Business Email Compromise (BEC) ist ein E-Mail-basierter Social-Engineering-Angriff, der darauf abzielt, seine Opfer zu betrügen. BEC-Angriffskampagnen umgehen oft die herkömmlichen E-Mail-Filter.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist E-Mail-Sicherheit?
So schützen Sie sich vor Phishing
E-Mail-Spoofing
Wie Sie Spam-E-Mails stoppen können
Was ist SMTP?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Das Kompromittieren von Geschäftsmails (Business Email Compromise, BEC) ist eine Art von Social-Engineering-Angriff, der über E-Mail erfolgt. Bei einem BEC-Angriff fälscht ein Angreifer eine E-Mail-Nachricht, um das Opfer dazu zu bringen, eine bestimmte Aktion durchzuführen – meistens die Überweisung von Geld auf ein Konto oder an einen Ort, den der Angreifer kontrolliert. BEC-Angriffe unterscheiden sich von anderen Arten von E-Mail-basierten Angriffen in einigen wichtigen Bereichen:
BEC-Angriffe sind besonders gefährlich, weil sie keine Malware, böswillige Links, gefährliche E-Mail-Anhänge oder andere Elemente enthalten, die ein E-Mail-Sicherheitsfilter erkennen könnte. E-Mails, die für BEC-Angriffe verwendet werden, enthalten in der Regel nur Text, was den Angreifern hilft, sie im normalen E-Mail Traffic zu tarnen.
BEC-E-Mails umgehen nicht nur E-Mail-Sicherheitsfilter, sondern sind auch so konzipiert, dass sie den Empfänger dazu verleiten, sie zu öffnen und aufgrund der darin enthaltenen Nachricht zu handeln. Angreifer nutzen schneiden die E-Mail durch Personalisierung auf das Zielunternehmen zu. Der Angreifer könnte sich als jemand ausgeben, mit dem das anvisierte Opfer regelmäßig per E-Mail korrespondiert. Einige BEC-Angriffe finden sogar mitten in einem bereits bestehenden E-Mail-Thread statt.
In der Regel gibt sich der Angreifer als eine Führungskraft im Unternehmen aus, um das Opfer zu motivieren, die böswillige Anfrage auszuführen.
Zu den Gründen, warum BEC-Angriffe so schwer zu erkennen sind, gehören folgende:
BEC-E-Mails bestehen in der Regel aus ein paar Zeilen Text und enthalten keine Links, Anhänge oder Bilder. In diesen wenigen Zeilen versuchen sie, die Zielperson dazu zu bringen, die gewünschte Aktion durchzuführen, sei es die Überweisung von Geldbeträgen auf ein bestimmtes Konto oder die Gewährung von nicht autorisiertem Zugriff auf geschützte Daten oder Systeme.
Weitere gemeinsame Elemente einer BEC-E-Mail können sein:
Ein Secure Email Gateway (SEG) ist ein E-Mail-Sicherheitsdienst, der zwischen E-Mail-Anbieter und Nutzer geschaltet ist. Er identifiziert und filtert potenziell böswillige E-Mails heraus, so wie eine Firewall böswilligen Traffic aus dem Netzwerk entfernt. SEGs bieten zusätzlichen Schutz zu den integrierten Sicherheitsmaßnahmen, die die meisten E-Mail-Anbieter bereits einsetzen (Gmail und Microsoft Outlook verfügen zum Beispiel bereits über einige grundlegende Schutzmaßnahmen).
Herkömmliche SEGs haben jedoch aus den oben beschriebenen Gründen Schwierigkeiten, gut konstruierte BEC-Kampagnen zu erkennen: geringes Volumen, Fehlen von offensichtlich böswilligen Inhalten, eine scheinbar legitime Quelle für die E-Mail usw.
Aus diesem Grund sind Nutzerschulungen und zusätzliche E-Mail-Sicherheitsmaßnahmen sehr wichtig, um das Kompromittieren von Geschäfts-E-Mails zu vereiteln.
Ungewöhnliche, unerwartete oder plötzliche Anfragen sind ein Zeichen für einen möglichen BEC-Angriff. Nutzer sollten potenzielle BEC-Nachrichten an die Sicherheitsteams melden. Sie können sich auch bei der angeblichen Quelle der E-Mail erkundigen.
Stellen Sie sich vor, Buchhalter Bob erhält eine E-Mail von CFO Alice:
Hallo Bob,
ich muss einem Kunden Gutscheine für seine Lieblings-Pizzeria schicken. Bitte kaufen Sie Pizzagutscheine im Wert von 10.000 € und überweisen Sie diese an die E-Mail-Adresse dieses Kunden: customer@example.com
Bitte erledigen Sie dies rasch. Die Sache ist SEHR zeitkritisch. Wir möchten diesen Kunden nicht verlieren.
Ich steige jetzt in den Flieger und werde in den nächsten Stunden nicht erreichbar sein.
-Alice
Diese Anfrage kommt Bob ungewöhnlich vor: Pizzagutscheine an Kunden zu liefern, ist normalerweise nicht die Aufgabe der Buchhaltungsabteilung. Er ruft Alice an, nur für den Fall, dass sie noch nicht „in den Flieger gestiegen“ ist. Sie geht ans Telefon und weiß nichts von der Anfrage, die sie angeblich gerade an ihn geschickt hat. Sie ist auch nicht an Bord eines Flugzeugs. Bob hat soeben einen BEC-Angriff erkannt.
Einige E-Mail-Sicherheitsanbieter durchforsten das Internet im Voraus, um Command-and-Control-Server (C&C), gefälschte Websites und andere Elemente zu erkennen, die Angreifer in einer BEC-Kampagne oder einem Phishing-Angriff verwenden. Dazu müssen Web-Crawler-Bots eingesetzt werden, um große Teile des Internets zu durchforsten (Suchmaschinen verwenden ebenfalls Web-Crawler-Bots, allerdings für andere Zwecke). Die frühzeitige Identifizierung der Angriffsinfrastruktur ermöglicht es dem Anbieter, die illegalen E-Mails direkt beim Versand zu blockieren, auch wenn sie andernfalls durch die Sicherheitsfilter gelangen könnten.
Maschinelles Lernen ist eine Möglichkeit, den Prozess der Vorhersage von Ergebnissen auf der Grundlage eines großen Datensatzes zu automatisieren. Es kann verwendet werden, um ungewöhnliche Aktivitäten zu erkennen – Cloudflare Bot Management verwendet beispielsweise maschinelles Lernen als eine Methode zur Identifizierung von Bot-Aktivitäten. Um BEC-Angriffe anzuhalten, kann maschinelles Lernen helfen, ungewöhnliche Anfragen, untypische Muster im E-Mail Traffic und andere Anomalien zu erkennen.
Da BEC-Angreifer oft versuchen, auf einen bestehenden Thread zu antworten, um ihren E-Mails Legitimität zu verleihen, überwachen einige Anbieter von E-Mail-Sicherheitslösungen Threads, um zu sehen, ob sich die „von"- oder „an"-E-Mails innerhalb eines Threads plötzlich ändern.
Dies bedeutet, dass nach Schlüsselwörtern in E-Mails gesucht wird, um herauszufinden, über welche Themen eine bestimmte Gruppe von E-Mail-Kontakten normalerweise korrespondiert. So könnte man beispielsweise verfolgen, mit wem eine bestimmte Person in einem Unternehmen über Geldtransfers, Kundenbeziehungen oder andere Themen korrespondiert. Wenn es in den von Bob empfangenen E-Mails (aus dem obigen Beispiel) selten um Kundenbeziehungen geht, könnte die Aufnahme von Phrasen wie „ein Kunde“ und „diesen Kunden verlieren“ in der E-Mail von „Alice“ ein Signal dafür sein, dass die E-Mail Teil eines BEC-Angriffs ist.
Cloudflare Area 1 Email Security wurde entwickelt, um BEC-Angriffe zu erkennen, die die meisten SEGs nicht erkennen können. Dazu verwendet es viele der oben beschriebenen Methoden: Durchsuchen des Internets nach Angriffsinfrastrukturen, maschinelles Lernen, Analyse von E-Mail-Threads, Analyse von E-Mail-Inhalten und andere Methoden.
E-Mail ist nach wie vor einer der größten Angriffsvektoren, weshalb die E-Mail-Sicherheit für Unternehmen heute immer wichtiger wird. Erfahren Sie mehr darüber, wie Cloudflare Area 1 Email Security funktioniert