Betrugsfalls

Betrugsmails BEC | Wie Du Dich davor schützen kannst

/in /von

Betrugsmails sind schon seit Jahren im Umlauf und stellen eine altbewährte Taktik dar, um Zugriff zu internen Unternehmensdaten zu erhalten. Tatsächlich haben Betrugsmails im vergangenen Jahr mehr Verluste verursacht als jede andere Bedrohung. Wie Du Dich davor schützen kannst und worauf Unternehmen achten sollten, um künftige Angriffe zu verhindern, erzählen wir Dir in diesem Blogartikel.

Nicht ohne Grund wird immer gesagt, dass Menschen das schwächste Glied in einem Unternehmen darstellen. Menschen handeln impulsiv und können ohne Sensibilisierung gar nicht wissen, welche Bedrohungen im Netz auf einen warten. Das wissen Cyberkriminelle nur zu gut und nutzen deswegen diese Schwachstelle für unzählige Angriffe aus. Oft spricht man von „Social Engineering“. Doch was genau sagt dieser Begriff aus?

Social Engineering | Definition

Als Social Engineering wird ein Verfahren definiert, bei welchem der Angreifer durch die Ausnutzung von menschlichen Komponenten, versucht an persönliche und sensible Informationen, wie in etwa interne Unternehmensdaten, zu gelangen. Einfach gesagt: Social Engineering ist der Versuch Menschen so zu manipulieren, dass diese sensiblen Informationen offen legen oder unüberlegt handeln. Der Angriff erfolgt dabei auf eine gezielte Person bzw.  einen Mitarbeiter. In den meisten Fällen gibt sich der Angreifer als Vorgesetzten oder ranghöheren Kollegen aus, um Druck auf das Opfer ausüben zu können. Im Grunde kann man einen Social Engineering Angriff mit einem Postboten vergleichen, der sich als solcher ausgibt, um ins Haus zu gelangen – nur findet Social Engineering eben im Web statt.

Gefälschte Geschäfts-E-Mails |Business E-Mail Compromise

In der Arbeitswelt versuchen Cyberkiminelle mit „Business E-Mail Compromise“ Mitarbeiter in die Enge zu treiben. Das Ziel ist es dabei mit sogenannten Phishing-Angriffen an interne Unternehmensdaten zu kommen, um im Nachhinein hohe Geldsummen zu verlangen. Doch wie funktioniert ein solcher Angriff?

BEC Ablauf

Die Digitalisierung schreitet immer weiter voran und die Technik wird immer schneller erneuert. Dadurch haben Cyberkriminelle, im Vergleich zu früher, viele neue Taktiken, um möglichst schnell und ohne viel Aufwand in das Unternehmensnetzwerk zu kommen.

Im Grunde genommen ist BEC eine abgewandelte Art von einem Social Engineering Angriff:

  1. Das Opfer erhält eine E-Mail von einem vermeintlichen Geschäftsführer oder Lieferanten.
  2. Die E-Mail beinhaltet eine dringende Geldüberweisung, die der Mitarbeiter schnellstmöglich tätigen soll.
  3. Cyberkriminelle versuchen durch Zeitdruck eine schnelle Überweisung herbeizuführen

Du fragst Dich bestimmt gerade, wie so ein simpler Angriff so effizient sein kann? Leider wird das Opfer so unter Druck gesetzt, dass in den meisten Fällen gar keine Zeit zum Nachdenken bleibt. Die Überweisung wird getätigt und schon haben die Cyberkriminellen gewonnen. Oft wird auch einfach ein Phishing-Angriff ausgeführt, mit dem Ziel in den nächsten Wochen oder Monaten Informationen über Lieferanten oder Kunden zu sammeln. Anschließend erhalten Mitarbeiter eine Rechnung mit gefälschten Bankdaten, um bestimmte Produkte oder Waren zu bezahlen. Da es sich hierbei um eine ausgeklügelte Taktik handelt, ist es für Unternehmen sehr sehr schwer, eine solche Bedrohung zu erkennen. Wir wollen wir Dir trotzdem ein paar Tipps an die Hand geben.

So schütze ich mich vor einem BEC-Angriff

  • E-Mail-Filter oder Scanner

Mit dieser Maßnahme kannst Du verdächtige E-Mails erkennen. Du kriegst eine Meldung, die Dich bereits stutzig macht.

  • Zahlungsaufforderungen überprüfen

Wenn Du Dir bei einer Zahlungsaufforderung nicht sicher bist, dann solltest Du lieber einmal zu viel als zu wenig bei der zuständigen Person nachfragen. Das kann Dich im schlimmsten Fall vor einem Angriff bewahren.

  • Mitarbeiter-Sensibilisierung

Eine der wichtigsten Maßnahmen ist es, alle Mitarbeiter regelmäßig für BEC-, Social Engineering und Phishing-Themen zu sensibilisieren und zu schulen.

  • Große Zahlungen von mindestens 2 Mitarbeitern ausführen lassen

Somit verhinderst Du, dass a) Zahlungen unüberlegt ausgeführt werden und b) Mitarbeiter unter Druck gesetzt werden können.