beazley.security
©2025 Beazley Security. Alle Rechte vorbehalten
Business Email Compromise (BEC)
Best Practices für die Prävention
Start
EN
FR
Was ist ein Business Email Compromise?
Bei einem Business Email Compromise (BEC) kommen in der Regel Social-Engineering-Techniken zum Einsatz. In den meisten Fällen verwenden Cyberkriminelle gestohlene E-Mail-Anmeldedaten oder eine gefälschte E-Mail-Adresse, die wie eine vertrauenswürdige Adresse aussieht.
Ziel ist es, einen Mitarbeiter dazu zu bringen, die üblichen Verfahren zu umgehen, um sich gewollten Zugang zu wertvollen Assets zu verschaffen.
Wir bieten unseren Kunden Erfahrung, Schulung und die erforderlichen technologischen Ressourcen, um das Risiko eines finanziellen Verlusts oder eines Datenabflusses durch einen BEC zu verringern.
Der Cyberkriminelle kann Geld stehlen, indem er elektronische Zahlungen fehlleitet. Oder er kann sensible Daten wie Steuer- oder Gehaltsinformationen entwenden. Möglicherweise überzeugt er auch den Mitarbeiter, einen bösartigen Link oder Anhang zu öffnen, ein Kennwort preiszugeben oder den Zugriff zu genehmigen.
Wie es zu einem BEC kommen kann
Häufige Formen von BEC
Wie man sich vor BEC schützt
Wie können Sie das Risiko finanzieller Verluste verringern?
Kontakt
Ein Cyberkrimineller führt einen Phishing-Angriff durch, indem er eine E-Mail-Adresse verwendet, die einer vertrauenswürdigen Quelle sehr ähnlich ist, und sich oft als rechtmäßiges Unternehmen oder als Privatperson ausgibt. Um die Glaubwürdigkeit zu erhöhen, können sie auch eine gefälschte Website oder E-Mail-Domäne erstellen, die fast identisch mit der echten aussieht, mit subtilen Unterschieden, die auf den ersten Blick schwer zu erkennen sind, um das Opfer zu täuschen, dass die Kommunikation authentisch ist.
Domänen- und E-Mail-Spoofing
Gestohlene Zugangsdaten
Mit gestohlenen Zugangsdaten zu E-Mail-Konten kann der Cyberkriminelle alle Kommunikationsverläufe im Posteingang einsehen. Sich als eine bestimmte Person auszugeben wird dadurch einfach. Der Cyberkriminelle kann auch andere Mitarbeiter ausforschen, Mailverläufe mitlesen, insbesondere über Rechnungen oder Zahlungen und Schritte unternehmen, um seine Aktivitäten zu verbergen.
Das Vertrauen des Opfers ausnutzen
Nachdem der Cyberkriminelle Vertrauen aufgebaut hat, kann er den Benutzer durch eine Vielzahl von Social-Engineering-Methoden dazu bringen, die normalen Verfahren und Sicherheitsmaßnahmen zu umgehen. Die Ziele dieser Angriffe sind häufig in der Personal- oder Finanzabteilung tätig oder befugt, die Überweisung großer Geldsummen zu genehmigen (insbesondere in kleineren Unternehmen).
Die Kompromittierung von Geschäfts-E-Mails ist ein gezielter Cyberangriff, bei dem sich Bedrohungsakteure als vertrauenswürdige Kontakte wie Führungskräfte, Lieferanten oder Partner ausgeben, um Mitarbeiter zur Überweisung von Geld, zur Freigabe sensibler Daten oder zur Gewährung von Zugang zu verleiten. Diese Betrügereien sind oft zeitlich auf reale Geschäftsaktivitäten abgestimmt und daher schwer zu erkennen. Im Folgenden werden die gängigsten Methoden der Angreifer vorgestellt.
CEO fraud
Der Cyberkriminelle gibt sich als Vorstand aus und weist den Mitarbeiter an, eine sofortige Zahlung im Rahmen einer vertraulichen Transaktion zu veranlassen, etwa für eine Übernahme oder die Beilegung eines Rechtsstreits.
Betrügerische Anweisungen
Umgeleitete Gehaltszahlungen
Manipulation von Rechnungen
Darlehensbetrug
Dringende Aufforderungen
Der Cyberkriminelle gibt sich als Dienstleister oder Lieferant aus und weist Mitarbeiter an, die Zahlungsdaten für Überweisungen zu ändern, damit das Geld auf ein vom Cyberkriminellen kontrolliertes Konto überwiesen wird. Dienstleistungsunternehmen sind besonders anfällig für Vorfälle, bei denen sich der Cyberkriminelle als Beteiligter an einem Immobilienverkauf oder einer anderen Transaktion ausgibt, um Zahlungen umzuleiten.
Der Cyberkriminelle weist einen Mitarbeiter der Personalabteilung an, die Bankdaten zur Überweisung des Gehalts eines Mitarbeiters zu ändern.
Der Cyberkriminelle kann sich als Dienstleister oder Lieferant ausgeben und gefälschte Rechnungen senden, um Zahlungen umzuleiten oder Rückerstattungen für kürzlich abgeschlossene Transaktionen zu verlangen.
Der Cyberkriminelle gibt sich unter Umständen gleich als mehrere Mitarbeiter aus und nimmt dann mehrere große Kredite in deren Namen auf, wobei die Verluste im sechsstelligen Bereich liegen können.
Andere häufige Formen von BEC sind dringende Aufforderungen zur Übermittlung sensibler Daten, wie z. B. Steuererklärungen für Mitarbeiter, oder zum Kauf von Geschenkgutscheinen, was besonders bei kleineren Unternehmen häufig vorkommt.
Die Kompromittierung von Geschäfts-E-Mails kann verschiedene Formen annehmen, die alle darauf abzielen, Vertrauen und Dringlichkeit zu manipulieren. Im Folgenden werden die häufigsten Taktiken von Angreifern beschrieben.
Die Mitarbeiter sind die erste Verteidigungslinie
Schulen Sie Ihre Mitarbeiter in Erkennung und Abwehr von E-Mail-Betrug: Ungewöhnliche Anfragen kritisch prüfen, Out-of-Band-Verifizierungen nutzen und Versuche von Cyberkriminellen, die Multifaktor-Authentifizierung (MFA) zu umgehen, erkennen und abwehren.
Anfragen überprüfen
Schulen Sie Ihre Mitarbeiter in Bezug auf Verfahren für autorisierte Anfragen. Aufforderungen zu Änderung von Zahlungsdaten oder zur Übermittlung sensibler Daten sollten mit einer Out-of-Band-Verifizierung überprüft werden: Vertrauen Sie nicht den Kontaktinformationen, die der Cyberkriminelle übermittelt.
Vermeiden Sie Passwort-Recycling
Schulen Sie die Mitarbeiter zur Wahl guter Passwörter, so dass nicht die gleichen Passwörter für verschiedene Konten genutzt werden. Verwenden Sie nicht dasselbe Passwort für verschiedene Arbeitsanwendungen oder für berufliche und private Konten. Die Verwendung eines Passwort-Managers macht es einfacher, sichere und eindeutige Passwörter für jedes Konto zu haben.
Erkennen von Phishing-E-Mails und BEC-Versuchen
Schulen Sie Ihre Mitarbeiter darin, gefälschte Domain-Namen zu erkennen und sich nicht von Subdomains verwirren zu lassen. Achten Sie auf E-Mails mit ungewöhnlichen Forderungen, insbesondere wenn sie ein Gefühl der Dringlichkeit oder Geheimhaltung vermitteln.
Verbessern der E-Mail-Sicherheit
Eine ordnungsgemäße Absicherung von E-Mail-Konten und eine bessere Erkennung von Phishing trägt zum Schutz vor E-Mail-Betrug bei.
Phishing-resistente MFA
Nicht alle Formen der MFA (Multifaktor-Authentifizierung) sind gleich sicher. Die MFA sollte so konfiguriert werden, dass sie vor Social-Engineering-Angriffen schützt. Einmal-Passcodes und Push-Benachrichtigungen bieten bei derartigen Angriffen keinen umfassenden Schutz. FIDO2-Hardware-Tokens haben sich als sicherer erwiesen. Blockieren Sie veraltete E-Mail-Protokolle, die keine moderne Authentifizierung unterstützen.
Verringern Sie die Gefährdung durch Phishing-E-Mails
Setzen Sie Maßnahmen um, die den Umgang mit verdächtigen E-Mails verändern könnten (SPF, DKIM, DMARC). Ziehen Sie in Erwägung, E-Mails von neuen Domains zu blockieren, die möglicherweise von Cyberkriminellen für das Phishing eingerichtet wurden. Installieren Sie die erforderlichen Patches für E-Mail-Server vor Ort, um Cyberkriminellen des Leben schwerer zu machen.
Email-Dienste aktiv auf Kontoübernahmeversuche überwachen
Ausbleibende Zahlungen werden möglicherweise erst nach 45 oder 60 Tagen bemerkt, daher ist es wichtig, früher auf verdächtige Anzeichen zu achten.
Anmeldeversuche beschränken
Legen Sie einen Alarm für mehrere unbeantwortete MFA-Aufforderungen fest, um MFA-Müdigkeit zu vermeiden. Sie können eine Zugangsrichtlinie implementieren, sodass nach 5 oder 10 unbeantworteten Versuchen eine Sperrung erfolgt.
Überwachen Sie Änderungen an Protokoll- und Konfigurationseinstellungen
Ungewöhnliche Änderungen bestehender Regeln (etwa im Zusammenhang mit dem RSS-Ordner) oder neue Regeln für Weiterleitungen an externe Stellen können erste Anzeichen für Aktivitäten zur Kompromittierung geschäftlicher E-Mails sein.
Sensibilisierung und Vorbereitung sind der Schlüssel zum Erfolg
Es gibt zwar keine Patentrezepte, aber die Kenntnis der Risiken, die regelmäßige Schulung der Mitarbeiter und klar definierte Richtlinien für bestimmte Verhaltensweisen sind wichtige Schritte zur Verhinderung von BECEreignissen. Darüber hinaus können Tools und Technologien dabei helfen, verdächtige Aktivitäten zu erkennen und herauszufiltern, um potenzielle Risiken zu minimieren, bevor es zu menschlichen Interaktionen kommt.
Ein Out-of-Band-Verifizierungsverfahren einrichten, um die Identität der Person, die eine Überweisung anfordert, zu bestätigen. Erfolgt die Anforderung per E-Mail, rufen Sie die Person an und sprechen Sie mit ihr über eine vorher festgelegte Telefonnummer, um eine mündliche Bestätigung zu erhalten. Erfolgt die Anforderung per Telefon oder Fax, dann bestätigen Sie sie per E-Mail mit einer als korrekt bekannten E-Mail-Adresse. Antworten Sie nicht auf die E-Mail und verwenden Sie nicht die in der E-Mail angegebene Telefonnummer zur „Verifizierung“. Handelt es sich um einen Betrugsversuch, hat der Kriminelle auch falsche Kontaktinformationen angegeben. Für Mitarbeiter, die häufig reisen und befugt sind, Geldtransfers zu beantragen, sollte ein Verfahren zur Bestätigung der Anträge eingerichtet werden. Richten Sie z. B. einen vorgegebenen Code ein, den der Antrag enthalten muss – einen Code, der im Netz nicht dokumentiert ist. Bieten Sie regelmäßige Schulungen zur Betrugsbekämpfung an, in denen Mitarbeiter lernen, wie sie Phishing und Social-Engineering-Betrug erkennen und vermeiden können. Begrenzen Sie die Anzahl der Mitarbeiter, die befugt sind, elektronische Überweisungen einzureichen oder zu genehmigen. Führen Sie doppelte Genehmigungen für finanzielle Transaktionen ein. Die beiden für die doppelten Genehmigungen verantwortlichen Parteien sollten nicht in einem hierarchischen Verhältnis zueinander stehen, da dies die Wirksamkeit des Verfahrens untergraben wird. Implementieren Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff auf Ihr E-Mail-System. Entwickeln Sie schriftliche Verfahren, falls noch nicht vorhanden. Überprüfen Sie regelmäßig Ihre schriftlichen Verfahren und Prozesse, um sicherzustellen, dass sie mit den sich ändernden Social-Engineering-Techniken Schritt halten.
Schulen Sie Ihre Mitarbeiter darin, worauf sie achten müssen und wie sie Anforderungen überprüfen können
Schulen Sie Mitarbeiter in Ihrem Out-of-Band-Verifizierungsprozess Wenn ein Lieferant Änderungen an seinen Kontodaten anfordert (einschließlich, aber nicht beschränkt auf Bankleitzahlen, Kontonummern, Telefonnummern oder Kontaktinformationen): Bestätigen Sie alle Anforderungen durch einen direkten Anruf des Auftragnehmers oder Lieferanten. Achten Sie darauf, dass Sie eine Telefonnummer verwenden, die der Auftragnehmer oder Lieferant vor Eingang der Anforderung angegeben hat. Bevor Sie Änderungen vornehmen, sollten Sie den Eingang der Anforderung bestätigen, und zwar an eine andere Person als die, die den die Anforderung gestellt hat. Lassen Sie alle Anforderungen von einem Vorgesetzten oder einem nächsthöheren Genehmiger überprüfen, bevor Sie Änderungen vornehmen. Wenn die Anforderung von einem Auftragnehmer stammt, prüfen Sie, ob sich die Geschäftspraktiken geändert haben: Wurden frühere Rechnungen per Post verschickt, aber die neue Rechnung wurde per E-Mail verschickt? Wurden frühere Zahlungen per Scheck getätigt und jetzt wird elektronische Überweisung angefordert? Hat ein aktueller Geschäftskontakt darum gebeten, über seine persönliche E-Mail-Adresse kontaktiert zu werden, obwohl die gesamte bisherige offizielle Korrespondenz über die E-Mail-Adresse des Unternehmens lief? Unterscheidet sich die Adresse oder das Bankkonto, an das die Zahlung zu senden ist, von früheren Zahlungen an diesen Auftragnehmer? Seien Sie misstrauisch bei kleinen Änderungen von E-Mail-Adressen, die legitime E-Mail-Adressen imitieren: Zum Beispiel .co vs. .com, abc-company.com vs. abc_company.com, oder hijkl.com vs. hljkl.com. Leiten Sie alle verdächtigen Fälle zur Überprüfung an Informationssicherheit oder IT weiter. Wenn es sich um eine Geldüberweisung handelt, vergewissern Sie sich, dass die Anforderung mit der Art und Weise übereinstimmt, wie frühere Überweisungen angefordert wurden: Fordert der CEO oder CFO direkt eine Überweisung an? Stimmt die Anforderung mit früheren Überweisungen überein – einschließlich des Zeitpunkts, der Häufigkeit, des Empfängers und des Landes, in das frühere Überweisungen getätigt wurden?
Richten Sie die richtigen Prozesse ein, um potenzielle Verluste zu minimieren
Wir helfen unseren Kunden beim Aufbau von Cyber-Resilienz
Beazley Security ist ein globales Cybersicherheitsunternehmen, das seinen Kunden dabei hilft, echte Cyber-Resilienz zu entwickeln: die Fähigkeit, jedem Cyberangriff standzuhalten und sich davon zu erholen.
Wir kombinieren jahrzehntelange Erfahrung mit Cybersicherheit in den Bereichen Schutz, Erkennung, Reaktion und Wiederherstellung mit der versicherungsmathematischen Präzision und den Risikominderungsfähigkeiten unserer Muttergesellschaft Beazley Insurance.
Erfahren Sie mehr über unsere Cybersicherheitslösungen.
