Business Email Compromise: So mindern Sie Ihr Risiko

Jeder nutzt E-Mails – Sie werden kaum ein Unternehmen finden, das dies nicht tut. Leider ist diese Form der digitalen Kommunikation, die wir seit den 80er Jahren nutzen, für Cyberkriminelle immer noch sehr leicht angreifbar. Infolgedessen ist die E-Mail der Ausgangspunkt für viele Angriffe, einschließlich der Kompromittierung von Geschäfts-E-Mails („Business Email Compromise“, BEC). Das FBI schätzt, dass zwischen 2016 und Ende 2021 43 Milliarden Dollar durch BEC-Angriffe verloren gegangen sind.

Wir erklären, wie ein Business-E-Mail-Compromise-Angriff funktioniert, zeigen Möglichkeiten auf, wie Sie die Schutzmaßnahmen Ihres Unternehmens verstärken können, und stellen eine schnelle, kostenlose Lösung für eine große Schwachstelle vor – ungenutzte E-Mail-Konten mit schwachen Passwörtern in Ihrem Unternehmen.

Was versteht man unter Business Email Compromise?

Business Email Compromise ist eine Form von Cyberangriffen auf Unternehmen, bei denen sich Angreifer als eine bekannte, vertrauenswürdige Quelle ausgeben, um andere dazu zu bringen, Geld zu überweisen, vertrauliche Informationen weiterzugeben oder sonstige nicht autorisierte Aktionen durchzuführen. Angreifer können gefälschte E-Mail-Adressen und Anzeigenamen erstellen, um das Ziel zu imitieren und für den Empfänger auf den ersten Blick glaubwürdig zu erscheinen. Einige fortschrittlichere E-Mail-Sicherheitssysteme können jedoch gefälschte E-Mail-Adressen erkennen, so dass die Übernahme eines „legitimen“ Benutzerkontos der effektivere Angriffsweg ist.

Bei der Kontoübernahme verschaffen sich Angreifer Zugang zu einem legitimen E-Mail-Account, indem sie häufig das Passwort des Mitarbeiters durch Phishing oder Social Engineering ausspähen. Eine weniger risikoreiche und effektivere Methode besteht darin, sich die Anmeldedaten für ein ungenutztes Konto innerhalb des Unternehmens zu beschaffen. Sobald der Angreifer die Kontrolle über das Konto erlangt hat, wird er die Struktur, die Kommunikationsmuster und die finanziellen Aktivitäten des Unternehmens sorgfältig studieren, bevor er seinen Betrug startet.

Wie funktioniert ein Business Email Compromise Angriff?

Der Begriff BEC deckt einige unterschiedliche, aber ähnliche Methoden ab. Gemeinsam haben aber alle Beispiele, dass die E-Mail als Angriffsvektor dient, eine bekannte und vertrauenswürdige Quelle vorgetäuscht wird und das Opfer durch Social Engineering zu einer Handlung veranlasst wird, die dem Angreifer nützt.

• Rechnungs- und Zahlungsbetrug: Finanzabteilungen werden mit betrügerischen E-Mail-Rechnungen oder Aufforderungen zur Überweisung angegriffen. Die Angreifer stellen sicher, dass sie genug über einen Prozess wissen, um legitim zu erscheinen, und nutzen Social Engineering, um Finanzteams davon zu überzeugen, ihre üblichen Prozesse zu umgehen.
• CEO-Betrug: Die Angreifer geben sich als eine hochrangige Führungskraft aus, z. B. als CEO oder CFO, und senden E-Mails an einen untergeordneten Mitarbeiter, in der Regel aus der Finanz- oder Personalabteilung. Unternehmenswebseiten und LinkedIn können den Angreifern interne Befehlsketten zeigen. In der E-Mail wird um eine dringende Überweisung oder die Freigabe sensibler Informationen gebeten, wobei die Bereitschaft des Mitarbeiters ausgenutzt wird, den Forderungen der Führungskraft nachzukommen.
• Unterwanderung der Lieferkette: Bei dieser Art von BEC-Betrug geben sich die Angreifer als vertrauenswürdiger Anbieter oder Lieferant aus. Auch hier ist es relativ einfach, die Beziehungen zu den Anbietern mit Hilfe von legalen, offen zugänglichen Informationen zu ermitteln. Sie können eine gefälschte Rechnung senden oder eine Zahlung für Waren und Dienstleistungen verlangen, die nie geliefert wurden, wobei sie oft neue Zahlungsdaten angeben, um die Gelder abzuzweigen.

So helfen Sie Ihren Mitarbeitern, Business-Email Compromise-Agriffe zu erkennen

BEC-Angriffe beruhen eher auf Social Engineering als auf schädlichen Links und Dateien – es ist die Nachricht selbst, die die Opfer dazu bringt, eine Zahlung zu leisten oder Informationen preiszugeben. Dies macht es den E-Mails leichter, sichere E-Mail-Gateways und andere signaturbasierte Erkennungssysteme zu umgehen, die sich auf Querverweise in Datenbanken mit bekannten Bedrohungen stützen. Während E-Mails textbasiert sind, können Angreifer die Deepfake-Technologie nutzen, um sie mit Video- oder Sprachaufnahmen zu ergänzen, um Angriffe noch überzeugender zu gestalten.

Sensibilisierung und Wachsamkeit sind entscheidend, um Business-Email Compromise-Agriffe zu erkennen und zu verhindern. Hier sind einige Social-Engineering-Merkmale, auf die Sie achten sollten:

• Dringlichkeit und Druck: BEC-E-Mails betonen oft die „Dringlichkeit“ der Aufgabe und verlangen sofortiges Handeln, wobei der Empfänger unter Druck gesetzt wird, der Aufforderung nachzukommen, ohne sie zu hinterfragen.
• Ungewöhnliche Aufforderungen: Seien Sie vorsichtig bei E-Mails, in denen Sie zu Handlungen aufgefordert werden, die nicht den Standardverfahren entsprechen, oder in denen sensible Informationen angefordert werden, zu denen der Absender bereits Zugang haben sollte.
• Änderungen der Zahlungsdaten: Überprüfen Sie immer, ob eine E-Mail Änderungen an den Zahlungsdaten verlangt, insbesondere wenn sie von einem bekannten Anbieter oder Lieferanten stammt.
• Änderungen im Kommunikationsstil: Obwohl dies nicht immer der Fall ist, enthalten einige BEC-Betrügereien Rechtschreibfehler oder seltsame Formulierungen, die auf einen Nicht-Muttersprachler oder eine hastig verfasste Nachricht hindeuten können. Es lohnt sich auch, aufmerksam zu sein, wenn ein bekannter Kollege oder Lieferant seine Sprachwahl und die Art und Weise, wie er per E-Mail kommuniziert, zu ändern scheint.
• Anzeichen für Spoofing: Gefälschte E-Mail-Adressen und Anzeigenamen können auf den ersten Blick überzeugend aussehen, insbesondere auf mobilen Geräten. Prüfen Sie, wenn Ihnen eine Nachricht verdächtig vorkommt – aber denken Sie daran, dass Sie einen Angriff zur Übernahme eines Kontos nicht ausschließen können.

Praktische Möglichkeiten zur Verhinderung von Kompromittierungen geschäftlicher E-Mails

Um Ihr Unternehmen vor Business-Email-Compromise-Betrug zu schützen, sollten Sie die folgenden Maßnahmen ergreifen:

• Mitarbeiterschulungen – Schulen Sie Ihre Mitarbeiter regelmäßig darin, potenzielle Betrügereien zu erkennen und zu melden, und betonen Sie, wie wichtig es ist, wachsam zu sein und die bestehenden Abläufe einzuhalten.
• Stärkung der E-Mail-Sicherheit – Implementieren Sie Maßnahmen wie Multi-Faktor-Authentifizierung, sichere Passwörter und die routinemäßige Überwachung von E-Mail-Konten auf ungewöhnliche Aktivitäten. Denken Sie daran, dass BEC-Angriffe sichere E-Mail-Gateways und weniger fortschrittliche E-Mail-Sicherheitssoftware umgehen können.
• Erstellen Sie klare Kommunikationsprotokolle: Erstellen Sie Richtlinien für die Überprüfung von Anfragen nach sensiblen Informationen oder Finanztransaktionen, einschließlich mehrerer Genehmigungsstufen und direkter Kommunikation mit dem Antragsteller.
• Halten Sie die Software auf dem neuesten Stand: Stellen Sie sicher, dass die gesamte Software, einschließlich E-Mail-Clients und Sicherheitstools, regelmäßig aktualisiert wird, um vor bekannten Sicherheitslücken zu schützen.

Ein großes, von vielen Unternehmen nicht beachtetes Problem ist der Pool ungenutzter Konten mit schwachen Passwörtern, die für Angriffe zur Übernahme von Konten prädestiniert sind. Im weiteren Verlauf dieses Artikels werden wir uns auf die Risiken inaktiver Konten konzentrieren und Ihnen außerdem ein kostenloses Tool zur Verfügung stellen, mit dem Sie Ihr eigenes Active Directory auf ungenutzte Konten und schwache oder gefährdete Kennwörter überprüfen können.

Inaktive oder veraltete Konten und die Gefahr durch Business Email Compromise

Eine wichtige Taktik von Cyberkriminellen bei Business Email Compromise-Angriffen ist die Verwendung inaktiver oder veralteter Konten. Diese Konten gehören in der Regel ehemaligen Mitarbeitern oder Konten, die über einen längeren Zeitraum nicht genutzt wurden. Angreifer haben es auf diese Konten abgesehen, weil sie von Unternehmen oft übersehen werden und möglicherweise nicht über aktualisierte Sicherheitsmaßnahmen verfügen, was sie anfälliger für Angriffe macht.

Wie Angreifer auf inaktive Konten zugreifen

Inaktive oder veraltete Konten können durch die Wiederverwendung von Anmeldeinformationen, Brute-Force-Angriffe oder sogar durch 3rd-Party-Datenleaks kompromittiert werden. In manchen Fällen haben ehemalige Mitarbeiter ihre Anmeldeinformationen überlassen, so dass Angreifer unbefugten Zugriff erlangen können.

Warum inaktive Konten für Angreifer so attraktiv sind

Einige Formen der E-Mail-Sicherheit verwenden soziale Indikatoren, um die frühere Kommunikation zwischen Konten zu messen. Sobald Angreifer die Kontrolle über ein inaktives oder veraltetes Konto erlangt haben, können sie die bestehenden Beziehungen und das Vertrauen in das Konto innerhalb des Unternehmens ausnutzen. Da inaktive Konten oft vernachlässigt werden, können die Aktivitäten des Angreifers länger unbemerkt bleiben, was es ihm ermöglicht, wertvolle Informationen zu sammeln und seinen BEC-Angriff effektiver zu planen.

Risiken in Verbindung mit inaktiven Konten bei BEC-Betrug

Die Verwendung inaktiver oder veralteter Konten in BEC-Betrügereien kann die Erkennung und Abwehr dieser Angriffe erschweren. Mitarbeiter sind möglicherweise eher bereit, Anfragen von einer vertrauten E-Mail-Adresse zu vertrauen, insbesondere wenn das Konto einem ehemaligen Kollegen oder Vorgesetzten gehörte. Darüber hinaus bietet die fehlende Überwachung und Sicherheitsaktualisierung dieser Konten den Cyberkriminellen ein ideales Umfeld für Angriffe.

Verringerung der Bedrohung durch inaktive Konten bei Business Email Compromise Angriffen

Um das mit inaktiven oder veralteten Konten verbundene Risiko zu minimieren, sollten Unternehmen die folgenden Schritte unternehmen:

• Regelmäßige Überprüfung von Benutzerkonten – Führen Sie regelmäßige Überprüfungen durch, um inaktive oder veraltete Konten zu identifizieren und zu entfernen, und stellen Sie sicher, dass alle Konten erfasst sind und einen legitimen Zweck haben.
• Einführung eines robusten Ausgliederungsprozesses – Führen Sie einen gründlichen Ausgliederungsprozess für Mitarbeiter ein, die das Unternehmen verlassen, einschließlich der Deaktivierung oder Löschung ihrer E-Mail-Konten und des Entzugs des Zugriffs auf alle Systeme.
• Überwachung der Kontoaktivität – Überwachen Sie die Kontoaktivität, einschließlich inaktiver oder veralteter Konten, um ungewöhnliche Muster oder Anzeichen einer Gefährdung zu erkennen.
• Verstärken Sie die Kontosicherheit – Wenden Sie strenge Kennwortrichtlinien und eine Multi-Faktor-Authentifizierung für alle Benutzerkonten an, auch für inaktive Konten, um das Risiko eines unbefugten Zugriffs zu verringern.

So minimieren Sie das Risiko durch kompromittierte Geschäfts-E-Mails mit Specops Password Auditor

Ein effektiver Weg, um das Risiko der Kompromittierung von Geschäfts-E-Mails zu reduzieren, ist die Gewährleistung der Sicherheit von Benutzerkonten innerhalb Ihrer Organisation. Specops Password Auditor, ein kostenloses Tool von Specops Software, kann Ihnen dabei helfen, indem es die Passwortsicherheit Ihrer Active Directory-Umgebung prüft und analysiert.

Durch den Einsatz von Specops Password Auditor können Sie häufige Passwort-Schwachstellen beseitigen, die zu Business-Email-Compromise-Angriffen führen können:

• Stärkung der Passwortrichtlinien – Die Implementierung starker Passwortrichtlinien, wie z.B. Mindestlänge der Passwörter, Komplexitätsanforderungen und regelmäßige Passwortänderungen, kann dazu beitragen, unbefugten Zugriff auf E-Mail-Konten zu verhindern.
• Erkennen und Beseitigen von kompromittierten Passwörtern – Das Erkennen und Zurücksetzen von kompromittierten Passwörtern kann dazu beitragen, das Risiko zu mindern, dass Angreifer die Kontrolle über ein E-Mail-Konto erlangen und es für BEC-Betrügereien nutzen.
• Regelmäßige Überprüfung von Benutzerkonten – Regelmäßige Kontoprüfungen können Ihnen dabei helfen, inaktive oder veraltete Konten zu identifizieren und zu beseitigen, um das Risiko zu minimieren, dass Angreifer diese Konten für BEC-Angriffe ausnutzen.
• Überwachen Sie die Mitgliedschaft in Sicherheitsgruppen – Wenn Sie sicherstellen, dass nur autorisierte Benutzer Zugang zu sensiblen Informationen und Systemen haben, können Sie das Risiko von Insider-Bedrohungen und unbefugtem Zugriff auf E-Mail-Konten verringern.

Reduzieren Sie Ihr Business-Email-Compromise-Risiko mit dem kostenlosen Password Auditor-Scan

E-Mail wird so schnell nicht verschwinden. Wie wir jedoch bereits erörtert haben, kann sie Gefahren und Risiken bergen, wenn nicht die richtigen Sicherheitsvorkehrungen und Prozesse vorhanden sind. Durch geeignete Offboarding-Prozesse können Unternehmen sicherstellen, dass veraltete und vernachlässigte Konten richtig behandelt werden. Darüber hinaus ermöglicht der Einsatz von Tools wie Specops Password Auditor den Blick auf riskante Active Directory-Konten mit abgelaufenen oder sogar verletzten Passwörtern.

Laden Sie Specops Password Auditor hier kostenlos herunter.