psdesign1 - Fotolia
BEC Fraud: Unternehmen im Visier von E-Mail-Betrügern
Über sehr gezielte E-Mail-Angriffe verleiten Cyberkriminelle Mitarbeiter zur Preisgabe von Daten oder gar zu direkten Zahlungsanweisungen. Die Attacken sind häufig gut getarnt.
Immer weniger Technik, immer mehr menschliche Schwächen adressieren – das ist zweifellos der Trend im Bereich der Cyberangriffe. Das erscheint angesichts immer besserer Qualität der Anwendungen und Betriebssysteme der einfachste Weg für Kriminelle, um an Geld, geistiges Eigentum oder persönliche Daten ihrer Opfer zu gelangen.
Besonders beliebt ist dabei E-Mail-Betrug, der auch als Business E-Mail Compromise (BEC-Fraud, auch als CEO-Betrugsmasche oder Enkeltrick 4.0 bekannt) bezeichnet wird. Diese Social-Engineering-Attacken sind dabei äußerst gezielt: Sie verwenden keine Anhänge oder URLs, werden nur in geringer Anzahl verteilt und imitieren Personen in Führungspositionen. Als reiner Text ohne irgendeine Form von Code sind sie von Antiviren-Software und Firewalls nicht zu entdecken. Mit diesen E-Mails werden Mitarbeiter von vermeintlichen Vorgesetzten angewiesen, Geld zu überweisen, Informationen über Geschäftsgeheimnisse oder persönliche Daten von Kollegen herauszugeben. Ein einzelner Betrugsfall kann unter Umständen etliche Millionen Euro Schaden verursachen.
Wie Unternehmen das Thema BEC-Fraud wahrnehmen, wurde in einer Studie untersucht. Die Umfrage hat dabei Unternehmen in Deutschland, den USA, Großbritannien, Frankreich und Australien adressiert. Die beste Nachricht zuerst: Deutsche Unternehmen sind seltener betroffen als in den anderen vier genannten Ländern. Die schlechte gleich anschließend: Gemeinsam mit Frankreich sind die Führungskräfte in Deutschland vielleicht zu sorglos im Umgang mit dieser Bedrohung. Immerhin befasst sich in den USA in 91 von 100 Unternehmen die Geschäftsführung mit der Problematik des Betrugsversuchs, in Deutschland sind es lediglich 77.
Und noch ein anderer Wert ist alarmierend: Deutschland ist Schlusslicht bei der Implementierung von Sicherheitsmaßnahmen zum Schutz vor E-Mail-Betrug. Zwar sind die Unternehmen überall auf der Welt eher zögerlich und weniger als die Hälfte der befragten Unternehmen setzt verfügbare Technologien, beispielsweise. E-Mail-Authentifizierung und -verifizierung, ein. Doch die Spanne ist groß: Am weitesten vorn lagen noch die USA mit Implementierungen bei 60 Prozent der Unternehmen. Das andere Extrem ist Deutschland, wo nur 32 Prozent der Befragten eine Implementierung vermelden konnten.
E-Mail-Verifizierung
Dabei stehen auf dem Markt längst Lösungen zur Verfügung, die genau dieses Problem ansprechen. Ein sehr wichtiger Aspekt ist an dieser Stelle die E-Mail-Verifizierung. Dabei geht es darum, bei E-Mails die Domäne des Absenders zu überprüfen, um festzustellen, ob diese vertrauenswürdig ist oder nicht. Dies ist notwendig, weil viele Cyberkriminelle so genanntes E-Mail-Domain-Spoofing verwenden, bei denen eine vertrauenswürdige Domäne nachgeahmt wird, indem beispielsweise lediglich im Namen die Reihenfolge zweiter Buchstaben vertauscht oder ein großes „O“ durch eine „0“ ersetzt wird. In der täglichen E-Mail-Flut, die bei manch einem dreistellige Werte erreicht, ist das dann schnell übersehen.
Zu den hier eingesetzten Techniken der E-Mail-Verifizierung gehören Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) sowie Domain-based Message Authentication, Reporting and Conformance (DMARC). Gemeinsam eingesetzt können diese Protokolle E-Mail-Domänen-Spoofing verhindern. Wie wichtig dies ist, wird klar, wenn man sich vergegenwärtigt, dass im Jahr 2017 ganze 93 Prozent der befragten Unternehmen mit Domänen-Spoofing-Attacken angegriffen wurden.
E-Mail-Inhalte und Links analysieren
Darüber hinaus sollten sich die Unternehmen aber weitere Gedanken zur Sicherheit machen. So sollten die Sicherheitslösungen auch in der Lage sein, die E-Mail-Inhalte zu erkennen und zu analysieren. Dabei geht es nicht um Code, den ein Virenscanner und die Firewall herausfiltern sollten, sondern um den Text. Anhand bestimmter Begriffe und Formulierungen sind moderne Cyber-Security-Systeme in der Lage, einen erheblichen Anteil potenzieller Bedrohungen zu erkennen und den Benutzer entsprechend zu warnen.
„Die Technik kann zwar einen sehr großen Teil dieser BEC-Betrugsversuche abwehren. Aber nur, wenn die Mitarbeiter über die Bedrohungen Bescheid wissen, können sie das verbleibende Restrisiko minimieren.“
Werner Thalmeier, Proofpoint
Was für Inhalte gilt, gilt auch gleichermaßen für Links, die in E-Mails enthalten sind. Empfehlenswert ist dabei, dass diese Überprüfung nicht nur einmalig – beim Empfang der E-Mail – stattfindet, sondern bei potenziell verdächtigen URLs auch noch in den ersten Stunden danach. Denn es kommt immer wieder vor, dass Kriminelle mit Schadcode infizierte Webseiten vorbereiten, dann Mails mit Links zu dieser Seite versenden, die schadhafte URL jedoch erst später online stellen, um so diejenigen Filter zu umgehen, die die URLs nur einmal beim Empfang der Mail überprüfen. Aber nachdem die manipulierte Website zu diesem Zeitpunkt nicht online ist, lässt sich einmaliges Filtern sehr einfach überlisten.
Mitarbeiter schulen und sensibilisieren
Moderne Lösungen können die Sicherheit im Unternehmen vor Betrugsversuchen erhöhen. Um eines kommen aber die Firmen, Ämter und Organisationen dennoch nicht herum: dem Sensibilisieren der Mitarbeiter. Denn die Technik kann zwar einen sehr großen Teil dieser BEC-Betrugsversuche abwehren. Aber nur, wenn die Mitarbeiter über die Bedrohungen Bescheid wissen, können sie das verbleibende Restrisiko minimieren.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
Über den Autor:
Werner Thalmeier ist Senior Director Systems Engineering EMEA bei Proofpoint.