Was bedeutet Business Email Compromise (BEC) – die Kompromittierung von Geschäfts-E-Mails?

Bei einem BEC-Angriff sendet ein Cyberkrimineller (oder eine Gruppe Cyberkrimineller) Mitarbeitern eines Zielunternehmens E-Mails, die den Anschein erwecken, von einem Kollegen, Lieferanten, Partner, Kunden oder einem anderen Kontakt zu stammen. Mit den E-Mails werden Mitarbeiter dazu verleitet, betrügerische Rechnungen zu bezahlen, Überweisungen auf gefälschte Bankkonten zu tätigen oder sensible Informationen wie Kundendaten, geistiges Eigentum oder Angaben zu den Finanzen des Unternehmens preiszugeben.

In seltenen Fällen versuchen BEC-Angreifer auch, Ransomware oder Malware zu verbreiten, indem sie Opfer bitten, einen Anhang zu öffnen oder auf einen schädlichen Link zu klicken. Darüber hinaus recherchieren sie sorgfältig die Mitarbeiter, die sie ins Visier nehmen, und die Identitäten, die sie annehmen, um ihre E-Mails legitim erscheinen zu lassen. Social-Engineering-Techniken wie das Fälschen von E-Mail-Adressen und das Pretexting helfen ihnen dabei, überzeugende E-Mails zu erstellen, die so aussehen und sich so lesen, als wären sie vom vorgetäuschten Absender gesendet worden.

In einigen Fällen hacken sich die Betrüger in das E-Mail-Konto des Absenders ein und kapern es. Dadurch werden die Angriffs-E-Mails noch glaubwürdiger und sind dann mitunter praktisch nicht mehr von den echten E-Mails des Mitarbeiters zu unterscheiden. BEC-Angriffe gehören zu den kostspieligsten Cyberangriffen.

Laut dem Bericht „Cost of a Data Breach 2022” von IBM sind BEC-Scams die zweitteuerste Art von Sicherheitsverletzungen und kosten durchschnittlich 4,89 Millionen US-Dollar. Laut Internet Crime Report des Internet Crime Complaint Center vom FBI kosteten BEC-Scams US-Opfer im Jahr 2022 insgesamt 2,7 Milliarden US-Dollar.

Experten für Cybersicherheit und das FBI identifizieren sechs Arten von BEC-Angriffen.

Hier gibt der BEC-Angreifer vor, ein Anbieter zu sein, mit dem das Unternehmen zusammenarbeitet, und sendet dem Zielmitarbeiter eine E-Mail mit einer gefälschten Rechnung. Wenn das Unternehmen die Rechnung bezahlt, geht das Geld direkt an den Angreifer. Um diese Angriffe überzeugend zu machen, fangen Angreifer tatsächliche Lieferantenrechnungen ab und modifizieren so so, dass direkte Zahlungen auf die eigenen Bankkonten erfolgen.

Bemerkenswerterweise gibt es Gerichtsurteile  nach denen Unternehmen, die auf gefälschte Rechnungen hereinfallen, für ihre echten Kollegen verantwortlich sind.

Einer der größten Betrugsfälle mit gefälschten Rechnungen richtete sich gegen Facebook und Google. Von 2013 bis 2015 erbeutete ein Betrüger, der sich als Quanta Computer ausgab, einem echten Hardwarehersteller, mit dem beide Unternehmen zusammenarbeiten, 98 Millionen US-Dollar von Facebook und 23 Millionen US-Dollar von Google. Der Betrüger wurde zwar gefasst und beide Unternehmen erhielten den größten Teil ihres Geldes zurück, doch ein solches Ergebnis ist bei BEC-Scams selten.

Die Betrüger geben sich als Führungskraft aus, in der Regel als CEO, und bitten einen Mitarbeiter, Geld irgendwohin zu überweisen. Oft erfolgt diese Anfrage unter dem Vorwand, einen Deal abzuschließen, eine überfällige Rechnung zu begleichen oder auch Geschenkkarten für Kollegen zu kaufen.

CEO-Betrugsversuche erzeugen häufig ein Gefühl der Dringlichkeit und drängen das Ziel, schnell und unüberlegt zu handeln, zum Beispiel: „Diese Rechnung ist überfällig, und wir werden den Service verlieren, wenn wir sie nicht sofort bezahlen.“ Eine andere Technik ist es, ein Gefühl der Geheimhaltung zu erzeugen, um zu verhindern, dass das Ziel beispielsweise Kollegen konsultiert. „Dieser Deal ist vertraulich, also erzählen Sie niemandem davon.“

2016 nutzte ein Betrüger, der sich als CEO des Luft- und Raumfahrtherstellers FACC ausgab, eine gefälschte Firmenübernahme und brachte einen Mitarbeiter dazu 47 Millionen US-Dollar zu überweisen. Infolge des Betrugs entließ der Unternehmensvorstand sowohl den CFO als auch den CEO, weil sie ihre Pflichten „verletzt“ hatten.

Betrüger übernehmen das E-Mail-Konto eines nicht leitenden Mitarbeiters und senden dann gefälschte Rechnungen an andere Unternehmen oder bringen andere Mitarbeiter dazu, vertrauliche Informationen preiszugeben. EAC dient Betrügern häufig dazu, die Anmeldedaten von Konten auf höherer Ebene abzugreifen, die sie dann für CEO-Betrug nutzen können.

Bei dieser Masche geben sich Betrüger als Anwalt aus und bitten ein Opfer, eine Rechnung zu begleichen oder vertrauliche Informationen weiterzugeben. Derartige Betrüger setzen darauf, dass viele Menschen mit Anwälten kooperieren, und dass es nicht verwunderlich ist, wenn ein Anwalt um Vertraulichkeit bittet.

Mitglieder der russischen BEC-Bande Cosmic Lynx geben sich im Rahmen eines Doppelangriffs mit falscher Identität häufig als Anwälte aus. Zunächst erhält der CEO des Zielunternehmens eine E-Mail, in der ihm ein „Anwalt“ vorgestellt wird, der das Unternehmen bei einer Akquisition oder einem anderen Geschäftsabschluss unterstützt. Dann sendet der falsche Anwalt dem CEO eine E-Mail mit der Bitte, eine Zahlung für den Abschluss des Geschäfts zu tätigen. Cosmic Lynx-Angriffe stehlen jedem Zielunternehmen durchschnittlich 1,27 Millionen US-Dollar.

Viele BEC-Angriffe richten sich an HR- und Finanzmitarbeiter, um personenbezogene Daten (Personally Identifiable Information, PII) und andere sensible Daten zu stehlen, mit denen Identitätsdiebstahl oder Cyberkriminalität begangen werden soll.

Der IRS warnte etwa im Jahr 2017 vor einem BEC-Scam, bei dem Mitarbeiterdaten gestohlen wurden. In diesem Fall gaben sich Betrüger als Geschäftsführer aus und forderten einen Mitarbeiter in der Gehaltsabrechnung auf, Kopien von W2-Anträgen der Mitarbeiter zu senden. Diese Anträge enthalten auch die Sozialversicherungsnummern und andere sensible Informationen von Beschäftigten. Einige der Lohnbuchhalter erhielten Folge-E-Mails mit der Aufforderung, Überweisungen auf ein betrügerisches Konto vorzunehmen. Die Betrüger gingen davon aus, dass Zielpersonen, die die Anfrage für W2-Anträge für glaubwürdig hielten, auch hervorragende Ziele für eine Überweisungsanfrage waren.

Anfang 2023 warnte das FBI vor einer neuen Art von Angriffen, bei denen sich Betrüger als Unternehmenskunden ausgeben, um Produkte des Zielunternehmens zu stehlen. Die Betrüger nutzen gefälschte Finanzdaten, geben sich als Mitarbeiter der Einkaufsabteilung eines anderen Unternehmens aus und handeln einen großen Kauf auf Kredit aus. Das Zielunternehmen versendet die Bestellung – in der Regel Baumaterialien oder Computerhardware –, aber die Betrüger zahlen nie.

Technisch gesehen ist BEC eine Art von Spear-Phishing, d. h. ein Phishing-Angriff, dessen Ziel eine bestimmte Person oder Gruppe von Personen ist. BEC ist einzigartig unter den Spear-Phishing-Angriffen, die auf den Mitarbeiter oder Partner eines Unternehmens oder einer Organisation abzielen und der Betrüger vorgibt, ein Kollege zu sein, den das Ziel kennt oder dem er vertraut.

Einige BEC-Angriffe sind das Werk einzelner Betrüger, andere werden von BEC-Banden gestartet. Diese Banden operieren wie seriöse Unternehmen und beschäftigen Spezialisten, z. B. für die Lead-Generierung, die Zielpersonen suchen, Hacker, die in E-Mail-Konten eindringen, und professionelle Schreiber, die dafür sorgen, dass die Phishing-E-Mails fehlerfrei und überzeugend sind.

Wenn ein Betrüger bzw. eine Bande ein Unternehmen ausgewählt hat, folgt ein BEC-Angriff in der Regel demselben Muster.

Fast jedes Unternehmen, jede gemeinnützige Organisation oder Regierung eignet sich als Ziel für BEC-Angriffe. Große Organisationen mit viel Geld und Kunden – und ausreichend Transaktionen, bei denen BEC-Exploits unbemerkt bleiben können – sind offensichtliche Ziele.

Globale oder lokale Ereignisse können BEC-Angreifern allerdings nochmal spezifischere Gelegenheiten bieten – einige offensichtlicher, andere weniger. Während der COVID-19-Pandemie warnte das FBI etwa davor, dass BEC-Betrüger sich als Anbieter von medizinischen Geräten und Zubehör ausgaben und Krankenhäuser und Gesundheitseinrichtungen Rechnungen stellten.

Am anderen (aber nicht weniger lukrativen) Ende des Spektrums nutzten BEC-Betrüger im Jahr 2021 öffentlichkeitswirksame Bildungs- und Bauprojekte im US-amerikanischen Peterborough, New Hampshire, und leiteten 2,3 Mio. US-Dollar an städtischen Geldern auf betrügerische Bankkonten um.

Als Nächstes beginnen die Betrüger damit, das Zielunternehmen und dessen Aktivitäten zu recherchieren, um die Mitarbeiter zu bestimmen, die die Phishing-E-Mails erhalten sollen, und die Identitäten der Absender zu ermitteln, für die sich die Betrüger dann ausgeben.

BEC-Scams zielen in der Regel auf Angestellte der mittleren Ebene ab, z. B. Leiter der Finanz- oder der Personalabteilung, die befugt sind, Zahlungen zu tätigen oder Zugang zu sensiblen Daten haben, und die außerdem geneigt sind, der Aufforderung eines ihnen Vorgesetzten oder Executives nachzukommen. Einige BEC-Angriffe zielen auch auf neue Mitarbeiter ab, die in puncto Sicherheit nur wenig oder gar nicht geschult sind und nur ein begrenztes Wissen zu ordnungsgemäßen Zahlungs- oder Datenaustauschverfahren und -genehmigungen haben.

Als Absenderidentität wählen Betrüger einen Kollegen oder Partner aus, der glaubhaft die vom Betrüger gewünschte Aktion des Zielmitarbeiters fordern oder beeinflussen kann. Identitäten von Kollegen sind in der Regel hochrangige Manager, C-Level-Manager oder Anwälte innerhalb des Unternehmens.

Bei externen Identitäten kann es sich um C-Levels von Lieferanten oder Partnerunternehmen handeln, aber auch um Kollegen des Zielmitarbeiters, z. B. ein Lieferant, mit dem der Zielmitarbeiter regelmäßig zusammenarbeitet, ein Anwalt, der eine Transaktion berät, oder ein Bestands- oder Neukunde.

Zahlreiche Betrüger setzen dieselben Tools zur Lead-Generierung ein, die auch seriöse Marketing- und Vertriebsprofis nutzen – LinkedIn und andere soziale Netzwerke, Quellen zu Wirtschafts- und Branchennachrichten, Software für die Kundengewinnung und Listenerstellung. So ermitteln sie dann potenzielle Mitarbeiterziele und passende Absenderidentitäten.

Nicht alle BEC-Angreifer hacken sich in das Netzwerk der Organisation des Ziels bzw. des vermeintlichen Absenders. Diejenigen, die so vorgehen, agieren jedoch wie Malware und beobachten Ziele sowie Absender bereits Wochen vor dem eigentlichen Angriff und sammeln Informationen und Zugriffsrechte. Dies ermöglicht Angreifern mitunter Folgendes:

• Anhand beobachteter Verhaltensweisen und Zugriffsrechten können sie die besten Mitarbeiterziele und Absenderidentitäten auswählen.
  
  

• Sie erfahren mehr Details darüber, wie Rechnungen eingereicht werden und wie Zahlungen oder Anfragen für sensible Daten gehandhabt werden. So können sie dann derartige Anfragen in ihren Angriffs-E-Mails besser nachahmen.
  
  

• Sie können Fälligkeitstermine für bestimmte Zahlungen an Verkäufer, Anwälte usw. festlegen.
  
  

• Sie können echte Lieferantenrechnungen oder Bestellungen abfangen und sie so ändern, dass die Zahlung auf das Bankkonto des Angreifers erfolgt.
  
  

• Schließlich können sie die Kontrolle über das tatsächliche E-Mail-Konto des Absenders übernehmen. Dadurch ist der Betrüger in der Lage, Angriffs-E-Mails direkt von diesem Konto aus zu versenden. Manchmal kann er sich sogar in bestehende E-Mail-Threads schalten, was die Authentizität noch erhöht.

Eine überzeugende Imitation ist der Schlüssel zum Erfolg eines BEC-Angriffs. Betrüger gestalten ihre Angriffs-E-Mails daher auch so, dass sie möglichst authentisch und glaubwürdig sind. Wenn sie sich nicht in das E-Mail-Konto des Absenders gehackt haben, erstellen die Betrüger ein gefälschtes E-Mail-Konto, das die E-Mail-Adresse des Absenders nachahmt, um echt zu erscheinen. (Sie verwenden z. B. gerne falsche Schreibweisen von Namen oder Domains wie jsmith@company.com oder jane.smith@cornpany.com für jane.smith@company.com.) Auch andere visuelle Hinweise z. B. eine Unterschrift mit dem Firmenlogo oder ein detaillierter (und gefälschter) Disclaimer sind eine übliche Masche.

Ein zentraler Bestandteil der Angriffs-E-Mail ist der Vorwand: eine falsche, aber plausible Geschichte mit dem Ziel, das Vertrauen des Zielmitarbeiters zu gewinnen, ihn zu überzeugen oder unter Druck zu setzen, das zu tun, was der Angreifer will. Die effektivsten Vorwände kombinieren eine plausible Situation mit dem Eindruck von Dringlichkeit und Konsequenzen. Die Nachricht eines Vorgesetzten oder CEO wie „Ich steige gleich ins Flugzeug. Können Sie/kannst du bitte schnell die angehängte Rechnung bearbeiten, damit wir keine Säumnisgebühren zahlen müssen?“ ist ein klassisches Beispiel für einen BEC-Vorwand.

Je nach Anfrage erstellen Betrüger auch gefälschte Websites, registrieren falsche Unternehmen registrieren oder geben gefälschte Telefonnummern an, die Opfer zur Bestätigung anrufen können.

BEC-Scams gehören zu den am schwierigsten zu verhindernden Cyber-Crimes, da sie selten Malware verwenden, die von Sicherheitstools erkannt werden kann. Stattdessen verlassen sich Betrüger auf Täuschung und Manipulation. Betrüger müssen nicht einmal in das anvisierte Unternehmen eindringen.

Die Täter können ihre Opfer um enorme Summen betrügen, indem sie ins Netzwerk eines Lieferanten oder Kunden eindringen oder sich einfach als dieser ausgeben. Laut dem Bericht Kosten einer Datenschutzverletzung dauert es durchschnittlich 308 Tage, bis BEC-Angriffe identifiziert und eingedämmt werden können. Das ist die zweitlängste Lösungsdauer aller Arten von Datenschutzverletzungen.

Unternehmen können sich jedoch mit den folgenden Maßnahmen gegen diese Betrugsmaschen wappnen:

• Schulungen zum Thema Cybersicherheit können Mitarbeitern helfen, die Gefahren zu verstehen, die von übermäßigem Teilen von Informationen auf Social-Media-Plattformen und Apps ausgehen über die Betrüger ihre Ziele finden und recherchieren. Schulungen können den Mitarbeitern auch dabei helfen, BEC-Versuche zu erkennen und Best Practices anzuwenden, wie die Überprüfung einer Aufforderung für eine hohe Zahlung, bevor sie dieser nachkommen.

• E-Mail-Sicherheitstools können nicht jede BEC-E-Mail abfangen, insbesondere nicht solche, die von kompromittierten Konten stammen. Sie können jedoch dabei helfen, gefälschte E-Mail-Adressen zu erkennen. Einige Tools können auch verdächtige E-Mail-Inhalte melden, die einen BEC-Versuch signalisieren könnten.

• Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung können es BEC-Angreifern erschweren, E-Mail-Konten zu hacken.

• Enterprise Security Tools können Sicherheitsteams dabei helfen, BEC-Angriffe schneller zu stoppen, indem sie Versuche zur Ausnutzung von Netzwerkschwachstellen erkennen und Aktivitäten auf Endgeräten, in E-Mail-Konten und an anderen Stellen markieren, die auf Aufklärungsversuche von Hackern hinweisen könnten. Zu diesen Tools gehören:
  • Orchestrierung der Sicherheit
  • Automatisierung und Reaktion (SOAR)
  • Security Information and Event Management (SIEM)
  • Endpoint Detection and Response (EDR) 
  • Erweiterte Erkennung und Reaktion (XDR)