In diesem Frühjahr konnten die australischen Behörden ein Cybercrime-Syndikat verhaften, das BEC-Angriffe auf mindestens 15 Einzelpersonen und Organisationen durchgeführt und dabei Gewinne in Höhe von insgesamt 1,7 Millionen US-Dollar gestohlen hatte.
Auch wenn diese Zahlen schockierend erscheinen, so sind sie doch Teil eines zunehmenden Trends bei BEC-Angriffen, der sich nicht abzuschwächen scheint. Laut den Daten, die von Arctic Wolf® Managed Detection and Response und Arctic Wolf Incident Response gesammelt wurden, haben sich die BEC-bezogenen Untersuchungen im ersten Halbjahr 2023 verdoppelt, ein steigender Trend, der letztes Jahr begann, als die BEC-Fälle von 2021 bis 2022 um 29 % anstiegen. Es ist klar, dass BEC schnell zu einer Top-Taktik für Bedrohungsakteure wird, die immer geschickter darin geworden sind, nicht nur E-Mail-Adressen zu fälschen, sondern auch Konten vollständig zu übernehmen, sobald sie kompromittiert wurden – alles mit dem Ziel, Benutzer zu täuschen und Gelder zu stehlen.
Es ist klar, dass BEC schnell zu einer Top-Taktik für Bedrohungsakteure wird, die immer geschickter darin geworden sind, nicht nur E-Mail-Adressen zu fälschen, sondern auch Konten vollständig zu übernehmen, sobald sie kompromittiert wurden – alles mit dem Ziel, Benutzer zu täuschen und Gelder zu stehlen.
Während BEC-Angriffe traditionell auf Finanzinstitutionen und Benutzer abzielen, die Zugang zu den Geldbörsen haben – man denke nur an einen CEO, der plötzlich eine E-Mail an den CFO wegen einer Überweisung schickt – weiten sich die Bedrohungsakteure aus. Laut einem aktuellen FBI-Bericht nutzen, Cyberkriminelle diese Taktik, um Lebensmittellieferungen im Wert von Hunderttausenden von Dollar zu stehlen. Arctic Wolf verzeichnete in diesem Jahr 63 % mehr BEC-Angriffe in der Fertigungsindustrie als in anderen Branchen, was deutlich macht, dass diese Taktik branchenübergreifend eingesetzt wird.
Tatsache ist, dass BEC-Angriffe die Landschaft der Cyberkriminalität erobern.
Was ist ein BEC-Angriff?
Bei einem BEC-Angriff verschafft sich ein Bedrohungsakteur Zugang zu einem geschäftlichen E-Mail-Konto und nutzt diesen Zugang dann, um einen Betrug zu verüben, der zu finanziellen Gewinnen führt. BEC-Angriffe zielen in den meisten Fällen auf interne Mitarbeiter ab (oft auf die Führungsetage), die Zugang zu Finanzkonten haben.
Während finanzieller Gewinn oft das Hauptziel eines BEC-Angriffs ist, verschafft der Angriff dem Cyberkriminellen auch einen wertvollen Zugang, um Informationen über die Umgebung eines Unternehmens zu erhalten und möglicherweise einen weiteren Angriff zu starten oder eine Organisation anzugreifen, die mit dem ursprünglichen Ziel verbunden ist.
Nach der Klassifizierung des FBI gibt es fünf Haupttypen von BEC-Angriffen . Sie beinhalten:
- CEO-Betrug
Die Angreifer geben sich als CEO oder Geschäftsführer eines Unternehmens aus. Bei dieser Art von Angriffen senden die Bedrohungsakteure in der Regel eine E-Mail an eine Person in der Finanzabteilung und bitten um die Überweisung von Geldern auf ein vom Angreifer kontrolliertes Konto.
- Kontokompromittierung
Dies geschieht, wenn das E-Mail-Konto eines Mitarbeiters gehackt und dann dazu verwendet wird, Zahlungen an Lieferanten anzufordern.
- Falsche Rechnungsregelung
In diesem Fall geben sich Angreifer als Zulieferer eines Unternehmens aus und fordern Geldtransfers auf betrügerische Konten an.
- Imitation von Anwälten
Bei diesem Angriff gibt sich ein Cyberkrimineller als Anwalt oder Rechtsvertreter aus. Diese Art von BEC-Angriffen gilt häufig Mitarbeitern auf niedrigeren Ebenen.
- Datendiebstahl
Diese Angriffe zielen auf HR-Mitarbeiter ab, um personenbezogen oder vertrauliche Informationen über Einzelpersonen innerhalb des Unternehmens, wie CEOs und Führungskräfte, zu erhalten. Diese Daten können dann für zukünftige Angriffe wie Phishing, Betrug oder Ransomware genutzt werden.
Business Email Compromise im Vergleich zu Phishing
Die oben genannten Angriffsarten mögen wie Phishing klingen. Es gibt jedoch einen wesentlichen Unterschied zwischen Phishing- und BEC-Angriffen. Bei einem BEC-Angriff ist die verwendete E-Mail-Adresse legitim. Bei Phishing-Angriffen gehört das E-Mail-Konto dem Bedrohungsakteur oder ist betrügerisch.
Allerdings fallen beide Arten von Angriffen unter den Begriff Social Engineering, und es ist nicht ungewöhnlich, dass BEC-Angriffe gängige Phishing-Taktiken nutzen (z. B. dringend klingen oder bekannte Informationen über das Opfer nutzen), um erfolgreich zu sein.
Lebenszyklus eines BEC-Angriffs
Ein BEC-Angriff besteht, ähnlich wie andere Arten von Cyberangriffen, aus vier großen Phasen: Vorbereitung, Ausführung, Täuschung und Aktion.
Bei der detaillierteren Betrachtung eines Angriffs zeigen sich folgende Schritte:
- Ein Bedrohungsakteur erhält Zugriff auf den E-Mail-Server einer Organisation oder das E-Mail-Konto eines bestimmten Benutzers. Dieser Zugriff wird durch Zugangsdatendiebstahl, das Sammeln von Zugangsdaten, Social Engineering oder andere Taktiken wie etwa die Ausnutzung einer Schwachstelle oder die Umgehung der Multi-Faktor-Authentifizierung (MFA) erreicht.
- Der Bedrohungsakteur nutzt diesen Zugriff, um Informationen über den Benutzer und die Organisation zu erhalten, und liest häufig E-Mails oder andere Assets, um zu sehen, wen er mit dem BEC-Betrug ins Visier nehmen kann.
- Der Betrug wird gestartet, wobei der Bedrohungsakteur das E-Mail-Konto, auf das er zugegriffen hat, als primären Vektor nutzt. Beispiele hierfür sind, wie oben erwähnt, dass sich der Bedrohungsakteur als Benutzer ausgibt und einen Geldtransfer anfordert, eine betrügerische Rechnung erstellt, nach Finanzinformationen fragt oder den Zugriff auf ein Finanzkonto anfordert.
Sehen Sie sich die Zeitleiste eines BEC-Angriffs an, und erfahren Sie, wie die Verteidigung von Arctic Wolf ihn im Keim ersticken konnte.
Warum Organisationen anfällig für BEC-Angriffe sind
Es gibt mehrere Gründe, warum ein Bedrohungsakteur beschließen kann, eine bestimmte Organisation ins Visier zu nehmen, beispielsweise ihre Branche, ihre Finanzlage, zuvor gesammelte Anmeldedaten oder bekannte Zugriffsrechte, ihre Beziehung zu anderen Organisationen oder bekannte Cybersecurity-Lücken innerhalb der Organisation.
Einer der Gründe, warum die Fertigung einen Anstieg der BEC-Angriffe verzeichnet, ist eine Kombination der oben genannten Faktoren. Diese Organisationen weisen häufig unterschiedliche Grade von Cybersecurity auf, sind im Allgemeinen häufiger Ziele von Cyberkriminellen und häufig Teil einer Lieferkette. Ein Hauptgrund, warum Cyberkriminelle BEC als Angriffsvektor wählen, ist jedoch, dass der Aufwand gering und der Gewinn hoch ist. BEC ist viel einfacher als Ransomware und stellt als Endziel schnelle finanzielle Gewinne in Aussicht. Es wird zum Favoriten im Werkzeugkasten eines Bedrohungsakteurs.
Darüber hinaus kann es für Unternehmen schwierig sein, BEC-Angriffe zu erkennen. Es ist keine Lösegeldforderung auf dem Desktop-Bildschirm zu sehen, die Fishing-E-Mail ist nicht voller Rechtschreibfehler und anderer verräterischer Anzeichen, die betrieblichen Abläufe wurde nicht gestört und je nach Ausmaß kann der Angriff schnell erfolgen. Außerdem ist das E-Mail-Konto legitim.
Weitere Gründe für den Erfolg von BEC-Angriffen sind:
- Sie erfolgen über vertrauenswürdige E-Mail-Konten
- Social Engineering, die Kategorie, in die BEC fällt, weist eine hohe Erfolgsquote auf, da es an Schulungen zum Sicherheitsbewusstsein der Benutzer mangelt
- BEC-Angriffe enthalten nicht die gleichen gemeinsamen Indikatoren wie andere Angriffe, z. B. Payloads, Firewall-Eingriffe, Endgerät-Aktivitäten oder auf der schwarzen Liste stehende URLs
- BEC-Angriffe können gefälschte Domänen oder Assets nutzen, um das Vertrauen zu erhöhen
Dies alles macht BEC Cybersecurity komplizierter und dringlicher. Aber es gibt Maßnahmen, die Unternehmen ergreifen können, um sich zu schützen.
So erkennen und verhindern Sie den Missbrauch geschäftlicher E-Mails
Im modernen Cyber-Bedrohungslandschaft hat der Schutz Ihres Unternehmens vor BEC-Angriffen viele Facetten und erfordert mehr als ein einziges Tool oder einen einzigen Fokus. Obwohl jede Organisation unterschiedliche Sicherheits- und Geschäftsziele hat und einen unterschiedlichen Reifegrad aufweist, ist die Prüfung aller folgenden Punkte die beste Verteidigung gegen diesen häufigen und kostspieligen Angriff.
- Nutzen Sie Zugriffskontrollen wie MFA
Jeder BEC-Angriff beginnt mit einem Zugriff. Während ein Bedrohungsakteur möglicherweise bereits Anmeldedaten gestohlen hat oder sich durch das Sammeln von Anmeldedaten Zugang verschafft, kann der Einsatz von Software, die ungewöhnliche Zugriffe oder Verhaltensweisen erkennen kann (z. B. Identitäts- und Zugriffsverwaltung), sowie sekundärer Kontrollen wie MFA den Angriff stoppen, bevor er beginnt. Laut dem Threats Report 2023 von Arctic Wolf Labs hatten 58 % der von BEC-Angriffen betroffenen Unternehmen keine MFA implementiert, was einen großen Unterschied im Angriffsergebnis hätte machen können. - Verfolgen Sie einen offensiven, benutzerzentrierten Ansatz mit Schulungen zum Thema Sicherheitsbewusstsein
Durch den Aufbau einer starken Kultur des Sicherheitsbewusstseinskönnen Sie Mitarbeitern helfen, die Art der Risiken zu verstehen, denen sie in ihren Posteingängen ausgesetzt sind, verdächtige Nachrichten wie plötzliche Rechnungen oder Aufforderungen zur Geldüberweisung zu erkennen und zu einer starken Verteidigungslinie gegen diese zunehmenden Angriffe zu werden. - Setzen Sie Überwachungssoftware eindie Daten aus der gesamten Umgebung verarbeitet
Ein großes Problem in der modernen Cybersicherheit besteht darin, dass Unternehmen auf zu viele isolierte Tools angewiesen sind. Da sich BEC-Angriffe häufig herkömmlichen Sicherheitstools entziehen, benötigen Unternehmen Überwachungssoftware, die Daten aus verschiedenen Teilen der Umgebung erfassen und korrelieren kann, mit E-Mail-Anbietern zusammenarbeitet und Unternehmen schnell auf ungewöhnliche Aktivitäten aufmerksam machen kann.
Entdecken Sie, wie ein Security-Operations-Ansatz die Cyber-Abwehrmaßnahmen Ihres Unternehmens verändern kann.
Tauchen Sie tief in die aktuellen BEC-Daten ein, und erfahren Sie, wie Arctic Wolf einen Angriff im Fertigungssektor gestoppt hat.
