Wenn es um sehr viel Geld geht, gilt es, jeden einzelnen Schritt im Zweifelsfall sogar mehrmals zu überprüfen. Doch trotz dieses allseits bekannten Mantras fallen immer wieder sowohl Privatpersonen als auch große Unternehmen auf Email-Betrüger herein, die ihre Methoden so professionalisiert haben, dass das 4-Augen-Prinzip alleine schon lange nicht mehr ausreicht.
Spektakulär ist der aktuelle Fall in der englischen Premier League, der so oder ähnlich sicherlich auch in der Bundesliga denkbar gewesen wäre: ein Verein überwies eine Million Englische Pfund in Folge einer realistischen Betrugs-E-Mail, die den Club überzeugte, das Geld für einen Spielertransfer kurzfristig an ein neues Konto zu senden. Glücklicherweise fiel der Bank des Vereins diese Transaktion als verdächtig auf, sie forschte nach und entdeckte den Betrug (Quelle: https://www.ncsc.gov.uk/files/Cyber-threat-to-sports-organisations.pdf).
Hackerwissen ist unnötig, das Internet reicht aus
Diese sehr geschickte Form des virtuellen Betrugs heißt Business E-Mail Compromise, kurz BEC. Sie gehört zur Spear-Phishing-Kategorie, auch Targeted Phishing genannt. Da hierbei oft die Identitäten von wichtigen Entscheidern übernommen werden, spricht man auch vom CEO- oder CFO-Betrug. Genau genommen geht es bei dieser Art des „Angriffs“ aber weniger um tatsächlichen Cybercrime, sondern eher eine durch das Internet ermöglichte Kriminalität. Die Betrüger müssen keine Schadsoftware programmieren können, sie müssen keine Elite-Hacker sein und benötigen auch kein Fachwissen über Netzwerk-Intrusionen etc. Der Erfolg basiert auf Geduld, Beharrlichkeit, Selbstvertrauen und Geschick beim Social Engineering. Aber anders als ein Heiratsschwindler manipulieren sie ihre Opfer nicht mit ihrem persönlichen Auftreten, sondern sie bauen auf die Möglichkeit des Internets.
3 Schritte des BEC-Prinzips: Identitätsübernahme, Manipulation, Geldtransfer
1. Schritt:
Das E-Mail-Passwort einer Person mit Entscheidungsbefugnis im Unternehmen erlangen.
2. Schritt:
Sämtlichen E-Mail-Verkehr studieren, das Opfer-Verhalten kennenlernen, das Vorgehen bei größeren Geldanweisungen protokollieren.
3. Schritt:
Übernahme der Opfer-Identität zur Manipulation von Vertragspartnern mit dem Ziel, die ausstehenden Zahlungen an neue Konten der Betrüger umzuleiten, oder Mitarbeiter dazu zu bewegen, abgehende Rechnungen statt an echte Gläubiger an gefälschte Accounts zu senden.
BEC-Kriminelle nutzen das digitale Geschäftsleben, um Menschen in die Irre zu führen. Sobald sie einen Fuß im Unternehmen haben, unterfüttern sie ihre Sabotage mit Insider-Wissen aus zuvor vorgenommenen Social-Engineering-Aktivitäten, um glaubwürdig zu bleiben.
Wie kann man sich gegen Business E-Mail Compromise schützen?
Ist ein Betrüger mit dieser Masche in das eigene Postfach gelangt, schreibt er Emails, kann seine Spuren aus In- und Outbox löschen, Antworten der Kollegen, die misstrauisch werden, abfangen, löschen oder modifizieren und diese sogar bedrohen. Aber wie kann man sich vor einer solchen Identitätsübernahme, die man oftmals lange nicht einmal bemerkt, schützen? Sophos-Experte Michael Veit hat sechs Tipps zur Prävention zusammengefasst:
1. Zwei-Faktor-Authentifizierung (2FA)
Eine 2FA sichert den Zugriff auf die Emails doppelt ab, denn der Betrüger benötigt zum erfolgreichen Einloggen in den Account eine weitere Identifikation. Der E-Mail-Account ist wie bei den meisten Nutzern der Schlüssel, um weitere Passwörter anderer Konten zurückzusetzen. Deshalb sollte man den Zugriff auf das E-Mail-Konto besonders gut absichern.
2. Überwachungsfunktionen beim Provider anfragen
Funktionen, die die Zugriffe überwachen, helfen Logins aus ungewohnten Quellen leichter zu entdecken, ebenso wie Netzwerk-Aktivitäten, die nicht ins übliche Nutzungsmuster passen. Auch Banken haben mittlerweile verschiedene Angebote, wie sich eine weitere Sicherheitsebene zum Schutz vor Betrug einsetzen lässt.
3. Mehrschichtiger Prozess bei bedeutenden Accountänderungen
Besonders Änderungen bei Bezahlmodi sollten mehrere Zustimmungs- oder Benachrichtigungsschleifen durchlaufen.
4. Jegliche Auffälligkeiten in E-Mails ernst nehmen
Grammatik, Rechtschreibung, Titel, Namen, Wortwahl, alles was nicht nur falsch, sondern zunächst ungewöhnlich klingt, kann ein Hinweis auf einen Betrugsversuch sein.
5. Bei Geldtransfers lieber telefonieren statt mailen
Wenn es um die Anwendung von Transaktionsdaten wie zum Beispiel die Kontonummer für eine konkrete Überweisung geht, sollten per Mail gesandte Daten telefonisch abgesichert oder auch andere, bereits vorhandene Dokumente als Referenz genutzt werden.
6. Anti-Betrugs-Training im Unternehmen
Unternehmen sollten darüber nachdenken, ihre Mitarbeiter im Hinblick auf Phishing-Betrug zu schulen. Viele IT-Security-Anbieter, darunter auch Sophos mit Phish Threat, bieten die Möglichkeit, das Verhalten der Belegschaft mit simulierten Phishing-Emails zu überprüfen, um mögliches fehlerhaftes Agieren im echten Arbeitsablauf zu vermeiden.