beazley.security
©2025 Beazley Security. Alle Rechte vorbehalten
Business Email Compromise (BEC)
Best Practices für die Prävention
Start
Introduction
Edge Device Exploitation: A Threat to Watch
Putting the Risks in Context: Case Studies & Data
What CISOs Should Know: Best Practices and Technical Solutions
To Learn More
How can you reduce the risk of financial losses?
What is business email compromise?
Business email compromise (BEC) usually involves social engineering techniques. Most often, a cybercriminal uses stolen email credentials or a spoofed email address that looks like a trusted address.
The goal is to trick an employee into bypassing normal procedures to gain wanted access to valuable assets.
The cybercriminal may steal funds by misdirecting electronic payments, or steal sensitive data, such as tax or pay information. Or they may convince the employee to open a malicious link or attachment, give up a password, or approve access.
We provide clients with the experience, training, and technology resources needed to reduce their risk of financial or data loss from a BEC.
Business email compromise is a targeted cyberattack where threat actors impersonate trusted contacts such as executives, suppliers, or partners to deceive employees into transferring money, sharing sensitive data, or granting access. These scams are often timed to real business activities, making them hard to spot. Below, we explore the most common methods attackers use.
How BEC occurs
Domain and Email spoofing
A cybercriminal conducts a phishing attack by using an email address that closely resembles a trusted source, often impersonating a legitimate business or individual. To increase credibility, they may also create a fake website or email domain that looks nearly identical to the real one, with subtle differences that are difficult to detect at first glance, tricking the victim into believing the communication is authentic.
Stolen email credentials
Using stolen email credentials, the cybercriminal can view all conversations in the inbox, making impersonation easier. The cybercriminal can also research other employees, monitor ongoing conversations, particularly around invoices or payments, and take steps to hide their activities.
Exploit the victim's trust
Having established trust, the cybercriminal can encourage the user to bypass normal procedures and security through a variety of social engineering techniques. Employees targeted in these attacks are often in HR, finance, or have the authority to approve the transfer of large sums of money (particularly in smaller organizations).
CEO fraud
Fraudulent instruction
Payroll redirect
Invoice manipulation
Loan fraud
Urgent requests
Posing as the CEO, the cybercriminal instructs the employee to make an immediate payment because of a confidential transaction, such as an acquisition or legal settlement.
Posing as a vendor or supplier, the cybercriminal instructs the employee to change payment instructions for an electronic payment, so it goes to an account controlled by the cybercriminal. Professional services firms are particularly at risk for incidents where the cybercriminal poses as a party in real estate/property sales or other transaction in order to misdirect payments.
The cybercriminal instructs an employee HR to change bank deposit instructions for employee pay.
The cybercriminal may pose as a vendor or supplier and send fraudulent invoices to misdirect payments, or request refunds for recently completed transactions.
The cybercriminal may impersonate several employees and subsequently take out several large loans in their name, with losses potentially in the six-figure range.
Other common forms of BEC include urgent requests to send sensitive data, such as employee tax statements, or to purchase gift cards, particularly common at smaller organizations.
Common forms of BEC
Business email compromise can take several forms, each designed to manipulate trust and urgency. Below are the most frequent tactics used by attackers.
Actively monitor for account takeover attempts
Missed payments may not be noticed for 45 or 60 days, so it’s important to look for signs earlier.
Restrict login attempts
Set an alert for multiple unanswered MFA prompts to prevent MFA fatigue. You can set an access policy to lock after 5 or 10 unanswered attempts.
Monitor changes to logging and configuration
Unusual changes to existing rules (such as those involving the RSS folder) or new external forwarding rules may be early signs of activity related to BECs.
Phishing-resistant MFA
Not all forms of MFA are equally secure. MFA should be configured to protect against social engineering attacks. While one-time passcodes and push-based notifications are not as resistant to these attacks, FIDO2 hardware tokens have been more successful. Block legacy email protocols that don’t support modern authentication.
Reduce exposure to phishing emails
Implement measures that could change the way suspicious emails are handled (SPF, DKIM, DMARC). Consider blocking email from new domains, which may have been set up by cybercriminals for phishing. Patch on-premises email servers to deprive cybercriminals of any low-hanging fruit.
Improve your email security
Properly securing email accounts and better detecting phishing will help protect against BEC.
Verify requests
Train employees on your procedures for authorized requests. Requests to change payment instructions or send sensitive data should be checked using out-ofband verification: don’t trust contact information the cybercriminal provided.
Avoid password recycling
Train employees on good password practices, including not reusing passwords for different accounts. Don’t recycle the same password for different work applications or for work and personal accounts. Using a password manager makes it easier to have strong, unique passwords for every account.
Recognize phishing emails and BEC attempts
Train employees to detect spoofed domain names and not to be confused by subdomains. Be alert for emails making unusual requests, particularly with a sense of urgency or secrecy.
Employees are the first line of defense
Train your employees to recognize and resist attempts at BEC, look carefully at unusual requests, use out-of-band verification, and resist the ways cybercriminals try to overcome your multi factor authentication (MFA).
How to protect against BEC
Awareness and preparedness are keys to success
While there are no silver bullets, understanding the risks, regularly training staff, and having well-defined policies for certain behaviors are key steps in preventing a BEC event. Additionally, tools and technologies can help identify and filter out suspicious activity to minimize potential risks ahead of human interactions.
Train your staff on what to watch out for and how to verify requests
©2025 Beazley Security. All rights reserved
Contact us
We help clients build cyber resilience
Beazley Security is a global cyber security firm committed to helping clients develop true cyber resilience: the ability to withstand and recover from any cyberattack.
We combine decades of cyber security protection, detection, response, and recovery expertise with the actuarial precision and risk mitigation capability of our parent company, Beazley Insurance.
Find out more about our cyber security solutions.
Ein Out-of-Band-Verifizierungsverfahren einrichten, um die Identität der Person, die eine Überweisung anfordert, zu bestätigen. Erfolgt die Anforderung per E-Mail, rufen Sie die Person an und sprechen Sie mit ihr über eine vorher festgelegte Telefonnummer, um eine mündliche Bestätigung zu erhalten. Erfolgt die Anforderung per Telefon oder Fax, dann bestätigen Sie sie per E-Mail mit einer als korrekt bekannten E-Mail-Adresse. Antworten Sie nicht auf die E-Mail und verwenden Sie nicht die in der E-Mail angegebene Telefonnummer zur „Verifizierung“. Handelt es sich um einen Betrugsversuch, hat der Kriminelle auch falsche Kontaktinformationen angegeben. Für Mitarbeiter, die häufig reisen und befugt sind, Geldtransfers zu beantragen, sollte ein Verfahren zur Bestätigung der Anträge eingerichtet werden. Richten Sie z. B. einen vorgegebenen Code ein, den der Antrag enthalten muss – einen Code, der im Netz nicht dokumentiert ist. Bieten Sie regelmäßige Schulungen zur Betrugsbekämpfung an, in denen Mitarbeiter lernen, wie sie Phishing und Social-Engineering-Betrug erkennen und vermeiden können. Begrenzen Sie die Anzahl der Mitarbeiter, die befugt sind, elektronische Überweisungen einzureichen oder zu genehmigen. Führen Sie doppelte Genehmigungen für finanzielle Transaktionen ein. Die beiden für die doppelten Genehmigungen verantwortlichen Parteien sollten nicht in einem hierarchischen Verhältnis zueinander stehen, da dies die Wirksamkeit des Verfahrens untergraben wird. Implementieren Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff auf Ihr E-Mail-System. Entwickeln Sie schriftliche Verfahren, falls noch nicht vorhanden. Überprüfen Sie regelmäßig Ihre schriftlichen Verfahren und Prozesse, um sicherzustellen, dass sie mit den sich ändernden Social-Engineering-Techniken Schritt halten.
Schulen Sie Mitarbeiter in Ihrem Out-of-Band-Verifizierungsprozess Wenn ein Lieferant Änderungen an seinen Kontodaten anfordert (einschließlich, aber nicht beschränkt auf Bankleitzahlen, Kontonummern, Telefonnummern oder Kontaktinformationen): Bestätigen Sie alle Anforderungen durch einen direkten Anruf des Auftragnehmers oder Lieferanten. Achten Sie darauf, dass Sie eine Telefonnummer verwenden, die der Auftragnehmer oder Lieferant vor Eingang der Anforderung angegeben hat. Bevor Sie Änderungen vornehmen, sollten Sie den Eingang der Anforderung bestätigen, und zwar an eine andere Person als die, die den die Anforderung gestellt hat. Lassen Sie alle Anforderungen von einem Vorgesetzten oder einem nächsthöheren Genehmiger überprüfen, bevor Sie Änderungen vornehmen. Wenn die Anforderung von einem Auftragnehmer stammt, prüfen Sie, ob sich die Geschäftspraktiken geändert haben: Wurden frühere Rechnungen per Post verschickt, aber die neue Rechnung wurde per E-Mail verschickt? Wurden frühere Zahlungen per Scheck getätigt und jetzt wird elektronische Überweisung angefordert? Hat ein aktueller Geschäftskontakt darum gebeten, über seine persönliche E-Mail-Adresse kontaktiert zu werden, obwohl die gesamte bisherige offizielle Korrespondenz über die E-Mail-Adresse des Unternehmens lief? Unterscheidet sich die Adresse oder das Bankkonto, an das die Zahlung zu senden ist, von früheren Zahlungen an diesen Auftragnehmer? Seien Sie misstrauisch bei kleinen Änderungen von E-Mail-Adressen, die legitime E-Mail-Adressen imitieren: Zum Beispiel .co vs. .com, abc-company.com vs. abc_company.com, oder hijkl.com vs. hljkl.com. Leiten Sie alle verdächtigen Fälle zur Überprüfung an Informationssicherheit oder IT weiter. Wenn es sich um eine Geldüberweisung handelt, vergewissern Sie sich, dass die Anforderung mit der Art und Weise übereinstimmt, wie frühere Überweisungen angefordert wurden: Fordert der CEO oder CFO direkt eine Überweisung an? Stimmt die Anforderung mit früheren Überweisungen überein – einschließlich des Zeitpunkts, der Häufigkeit, des Empfängers und des Landes, in das frühere Überweisungen getätigt wurden?
EN
FR
English
Deutsch
Was ist ein Business Email Compromise?
Bei einem Business Email Compromise (BEC) kommen in der Regel Social-Engineering-Techniken zum Einsatz. In den meisten Fällen verwenden Cyberkriminelle gestohlene E-Mail-Anmeldedaten oder eine gefälschte E-Mail-Adresse, die wie eine vertrauenswürdige Adresse aussieht.
Ziel ist es, einen Mitarbeiter dazu zu bringen, die üblichen Verfahren zu umgehen, um sich gewollten Zugang zu wertvollen Assets zu verschaffen.
Wir bieten unseren Kunden Erfahrung, Schulung und die erforderlichen technologischen Ressourcen, um das Risiko eines finanziellen Verlusts oder eines Datenabflusses durch einen BEC zu verringern.
Der Cyberkriminelle kann Geld stehlen, indem er elektronische Zahlungen fehlleitet. Oder er kann sensible Daten wie Steuer- oder Gehaltsinformationen entwenden. Möglicherweise überzeugt er auch den Mitarbeiter, einen bösartigen Link oder Anhang zu öffnen, ein Kennwort preiszugeben oder den Zugriff zu genehmigen.
Wie es zu einem BEC kommen kann
Häufige Formen von BEC
Wie man sich vor BEC schützt
Wie können Sie das Risiko finanzieller Verluste verringern?
Kontakt
Ein Cyberkrimineller führt einen Phishing-Angriff durch, indem er eine E-Mail-Adresse verwendet, die einer vertrauenswürdigen Quelle sehr ähnlich ist, und sich oft als rechtmäßiges Unternehmen oder als Privatperson ausgibt. Um die Glaubwürdigkeit zu erhöhen, können sie auch eine gefälschte Website oder E-Mail-Domäne erstellen, die fast identisch mit der echten aussieht, mit subtilen Unterschieden, die auf den ersten Blick schwer zu erkennen sind, um das Opfer zu täuschen, dass die Kommunikation authentisch ist.
Domänen- und E-Mail-Spoofing
Gestohlene Zugangsdaten
Mit gestohlenen Zugangsdaten zu E-Mail-Konten kann der Cyberkriminelle alle Kommunikationsverläufe im Posteingang einsehen. Sich als eine bestimmte Person auszugeben wird dadurch einfach. Der Cyberkriminelle kann auch andere Mitarbeiter ausforschen, Mailverläufe mitlesen, insbesondere über Rechnungen oder Zahlungen und Schritte unternehmen, um seine Aktivitäten zu verbergen.
Das Vertrauen des Opfers ausnutzen
Nachdem der Cyberkriminelle Vertrauen aufgebaut hat, kann er den Benutzer durch eine Vielzahl von Social-Engineering-Methoden dazu bringen, die normalen Verfahren und Sicherheitsmaßnahmen zu umgehen. Die Ziele dieser Angriffe sind häufig in der Personal- oder Finanzabteilung tätig oder befugt, die Überweisung großer Geldsummen zu genehmigen (insbesondere in kleineren Unternehmen).
Die Kompromittierung von Geschäfts-E-Mails ist ein gezielter Cyberangriff, bei dem sich Bedrohungsakteure als vertrauenswürdige Kontakte wie Führungskräfte, Lieferanten oder Partner ausgeben, um Mitarbeiter zur Überweisung von Geld, zur Freigabe sensibler Daten oder zur Gewährung von Zugang zu verleiten. Diese Betrügereien sind oft zeitlich auf reale Geschäftsaktivitäten abgestimmt und daher schwer zu erkennen. Im Folgenden werden die gängigsten Methoden der Angreifer vorgestellt.
Der Cyberkriminelle gibt sich als Vorstand aus und weist den Mitarbeiter an, eine sofortige Zahlung im Rahmen einer vertraulichen Transaktion zu veranlassen, etwa für eine Übernahme oder die Beilegung eines Rechtsstreits.
Betrügerische Anweisungen
Umgeleitete Gehaltszahlungen
Manipulation von Rechnungen
Darlehensbetrug
Dringende Aufforderungen
Der Cyberkriminelle gibt sich als Dienstleister oder Lieferant aus und weist Mitarbeiter an, die Zahlungsdaten für Überweisungen zu ändern, damit das Geld auf ein vom Cyberkriminellen kontrolliertes Konto überwiesen wird. Dienstleistungsunternehmen sind besonders anfällig für Vorfälle, bei denen sich der Cyberkriminelle als Beteiligter an einem Immobilienverkauf oder einer anderen Transaktion ausgibt, um Zahlungen umzuleiten.
Der Cyberkriminelle weist einen Mitarbeiter der Personalabteilung an, die Bankdaten zur Überweisung des Gehalts eines Mitarbeiters zu ändern.
Der Cyberkriminelle kann sich als Dienstleister oder Lieferant ausgeben und gefälschte Rechnungen senden, um Zahlungen umzuleiten oder Rückerstattungen für kürzlich abgeschlossene Transaktionen zu verlangen.
Der Cyberkriminelle gibt sich unter Umständen gleich als mehrere Mitarbeiter aus und nimmt dann mehrere große Kredite in deren Namen auf, wobei die Verluste im sechsstelligen Bereich liegen können.
Andere häufige Formen von BEC sind dringende Aufforderungen zur Übermittlung sensibler Daten, wie z. B. Steuererklärungen für Mitarbeiter, oder zum Kauf von Geschenkgutscheinen, was besonders bei kleineren Unternehmen häufig vorkommt.
Die Kompromittierung von Geschäfts-E-Mails kann verschiedene Formen annehmen, die alle darauf abzielen, Vertrauen und Dringlichkeit zu manipulieren. Im Folgenden werden die häufigsten Taktiken von Angreifern beschrieben.
Die Mitarbeiter sind die erste Verteidigungslinie
Schulen Sie Ihre Mitarbeiter in Erkennung und Abwehr von E-Mail-Betrug: Ungewöhnliche Anfragen kritisch prüfen, Out-of-Band-Verifizierungen nutzen und Versuche von Cyberkriminellen, die Multifaktor-Authentifizierung (MFA) zu umgehen, erkennen und abwehren.
Anfragen überprüfen
Schulen Sie Ihre Mitarbeiter in Bezug auf Verfahren für autorisierte Anfragen. Aufforderungen zu Änderung von Zahlungsdaten oder zur Übermittlung sensibler Daten sollten mit einer Out-of-Band-Verifizierung überprüft werden: Vertrauen Sie nicht den Kontaktinformationen, die der Cyberkriminelle übermittelt.
Vermeiden Sie Passwort-Recycling
Schulen Sie die Mitarbeiter zur Wahl guter Passwörter, so dass nicht die gleichen Passwörter für verschiedene Konten genutzt werden. Verwenden Sie nicht dasselbe Passwort für verschiedene Arbeitsanwendungen oder für berufliche und private Konten. Die Verwendung eines Passwort-Managers macht es einfacher, sichere und eindeutige Passwörter für jedes Konto zu haben.
Erkennen von Phishing-E-Mails und BEC-Versuchen
Schulen Sie Ihre Mitarbeiter darin, gefälschte Domain-Namen zu erkennen und sich nicht von Subdomains verwirren zu lassen. Achten Sie auf E-Mails mit ungewöhnlichen Forderungen, insbesondere wenn sie ein Gefühl der Dringlichkeit oder Geheimhaltung vermitteln.
Verbessern der E-Mail-Sicherheit
Eine ordnungsgemäße Absicherung von E-Mail-Konten und eine bessere Erkennung von Phishing trägt zum Schutz vor E-Mail-Betrug bei.
Phishing-resistente MFA
Nicht alle Formen der MFA (Multifaktor-Authentifizierung) sind gleich sicher. Die MFA sollte so konfiguriert werden, dass sie vor Social-Engineering-Angriffen schützt. Einmal-Passcodes und Push-Benachrichtigungen bieten bei derartigen Angriffen keinen umfassenden Schutz. FIDO2-Hardware-Tokens haben sich als sicherer erwiesen. Blockieren Sie veraltete E-Mail-Protokolle, die keine moderne Authentifizierung unterstützen.
Verringern Sie die Gefährdung durch Phishing-E-Mails
Setzen Sie Maßnahmen um, die den Umgang mit verdächtigen E-Mails verändern könnten (SPF, DKIM, DMARC). Ziehen Sie in Erwägung, E-Mails von neuen Domains zu blockieren, die möglicherweise von Cyberkriminellen für das Phishing eingerichtet wurden. Installieren Sie die erforderlichen Patches für E-Mail-Server vor Ort, um Cyberkriminellen des Leben schwerer zu machen.
Email-Dienste aktiv auf Kontoübernahmeversuche überwachen
Ausbleibende Zahlungen werden möglicherweise erst nach 45 oder 60 Tagen bemerkt, daher ist es wichtig, früher auf verdächtige Anzeichen zu achten.
Anmeldeversuche beschränken
Legen Sie einen Alarm für mehrere unbeantwortete MFA-Aufforderungen fest, um MFA-Müdigkeit zu vermeiden. Sie können eine Zugangsrichtlinie implementieren, sodass nach 5 oder 10 unbeantworteten Versuchen eine Sperrung erfolgt.
Überwachen Sie Änderungen an Protokoll- und Konfigurationseinstellungen
Ungewöhnliche Änderungen bestehender Regeln (etwa im Zusammenhang mit dem RSS-Ordner) oder neue Regeln für Weiterleitungen an externe Stellen können erste Anzeichen für Aktivitäten zur Kompromittierung geschäftlicher E-Mails sein.
Sensibilisierung und Vorbereitung sind der Schlüssel zum Erfolg
Es gibt zwar keine Patentrezepte, aber die Kenntnis der Risiken, die regelmäßige Schulung der Mitarbeiter und klar definierte Richtlinien für bestimmte Verhaltensweisen sind wichtige Schritte zur Verhinderung von BECEreignissen. Darüber hinaus können Tools und Technologien dabei helfen, verdächtige Aktivitäten zu erkennen und herauszufiltern, um potenzielle Risiken zu minimieren, bevor es zu menschlichen Interaktionen kommt.
Schulen Sie Ihre Mitarbeiter darin, worauf sie achten müssen und wie sie Anforderungen überprüfen können
Richten Sie die richtigen Prozesse ein, um potenzielle Verluste zu minimieren
Wir helfen unseren Kunden beim Aufbau von Cyber-Resilienz
Beazley Security ist ein globales Cybersicherheitsunternehmen, das seinen Kunden dabei hilft, echte Cyber-Resilienz zu entwickeln: die Fähigkeit, jedem Cyberangriff standzuhalten und sich davon zu erholen.
Wir kombinieren jahrzehntelange Erfahrung mit Cybersicherheit in den Bereichen Schutz, Erkennung, Reaktion und Wiederherstellung mit der versicherungsmathematischen Präzision und den Risikominderungsfähigkeiten unserer Muttergesellschaft Beazley Insurance.
Erfahren Sie mehr über unsere Cybersicherheitslösungen.
