtlicher, andere weniger. Während der Corona-Pandemie warnte das FBI etwa davor, dass BEC-Betrüger sich als Anbieter von medizinischen Geräten und Zubehör ausgaben und Krankenhäuser und Gesundheitseinrichtungen Rechnungen stellten. Am anderen (aber nicht weniger lukrativen) Ende des Spektrums nutzten BEC-Betrüger im Jahr 2021 öffentlichkeitswirksame Bildungs- und Bauprojekte im US-amerikanischen Peterborough, New Hampshire, und leiteten 2,3 Mio. US-Dollar an städtischen Geldern auf betrügerische Bankkonten um (der Link befindet sich außerhalb von ibm.com).
 

Mitarbeiter als Ziele und Absenderidentitäten recherchieren

Als Nächstes beginnen die Betrüger damit, das Zielunternehmen und dessen Aktivitäten zu recherchieren, um die Mitarbeiter zu bestimmen, die die Phishing-E-Mails erhalten sollen, und die Identitäten der Absender zu ermitteln, für die sich die Betrüger dann ausgeben.

BEC-Scams zielen in der Regel auf Angestellte der mittleren Ebene ab, z. B. Leiter der Finanz- oder der Personalabteilung, die befugt sind, Zahlungen zu tätigen oder Zugang zu sensiblen Daten haben, und die außerdem geneigt sind, der Aufforderung eines ihnen Vorgesetzten oder Executives nachzukommen. Einige BEC-Angriffe zielen auch auf neue Mitarbeiter ab, die in puncto Sicherheit nur wenig oder gar nicht geschult sind und nur ein begrenztes Wissen zu ordnungsgemäßen Zahlungs- oder Datenaustauschverfahren und -genehmigungen haben.

Als Absenderidentität wählen Betrüger einen Kollegen oder Partner aus, der glaubhaft die vom Betrüger gewünschte Aktion des Zielmitarbeiters fordern oder beeinflussen kann. Identitäten von Kollegen sind in der Regel hochrangige Manager, C-Level-Manager oder Anwälte innerhalb des Unternehmens. Bei externen Identitäten kann es sich um C-Levels von Lieferanten oder Partnerunternehmen handeln, aber auch um Kollegen des Zielmitarbeiters, z. B. ein Lieferant, mit dem der Zielmitarbeiter regelmäßig zusammenarbeitet, ein Anwalt, der eine Transaktion berät, oder ein Bestands- oder Neukunde.

Zahlreiche Betrüger setzen dieselben Tools zur Lead-Generierung ein, die auch seriöse Marketing- und Vertriebsprofis nutzen – LinkedIn und andere soziale Netzwerke, Quellen zu Wirtschafts- und Branchennachrichten, Software für die Kundengewinnung und Listenerstellung. So ermitteln sie dann potenzielle Mitarbeiterziele und passende Absenderidentitäten.
 

Netzwerke des Ziels und des Absenders hacken

Nicht alle BEC-Angreifer hacken sich in das Netzwerk der Organisation des Ziels bzw. des vermeintlichen Absenders. Diejenigen, die so vorgehen, agieren jedoch wie Malware und beobachten Ziele sowie Absender bereits Wochen vor dem eigentlichen Angriff und sammeln Informationen und Zugriffsrechte. Dies ermöglicht Angreifern mitunter Folgendes:

• Anhand beobachteter Verhaltensweisen und Zugriffsrechten können sie die besten Mitarbeiterziele und Absenderidentitäten auswählen.
   

• Sie erfahren mehr Details darüber, wie Rechnungen eingereicht werden und wie Zahlungen oder Anfragen für sensible Daten gehandhabt werden. So können sie dann derartige Anfragen in ihren Angriffs-E-Mails besser nachahmen.
   

• Sie können Fälligkeitstermine für bestimmte Zahlungen an Verkäufer, Anwälte usw. festlegen.
   

• Sie können echte Lieferantenrechnungen oder Bestellungen abfangen und sie so ändern, dass die Zahlung auf das Bankkonto des Angreifers erfolgt.
   

• Schließlich können sie die Kontrolle über das tatsächliche E-Mail-Konto des Absenders übernehmen (siehe „Email Account Compromise“ oben). Dadurch ist der Betrüger in der Lage, Angriffs-E-Mails direkt von diesem Konto aus zu versenden. Manchmal kann er sich sogar in bestehende E-Mail-Threads schalten, was die Authentizität noch erhöht.
   

Den Angriff vorbereiten und starten

Eine überzeugende Imitation ist der Schlüssel zum Erfolg eines BEC-Angriffs. Betrüger gestalten ihre Angriffs-E-Mails daher auch so, dass sie möglichst authentisch und glaubwürdig sind.

Wenn sie sich nicht in das E-Mail-Konto des Absenders gehackt haben, erstellen die Betrüger ein gefälschtes E-Mail-Konto, das die E-Mail-Adresse des Absenders nachahmt, um echt zu erscheinen. (Sie verwenden z. B. gerne falsche Schreibweisen von Namen oder Domains wie jsmith@company.com oder jane.smith@cornpany.com für jane.smith@company.com.) Auch andere visuelle Hinweise z. B. eine Unterschrift mit dem Firmenlogo oder ein detaillierter (und gefälschter) Disclaimer sind eine übliche Masche.

Ein zentraler Bestandteil der Angriffs-E-Mail ist der Vorwand: eine falsche, aber plausible Geschichte mit dem Ziel, das Vertrauen des Zielmitarbeiters zu gewinnen, ihn zu überzeugen oder unter Druck zu setzen, das zu tun, was der Angreifer will. Die effektivsten Vorwände kombinieren eine plausible Situation mit dem Eindruck von Dringlichkeit und Konsequenzen. Die Nachricht eines Vorgesetzten oder CEO wie „Ich steige gleich ins Flugzeug. Können Sie/kannst du bitte schnell die angehängte Rechnung bearbeiten, damit wir keine Säumnisgebühren zahlen müssen?“ ist ein klassisches Beispiel für einen BEC-Vorwand.

Je nach Anfrage erstellen Betrüger auch gefälschte Websites, registrieren falsche Unternehmen registrieren oder geben gefälschte Telefonnummern an, die Opfer zur Bestätigung anrufen können.

BEC-Scams gehören zu den am schwierigsten zu verhindernden Cyber-Crimes, da sie selten Malware verwenden, die von Sicherheitstools erkannt werden kann. Stattdessen verlassen sich Betrüger auf Täuschung und Manipulation. Dabei müssen die Betrüger nicht einmal in das Zielunternehmen eindringen. Sie können ihre Opfer um enorme Summen bringen, indem sie ins Netzwerk eines Lieferanten oder Kunden eindringen oder sich einfach als dieser ausgeben. Laut dem Cost of a Data Breach Report dauert es durchschnittlich 308 Tage, bis BEC-Angriffe identifiziert und eingedämmt werden können. Das ist die zweitlängste Lösungsdauer aller Arten von Datenschutzverletzungen.

Unternehmen können sich jedoch mit den folgenden Maßnahmen gegen diese Betrugsmaschen wappnen:

• Schulungen zum Thema Cybersicherheit können Mitarbeitern helfen, die Gefahren zu verstehen, die von übermäßigem Teilen von Informationen auf Social-Media-Plattformen und Apps ausgehen über die Betrüger ihre Ziele finden und recherchieren. Schulungen können den Mitarbeitern auch dabei helfen, BEC-Versuche zu erkennen und Best Practices anzuwenden, wie die Überprüfung einer Aufforderung für eine hohe Zahlung, bevor sie dieser nachkommen.

• E-Mail-Sicherheitstools können nicht jede BEC-E-Mail abfangen, insbesondere nicht solche, die von kompromittierten Konten stammen. Sie können jedoch dabei helfen, gefälschte E-Mail-Adressen zu erkennen. Einige Tools können auch verdächtige E-Mail-Inhalte melden, die einen BEC-Versuch signalisieren könnten. 

• Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung kann BEC-Angreifern schwieriger machen, E-Mail-Konten zu hacken. 

• Unternehmenssicherheitstools wie Security Orchestration, Automation and Response (SOAR), Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) können Sicherheitsteams helfen, BEC-Angriffe schneller zu erkennen und zu stoppen. Derartige Tools identifizieren versuchte Angriffe auf Netzwerkschwachstellen und melden Aktivitäten auf Endpunkten, in E-Mail-Konten und anderswo, die auf Hacker hinweisen könnten.