Bei einer „Business Email Compromise“ Attacke geht meist gut gemachtes Social Engineering voraus, um an Zugänge zu kommen – es handelt sich in der Regel um einen Betrug und keinen Hacker-Angriff! Die Täter versuchen das Vertrauen zu gewinnen und Mitarbeiter dazu zu verleiten, ihre Einwahldaten für Microsoft 365 oder den Email-Account in eine gefälschte Eingabemaske einzutragen oder am Telefon zu verraten. Dazu nutzen sie die Vertrauensseligkeit, Unwissenheit oder Zeitdruck aus, um die Mitarbeiter zu übertölpeln. Haben sie erstmal den Original-Zugang, können sie den Email-Verkehr über längere Zeit mitlesen und wissen, wie die interne Kommunikation abläuft.
Während die externe Kommunikation mit Kunden, Lieferanten oder Dienstleistern eher förmlich ist, hat jedes Unternehmen und jeder Mitarbeiter individuelle Merkmale, wie sie kommunizieren. Das können Floskeln, Anreden oder Grußformen sein, die unter Kollegen oft viel lockerer und flapsiger sind. Mitarbeiter wissen meist ganz genau, welcher Kollege wie schreibt. Dies dient in einer gewissen Art und Weise sogar der Identifikation, dass das Email vom entsprechenden Kollegen oder dem Chef stammt („So schreibt der immer“).
Das Eindringen in Computersysteme erfordert tiefes technisches Verständnis bzw. IT-Know-how. Hacker versuchen Ransomware in ein Unternehmen einzuschleusen, um vertrauliche Infos bzw. den gesamten Datenbestand abzusaugen oder das Unternehmen zu verschlüsseln – anschließend folgt die Erpressung. Was aber, wenn künftig gar kein IT-Know-how mehr nötig ist, wenn Formen von Betrug zunehmen, bei denen die Täter nur noch sehr wenig IT-Wissen benötigen? Dann haben noch sehr viel mehr Täter die Möglichkeit anzugreifen.
Die aktuelle Polizeiliche Kriminalstatistik (PKS) macht es deutlich, 2023 gab es einen Anstieg um 5,5 Prozent bei den Straftaten. Waren es 2022 noch 5.628.584 registrierte Delikte, so gab es 2023 insgesamt 5.940.667 in der PKS dokumentierte Fälle. Der Computerbetrug stellt dabei ein besonders großes Problem dar. Obwohl die Wirtschaftskriminalität um 46,8 Prozent zurückging, gibt es beim Computerbetrug einen Anstieg um 60,3 Prozent.
Auch wenn die Gewaltkriminalität – stieg um 8,6 Prozent – und der Wohnungseinbruchdiebstahl – stieg sogar um 18,1 Prozent – deutlich zugenommen haben, sorgt vor allem der Computerbetrug mittels rechtswidrig erlangter Daten von Zahlungskarten für einen Großteil der finanziellen Schäden. Bisher trifft es sowohl Privatpersonen als auch Unternehmen, die einen Schaden erleiden. Deutsche Unternehmen werden in Zukunft jedoch noch sehr viel stärker betroffen sein, wenn die Täter durch KI gestützte Technik verwenden, z.B. durch DeepFake manipulierte Stimmen oder Videos.
Bei einer Business Email Compromise Attacke werden Täter zunehmend diese Technik ausnutzen, um Sicherheitsvorkehrungen auszuhebeln! Zuerst machen sich Täter für den Angriff die Arglosigkeit ihrer Opfer zunutze. Sie schreiben von einem ergatterten Email-Konto einen anderen Mitarbeiter genau in der typischen Schreibweise an und erzeugen so beim Gegenüber den Eindruck, dass es von einem Arbeitskollegen kommt. Typischerweise prüfen wir Emails von vermeintlich vertrauten Personen viel weniger, ob sie Fake sein könnten.
Bei einer Anweisung (meist von einem gefakten Management-Account) oder einer Bitte um Unterstützung (meist von einem Arbeitskollegen) kommt man der Anfrage selbstverständlich nach. Auf diesem Wege werden gefälschte Rechnungen mit veränderten Empfänger-Bankdaten oder Anweisungen für sonstige Finanztransaktionen untergeschoben, welche die ahnungslosen Opfer dann gutgläubig ausführen.
Business Email Compromise ist eine weitere Form von Betrugshandlungen à la Fake President oder CEO Fraud. Das Wesentliche dabei, der Angriff ist ein gut gemachter Betrug und kein Hackerangriff. Einfach nur die IT-Sicherheit zu verstärken, nützt daher nichts. Das Ziel der Prävention muss Aufklärung und Sensibilisierung der Mitarbeiter sowie vor allem eine schnelle Reaktion nach erfolgten Überweisungen sein. Je schneller die Reaktion, umso höher liegt die Chance, dass Geld wieder zurück geholt werden kann!
Während aktuell ein Teil der Empfehlungen für Prävention lautet, bei den Kollegen zurückzufragen, ob die Anweisung tatsächlich von ihnen kam, wird diese Form der Identifizierung bald nicht mehr sinnvoll sein. Es kommen zunehmend Programme und Tools auf den Markt, die es erlauben mit KI-Technik Gesichter, Stimmen bzw. ganze Videos in Echtzeit zu manipulieren. Die Rückfrage per Video-Chat oder Telefonanruf könnten damit genauso manipuliert sein. Weil KI-Technik immer stärker darauf abzielt, auch für den „normalen“ Nutzer einsetzbar zu sein, ohne vertiefte IT-Kenntnisse, werden auch Betrüger zunehmend diese Techniken nutzen. Ein Hackerangriff ist damit gar nicht nötig!
Zum Autor:
Christian Schaaf war früher Kriminalbeamter und ist heute Geschäftsführer der internationalen Sicherheitsberatung Corporate Trust.
Tel. 089-599 88 75 80
Corporate Trust Sicherheitsblog 