Was ist das Kompromittieren von Geschäftsmails (BEC)?

Business Email Compromise (BEC) ist ein E-Mail-basierter Social-Engineering-Angriff, der darauf abzielt, seine Opfer zu betrügen. BEC-Angriffskampagnen umgehen oft die herkömmlichen E-Mail-Filter.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Kompromittierung von Geschäftsmails (BEC) definieren
  • Übliche Merkmale von BEC-E-Mails auflisten
  • Methoden zum Anhalten von BEC-Kampagnen beschreiben

Link zum Artikel kopieren

Was ist das Kompromittieren von Geschäftsmails (BEC)?

Das Kompromittieren von Geschäftsmails (Business Email Compromise, BEC) ist eine Art von Social-Engineering-Angriff, der über E-Mail erfolgt. Bei einem BEC-Angriff fälscht ein Angreifer eine E-Mail-Nachricht, um das Opfer dazu zu bringen, eine bestimmte Aktion durchzuführen – meistens die Überweisung von Geld auf ein Konto oder an einen Ort, den der Angreifer kontrolliert. BEC-Angriffe unterscheiden sich von anderen Arten von E-Mail-basierten Angriffen in einigen wichtigen Bereichen:

  1. Sie enthalten keine Malware, keine böswilligen Links und keine E-Mail-Anhänge
  2. Sie zielen auf bestimmte Personen innerhalb von Organisationen ab
  3. Sie sind auf das anvisierte Opfer zugeschnitten und erfordern oft eine vorherige Recherche über die betreffende Organisation

BEC-Angriffe sind besonders gefährlich, weil sie keine Malware, böswillige Links, gefährliche E-Mail-Anhänge oder andere Elemente enthalten, die ein E-Mail-Sicherheitsfilter erkennen könnte. E-Mails, die für BEC-Angriffe verwendet werden, enthalten in der Regel nur Text, was den Angreifern hilft, sie im normalen E-Mail Traffic zu tarnen.

BEC-E-Mails umgehen nicht nur E-Mail-Sicherheitsfilter, sondern sind auch so konzipiert, dass sie den Empfänger dazu verleiten, sie zu öffnen und aufgrund der darin enthaltenen Nachricht zu handeln. Angreifer nutzen schneiden die E-Mail durch Personalisierung auf das Zielunternehmen zu. Der Angreifer könnte sich als jemand ausgeben, mit dem das anvisierte Opfer regelmäßig per E-Mail korrespondiert. Einige BEC-Angriffe finden sogar mitten in einem bereits bestehenden E-Mail-Thread statt.

In der Regel gibt sich der Angreifer als eine Führungskraft im Unternehmen aus, um das Opfer zu motivieren, die böswillige Anfrage auszuführen.

Warum sind BEC-Angriffe so schwer zu erkennen?

Zu den Gründen, warum BEC-Angriffe so schwer zu erkennen sind, gehören folgende:

  • Sie fallen in geringem Umfang an: Ungewöhnliche Spitzen im E-Mail-Traffic können E-Mail-Sicherheitsfilter auf einen laufenden Angriff aufmerksam machen. BEC-Angriffe sind jedoch extrem klein und bestehen oft nur aus einer oder zwei E-Mails. Sie können durchgeführt werden, ohne eine Spitze im E-Mail Traffic zu erzeugen. Aufgrund dieses geringen Volumens kann eine BEC-Kampagne auch regelmäßig ihre Quell-IP-Adresse ändern, was es schwieriger macht, die Kampagne zu blockieren.
  • Sie verwenden eine legitime Quelle oder Domain: Groß angelegte Phishing-Angriffe kommen oft von IP-Adressen, die schnell auf der Blockierliste landen. BEC-Angriffe können, da sie nur ein geringes Volumen haben, IP-Adressen verwenden, die einen neutralen oder guten Ruf als Quelle haben. Sie verwenden auch E-Mail Domain Spoofing, um den Anschein zu erwecken, dass die E-Mails von einer echten Person stammen.
  • Sie können aber tatsächlich von einem legitimen E-Mail-Konto stammen: BEC-Angriffe können ein zuvor kompromittiertes E-Mail-Postfach nutzen, um ihre böswilligen Nachrichten im Namen einer Person ohne deren Wissen zu versenden, so dass die E-Mail in Wirklichkeit von einer legitimen E-Mail-Adresse stammen kann. (Dies erfordert einen deutlich höheren Aufwand auf Seiten des Angreifers, aber ein solcher Aufwand ist charakteristisch für BEC-Kampagnen).
  • Sie bestehen die DMARC-Prüfungen: Domain-based Message Authentification, Reporting and Conformance (DMARC) ist ein Protokoll zur Identifizierung von E-Mails, die von einer Domain ohne Autorisierung gesendet werden. Es soll helfen, die Imitation einer Domain zu verhindern. BEC-Kampagnen können DMARC aus mehreren Gründen umgehen: 1) Unternehmen haben DMARC möglicherweise nicht so konfiguriert, dass E-Mails strikt blockiert werden; 2) Angreifer können E-Mails von einer legitimen Quelle senden.

Was enthalten BEC-E-Mails normalerweise?

BEC-E-Mails bestehen in der Regel aus ein paar Zeilen Text und enthalten keine Links, Anhänge oder Bilder. In diesen wenigen Zeilen versuchen sie, die Zielperson dazu zu bringen, die gewünschte Aktion durchzuführen, sei es die Überweisung von Geldbeträgen auf ein bestimmtes Konto oder die Gewährung von nicht autorisiertem Zugriff auf geschützte Daten oder Systeme.

Weitere gemeinsame Elemente einer BEC-E-Mail können sein:

  • Zeitliche Sensibilität: Wörter wie „dringend", „schnell", „Erinnerung", „wichtig“ und „bald“ tauchen häufig in BEC-E-Mails auf, vor allem in der Betreffzeile, um den Empfänger dazu zu bringen, so schnell wie möglich zu handeln – bevor er merkt, dass er das Ziel eines Betrugs sein könnte.
  • Absender mit Autorität: BEC-Angreifer geben sich als eine wichtige Person im Unternehmen aus, z. B. als CFO oder CEO.
  • Gründliche Identifizierung des Absenders: BEC-E-Mails können sich als legitime Absender ausgeben (z. B. als CFO eines Unternehmens), indem sie die E-Mail-Adresse fälschen, den Schreibstil der Person imitieren oder andere Taktiken anwenden, um ihr Opfer zu täuschen.
  • Sie geben einen Grund für die Anfrage an: Um einer ungewöhnlichen Aufforderung Legitimität zu verleihen, wird in einer BEC-E-Mail manchmal ein Grund angegeben, warum die Aktion notwendig ist. Dies verleiht der Aufforderung auch mehr Dringlichkeit.
  • Spezifische Anweisungen: Die Angreifer geben klare Anweisungen, z. B. wohin das Geld gehen und wie viel gesendet werden soll – ein konkreter Betrag wirkt eher legitim. Die Angreifer können diese Informationen in der ersten E-Mail oder in einer Folge-E-Mail angeben, wenn das Opfer antwortet.
  • Die Anweisung, den angeblichen Absender nicht zu kontaktieren: Wenn das beabsichtigte Opfer die vermeintliche Quelle der BEC-E-Mail über einen anderen Kommunikationskanal erreichen könnte, wäre es möglich, die E-Mail als Fälschung zu identifizieren. Um dies zu verhindern, weisen die Angreifer das Opfer oft an, den Absender nicht zu kontaktieren oder die Anfrage bei einer anderen Person zu bestätigen, vielleicht im Namen des schnellen Handelns.

Können Secure Email Gateways (SEGs) BEC-Kampagnen blockieren?

Ein Secure Email Gateway (SEG) ist ein E-Mail-Sicherheitsdienst, der zwischen E-Mail-Anbieter und Nutzer geschaltet ist. Er identifiziert und filtert potenziell böswillige E-Mails heraus, so wie eine Firewall böswilligen Traffic aus dem Netzwerk entfernt. SEGs bieten zusätzlichen Schutz zu den integrierten Sicherheitsmaßnahmen, die die meisten E-Mail-Anbieter bereits einsetzen (Gmail und Microsoft Outlook verfügen zum Beispiel bereits über einige grundlegende Schutzmaßnahmen).

Herkömmliche SEGs haben jedoch aus den oben beschriebenen Gründen Schwierigkeiten, gut konstruierte BEC-Kampagnen zu erkennen: geringes Volumen, Fehlen von offensichtlich böswilligen Inhalten, eine scheinbar legitime Quelle für die E-Mail usw.

Aus diesem Grund sind Nutzerschulungen und zusätzliche E-Mail-Sicherheitsmaßnahmen sehr wichtig, um das Kompromittieren von Geschäfts-E-Mails zu vereiteln.

Was sollten Nutzer tun, wenn sie eine BEC-Kampagne vermuten?

Ungewöhnliche, unerwartete oder plötzliche Anfragen sind ein Zeichen für einen möglichen BEC-Angriff. Nutzer sollten potenzielle BEC-Nachrichten an die Sicherheitsteams melden. Sie können sich auch bei der angeblichen Quelle der E-Mail erkundigen.

Stellen Sie sich vor, Buchhalter Bob erhält eine E-Mail von CFO Alice:


Hallo Bob,

Ich muss einem Kunden einige Geschenkkarten für sein Lieblings-Pizza-Restaurant schicken. Bitte kaufen Sie Pizzagutscheine im Wert von 10.000 € und überweisen Sie sie an die E-Mail-Adresse dieses Kunden: customer@example.com

Bitte erledigen Sie dies rasch. Die Sache ist SEHR zeitkritisch. Wir möchten diesen Kunden nicht verlieren.

Ich steige jetzt in den Flieger und werde in den nächsten Stunden nicht erreichbar sein.

- Alice

Diese Anfrage kommt Bob ungewöhnlich vor: Pizzagutscheine an Kunden zu liefern, ist normalerweise nicht die Aufgabe der Buchhaltungsabteilung. Er ruft Alice an, nur für den Fall, dass sie noch nicht „in den Flieger gestiegen“ ist. Sie geht ans Telefon und weiß nichts von der Anfrage, die sie angeblich gerade an ihn geschickt hat. Sie ist auch nicht an Bord eines Flugzeugs. Bob hat soeben einen BEC-Angriff erkannt.

Welche anderen technischen Maßnahmen können BEC-Angriffe erkennen und abwehren?

Vorausschauende Erkennung von Phishing-Infrastrukturen

Einige E-Mail-Sicherheitsanbieter durchforsten das Internet im Voraus, um Command-and-Control-Server (C&C), gefälschte Websites und andere Elemente zu erkennen, die Angreifer in einer BEC-Kampagne oder einem Phishing-Angriff verwenden. Dazu müssen Web-Crawler-Bots eingesetzt werden, um große Teile des Internets zu durchforsten (Suchmaschinen verwenden ebenfalls Web-Crawler-Bots, allerdings für andere Zwecke). Die frühzeitige Identifizierung der Angriffsinfrastruktur ermöglicht es dem Anbieter, die illegalen E-Mails direkt beim Versand zu blockieren, auch wenn sie andernfalls durch die Sicherheitsfilter gelangen könnten.

Analyse durch maschinelles Lernen

Maschinelles Lernen ist eine Möglichkeit, den Prozess der Vorhersage von Ergebnissen auf der Grundlage eines großen Datensatzes zu automatisieren. Es kann verwendet werden, um ungewöhnliche Aktivitäten zu erkennen – Cloudflare Bot Management verwendet beispielsweise maschinelles Lernen als eine Methode zur Identifizierung von Bot-Aktivitäten. Um BEC-Angriffe anzuhalten, kann maschinelles Lernen helfen, ungewöhnliche Anfragen, untypische Muster im E-Mail Traffic und andere Anomalien zu erkennen.

Analyse von E-Mail-Threads

Da BEC-Angreifer oft versuchen, auf einen bestehenden Thread zu antworten, um ihren E-Mails Legitimität zu verleihen, überwachen einige Anbieter von E-Mail-Sicherheitslösungen Threads, um zu sehen, ob sich die „von"- oder „an"-E-Mails innerhalb eines Threads plötzlich ändern.

Verarbeitung natürlicher Sprache

Dies bedeutet, dass nach Schlüsselwörtern in E-Mails gesucht wird, um herauszufinden, über welche Themen eine bestimmte Gruppe von E-Mail-Kontakten normalerweise korrespondiert. So könnte man beispielsweise verfolgen, mit wem eine bestimmte Person in einem Unternehmen über Geldtransfers, Kundenbeziehungen oder andere Themen korrespondiert. Wenn es in den von Bob empfangenen E-Mails (aus dem obigen Beispiel) selten um Kundenbeziehungen geht, könnte die Aufnahme von Phrasen wie „ein Kunde“ und „diesen Kunden verlieren“ in der E-Mail von „Alice“ ein Signal dafür sein, dass die E-Mail Teil eines BEC-Angriffs ist.

Wie erkennt Cloudflare Area 1 Email Security BEC?

Cloudflare Area 1 Email Security wurde entwickelt, um BEC-Angriffe zu erkennen, die die meisten SEGs nicht erkennen können. Dazu verwendet es viele der oben beschriebenen Methoden: Durchsuchen des Internets nach Angriffsinfrastrukturen, maschinelles Lernen, Analyse von E-Mail-Threads, Analyse von E-Mail-Inhalten und andere Methoden.

E-Mail ist nach wie vor einer der größten Angriffsvektoren, weshalb die E-Mail-Sicherheit für Unternehmen heute immer wichtiger wird. Erfahren Sie mehr darüber, wie Cloudflare Area 1 Email Security funktioniert