Business E-Mail Compromise

Wenn Hacker sich als Chef ausgeben

Der Hersteller Avanan deckt weitere Betrugsversuche einer bekannten Masche auf: Cyberkriminelle geben sich als Chefs aus und tricksen so Mitarbeiter aus.
Von 
CSO | 29. August 2022 08:35 Uhr
Cyberkriminelle gaben sich als Chief Financial Officer (CFO) eines großen Sportkonzerns aus und versuchten so, die Mitarbeiter dazu zu bringen, ihnen Geld zu überweisen.
Cyberkriminelle gaben sich als Chief Financial Officer (CFO) eines großen Sportkonzerns aus und versuchten so, die Mitarbeiter dazu zu bringen, ihnen Geld zu überweisen.
Foto: EugeneEdge - shutterstock.com

Wie würden Sie reagieren, wenn Ihr Geschäftsführer bei Ihnen anruft und Sie bittet, eine Rechnung zu bezahlen? Wenn Sie nicht gerade in der Finanzbuchhaltung arbeiten, sollten Sie definitiv skeptisch werden und die Bitte hinterfragen. Denn Cyberkriminelle können sehr einfallsreich werden und nutzen sogenannte BEC-Angriffe (Business E-Mail Compromise), um Mitarbeiter in die Falle zu locken.

Einen solchen Angriff deckte das Cybersicherheitsunternehmen Avanan, ein Tochterunternehmen von Check Point, auf. Der vermeintliche CFO eines großen Sportkonzerns versendete Nachrichten an Mitarbeiter mit der Aufforderung, Geld per ACH-Überweisung an eine Versicherung zu überweisen.

E-Mail des falschen CFOs mit Warnhinweis von Office 365
E-Mail des falschen CFOs mit Warnhinweis von Office 365
Foto: Avanan

Die gefälschte Nachricht entdeckte Avanan auch bei anderen Unternehmen:

Eine fast identische Mail erhielt ein anderes Unternehmen, jedoch ohne Warnhinweis des E-Mail-Systems.
Eine fast identische Mail erhielt ein anderes Unternehmen, jedoch ohne Warnhinweis des E-Mail-Systems.
Foto: Avanan

Für diese Art von Cyberattacken verlassen die Angreifer sich auf Social-Engineering-Techniken. Dabei nutzen sie die Gefügigkeit von Mitarbeitern gegenüber ihren Vorgesetzten aus. Außerdem üben sie zusätzlichen Druck auf ihre Opfer aus, indem sie den Gefallen als besonders dringlich darstellen und mögliche Folgen nennen, die den Mitarbeiter persönlich betreffen würden.

Avanan schreibt, dass BEC-Angriffe nur schwer zu stoppen sind, da die Nachrichten oft keine Malware oder bösartige Links enthalten. Oftmals sind die E-Mails sehr professionell gestaltet und nur schwer von einer legitimen Nachricht zu unterscheiden. Auch machen sich viele Kriminelle die Mühe und spionieren heimlich den Nachrichtenverkehr einer Person aus, um sich deren Wortlaut anzueignen.

Lesetipp: 2,4 Milliarden Dollar Schaden durch E-Mail-Betrug

Schutz vor BEC-Angriffen

Um sich vor BEC und Social Engineering zu schützen, geben die Sicherheitsexperten von Avanan folgende Tipps:

  • Überprüfen Sie bei jeder Nachricht, die Ihnen komisch vorkommt, die Absenderadresse auf ihre Richtigkeit.

  • Wenn Sie sich bei einer E-Mail unsicher sind, fragen Sie direkt beim vermeintlichen Absender nach.

  • Lesen Sie die gesamte Nachricht aufmerksam durch. Achten Sie auf Rechtschreibfehler, Grammatikfehler und ob der Kontext Sinn ergibt.

  • Aktivieren Sie die Multifaktor-Authentifizierung für alle User.

  • Verwenden Sie einen Passwort-Manager.

  • Geben Sie so wenig persönliche Informationen wie möglich preis. Tauschen Sie zwingend notwendige Daten nur persönlich aus.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.