Luglio 30, 2020 —

Wenn es um sehr viel Geld geht, gilt es, jeden einzelnen Schritt im Zweifelsfall sogar mehrmals zu überprüfen. Doch trotz dieses allseits bekannten Mantras fallen immer wieder sowohl Privatpersonen als auch große Unternehmen auf Email-Betrüger herein, die ihre Methoden so professionalisiert haben, dass das 4-Augen-Prinzip alleine schon lange nicht mehr ausreicht.

Spektakulär ist der aktuelle Fall in der englischen Premier League, der so oder ähnlich sicherlich auch in der Bundesliga denkbar gewesen wäre: ein Verein überwies eine Million Englische Pfund in Folge einer realistischen Betrugs-E-Mail, die den Club überzeugte, das Geld für einen Spielertransfer kurzfristig an ein neues Konto zu senden. Glücklicherweise fiel der Bank des Vereins diese Transaktion als verdächtig auf, sie forschte nach und entdeckte den Betrug (Quelle: https://www.ncsc.gov.uk/files/Cyber-threat-to-sports-organisations.pdf).

Hackerwissen ist unnötig, das Internet reicht aus

Diese sehr geschickte Form des virtuellen Betrugs heißt Business E-Mail Compromise, kurz BEC. Sie gehört zur Spear-Phishing-Kategorie, auch Targeted Phishing genannt. Da hierbei oft die Identitäten von wichtigen Entscheidern übernommen werden, spricht man auch vom CEO- oder CFO-Betrug. Genau genommen geht es bei dieser Art des „Angriffs“ aber weniger um tatsächlichen Cybercrime, sondern eher eine durch das Internet ermöglichte Kriminalität. Die Betrüger müssen keine Schadsoftware programmieren können, sie müssen keine Elite-Hacker sein und benötigen auch kein Fachwissen über Netzwerk-Intrusionen etc. Der Erfolg basiert auf Geduld, Beharrlichkeit, Selbstvertrauen und Geschick beim Social Engineering. Aber anders als ein Heiratsschwindler manipulieren sie ihre Opfer nicht mit ihrem persönlichen Auftreten, sondern sie bauen auf die Möglichkeit des Internets.

3 Schritte des BEC-Prinzips: Identitätsübernahme, Manipulation, Geldtransfer

1. Schritt:
Das E-Mail-Passwort einer Person mit Entscheidungsbefugnis im Unternehmen erlangen.

2. Schritt:
Sämtlichen E-Mail-Verkehr studieren, das Opfer-Verhalten kennenlernen, das Vorgehen bei größeren Geldanweisungen protokollieren.

3. Schritt:
Übernahme der Opfer-Identität zur Manipulation von Vertragspartnern mit dem Ziel, die ausstehenden Zahlungen an neue Konten der Betrüger umzuleiten, oder Mitarbeiter dazu zu bewegen, abgehende Rechnungen statt an echte Gläubiger an gefälschte Accounts zu senden.

BEC-Kriminelle nutzen das digitale Geschäftsleben, um Menschen in die Irre zu führen. Sobald sie einen Fuß im Unternehmen haben, unterfüttern sie ihre Sabotage mit Insider-Wissen aus zuvor vorgenommenen Social-Engineering-Aktivitäten, um glaubwürdig zu bleiben.

Wie kann man sich gegen Business E-Mail Compromise schützen?

Ist ein Betrüger mit dieser Masche in das eigene Postfach gelangt, schreibt er Emails, kann seine Spuren aus In- und Outbox löschen, Antworten der Kollegen, die misstrauisch werden, abfangen, löschen oder modifizieren und diese sogar bedrohen. Aber wie kann man sich vor einer solchen Identitätsübernahme, die man oftmals lange nicht einmal bemerkt, schützen? Sophos-Experte Michael Veit hat sechs Tipps zur Prävention zusammengefasst:

1. Zwei-Faktor-Authentifizierung (2FA)
Eine 2FA sichert den Zugriff auf die Emails doppelt ab, denn der Betrüger benötigt zum erfolgreichen Einloggen in den Account eine weitere Identifikation. Der E-Mail-Account ist wie bei den meisten Nutzern der Schlüssel, um weitere Passwörter anderer Konten zurückzusetzen. Deshalb sollte man den Zugriff auf das E-Mail-Konto besonders gut absichern.

2. Überwachungsfunktionen beim Provider anfragen
Funktionen, die die Zugriffe überwachen, helfen Logins aus ungewohnten Quellen leichter zu entdecken, ebenso wie Netzwerk-Aktivitäten, die nicht ins übliche Nutzungsmuster passen. Auch Banken haben mittlerweile verschiedene Angebote, wie sich eine weitere Sicherheitsebene zum Schutz vor Betrug einsetzen lässt.

3. Mehrschichtiger Prozess bei bedeutenden Accountänderungen
Besonders Änderungen bei Bezahlmodi sollten mehrere Zustimmungs- oder Benachrichtigungsschleifen durchlaufen.

4. Jegliche Auffälligkeiten in E-Mails ernst nehmen
Grammatik, Rechtschreibung, Titel, Namen, Wortwahl, alles was nicht nur falsch, sondern zunächst ungewöhnlich klingt, kann ein Hinweis auf einen Betrugsversuch sein.

5. Bei Geldtransfers lieber telefonieren statt mailen
Wenn es um die Anwendung von Transaktionsdaten wie zum Beispiel die Kontonummer für eine konkrete Überweisung geht, sollten per Mail gesandte Daten telefonisch abgesichert oder auch andere, bereits vorhandene Dokumente als Referenz genutzt werden.

6. Anti-Betrugs-Training im Unternehmen
Unternehmen sollten darüber nachdenken, ihre Mitarbeiter im Hinblick auf Phishing-Betrug zu schulen. Viele IT-Security-Anbieter, darunter auch Sophos mit Phish Threat, bieten die Möglichkeit, das Verhalten der Belegschaft mit simulierten Phishing-Emails zu überprüfen, um mögliches fehlerhaftes Agieren im echten Arbeitsablauf zu vermeiden.

Informazioni su Sophos

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.