Seit Jahren nimmt Business Email Compromise stetig zu. Dabei kompromittieren Kriminelle E-Mail-Konten von Firmen, um so an ihre Gelder zu kommen. Das FBI zeichnet seit 2013 Fälle auf, die durch diese Betrugsvariante entstanden sind. In diesen zehn Jahren sind dadurch weltweit Schäden in einer Größenordnung von umgerechnet rund 50,15 Milliarden Euro entstanden.
Beim Business Email Compromise, auch bekannt als Email Account Compromise (EAC), nutzen Angreifer Social Engineering- und Hacking-Techniken, um die E-Mail-Konten ihrer Opfer von diesen unbemerkt zu kompromittieren und zu übernehmen. In der Folge versuchen sie dann, getarnt als ihre Opfer, Anweisungen, zum Beispiel zu Geldüberweisungen, zu tätigen. Oftmals werden dabei, wie der Name schon sagt, nicht allein private, sondern auch Unternehmens-E-Mail-Konten kompromittiert – um nicht nur private, sondern auch und gerade Firmengelder auf eigene Konten umzuleiten.
Schäden über 50 Milliarden Euro
Die Schäden, die Unternehmen hier jedes Jahr entstehen, haben schon vor Jahren ein erhebliches Ausmaß erreicht, nehmen kontinuierlich zu. Allein zwischen Dezember 2022 und Dezember 2023, so die FBI-Alarmmeldung, haben die globalen Schäden um 9 Prozent zugelegt – auf mittlerweile rund 50,15 Milliarden Euro. Ein zentraler Grund: die Zunahme der Überweisungen an Finanzinstitute, die Depotkonten von Drittanbieter-Zahlungsabwicklern oder Peer-to-Peer-Zahlungsabwicklern und Kryptowährungsbörsen beherbergen. Besonders häufig kamen internationale Banken im Vereinigten Königreich und in Hongkong als Transferstationen zum Einsatz – gefolgt von Banken in China, Mexiko und den Vereinigten Arabischen Emiraten.
In seiner Meldung hält das FBI einige wertvolle Tipps für Unternehmen bereit, wie sie sich besser vor BEC-Betrügern schützen können; etwa:
- Vermeidung der Weitergabe von persönlichen oder Anmeldedaten per E-Mail,
- Prüfung der Absenderadressen eingehender E-Mails,
- Prüfung von in eingehenden E-Mails enthaltenden URLs,
- Einrichtung von Sekundärkanälen und/oder Zwei-Faktor-Authentifizierungen,
- Verwendung unterschiedlicher Passwörter, die regemäßig geändert werden und
Prüfung von Bankkonten auf Unregelmäßigkeiten.
Ausbau der Sicherheitskultur
Halten sich Unternehmen an diese Vorgaben, sind sie bereits einen guten Schritt weiter. Jedoch wird im Report das wichtigste To-Do, wie so oft, außeracht gelassen. Die Rede ist vom generellen Ausbau der Sicherheitskultur von Unternehmen, der Erweiterung des allgemeinen Sicherheitsverständnisses und -bewusstseins der Mitarbeiter. Nur mit Mitarbeitern, die verstehen, worauf es zu achten gilt und die dieses Wissen dann auch zum entscheidenden Zeitpunkt zur Anwendung zu bringen wissen, wird es gelingen, das Risiko erfolgreicher BEC-Angriffe signifikant zurückzufahren.
Mehr bei KnowBe4.com
Über KnowBe4 KnowBe4, der Anbieter der weltweit größten Plattform für Security Awareness Training und simuliertes Phishing, wird von mehr als 60.000 Unternehmen auf der ganzen Welt genutzt. KnowBe4 wurde von dem IT- und Datensicherheitsspezialisten Stu Sjouwerman gegründet und hilft Unternehmen dabei, das menschliche Element der Sicherheit zu berücksichtigen, indem es das Bewusstsein für Ransomware, CEO-Betrug und andere Social-Engineering-Taktiken durch einen neuen Ansatz für Sicherheitsschulungen schärft. Kevin Mitnick, ein international anerkannter Cybersicherheitsspezialist und Chief Hacking Officer von KnowBe4, half bei der Entwicklung der KnowBe4-Schulung auf der Grundlage seiner gut dokumentierten Social-Engineering-Taktiken. Zehntausende von Organisationen verlassen sich auf KnowBe4, um ihre Endbenutzer als letzte Verteidigungslinie zu mobilisieren.
Passende Artikel zum Thema