Was ist ein BEC-Angriff?<\/h2>\n
Ein BEC-Angriff wird als zielgerichteter Cyberangriff definiert, der folgenderma\u00dfen funktioniert:<\/p>\n
1. Zun\u00e4chst wird der Korrespondezaustausch mit einem Mitarbeiter des Unternehmens per E-Mail hergestellt oder eine bestehende Firmen-Email \u00fcbernommen;
\n2. Danach wird das Vertrauen des Mitarbeiters gewonnen;
\n3. Abschlie\u00dfend wird zu Ma\u00dfnahmen ermutigt, die sich nachteilig auf die Interessen des Unternehmens oder dessen Kunden auswirken.<\/p>\n
Normalerweise beziehen sich die Aktionen auf die \u00dcberweisung von Geldern auf die Konten von Kriminellen oder das Senden vertraulicher Dateien, aber das muss nicht immer der Fall sein. Zum Beispiel sind unsere Experten k\u00fcrzlich auf eine Anfrage gesto\u00dfen, die angeblich vom CEO eines Unternehmens stammte, in der Anweisungen zur \u00dcbermittlung von Gutscheincodes per SMS an eine bestimmte Telefonnummer erl\u00e4utert wurden.<\/p>\n
Obwohl BEC-Versuche h\u00e4ufig Tricks im Phishing-Stil anwenden, ist der Angriff etwas ausgefeilter, wobei zum einen auf technologisches Fachwissen und zum anderen auf Social Engineering zur\u00fcckgegriffen wird. Dar\u00fcber hinaus sind die verwendeten Techniken einzigartig: Die Nachrichten enthalten keine b\u00f6swilligen Links oder Anh\u00e4nge, aber die Angreifer versuchen, den E-Mail-Client zu t\u00e4uschen und damit den Empf\u00e4nger dazu zu bringen, die E-Mail als legitim zu betrachten. Social Engineering spielt hierbei die Hauptrolle.<\/p>\n
Eine sorgf\u00e4ltige Erfassung der Daten \u00fcber das Opfer geht normalerweise einem Angriff voraus. Der T\u00e4ter nutzt diese gesammelten Daten sp\u00e4ter, um das Vertrauen des Opfers zu gewinnen. Die Korrespondenz kann aus nur zwei oder drei Nachrichten bestehen oder mehrere Monate dauern.<\/p>\n
Erw\u00e4hnenswert sind mehrstufige BEC-Angriffe, die verschiedene Szenarien und Technologien kombinieren. Zum Beispiel k\u00f6nnten Cyberkriminelle zuerst die Anmeldeinformationen eines normalen Arbeitnehmers mithilfe von Spear Phishing stehlen und dann einen Angriff gegen einen \u00fcbergeordneten Mitarbeiter des Unternehmens starten.<\/p>\n
H\u00e4ufige BEC-Angriffsszenarien<\/h2>\n
Es gibt bereits einige BEC-Angriffsszenarien, aber Cyberkriminelle erfinden immer neue Strategien. Nach unseren Beobachtungen zufolge, lassen sich die meisten F\u00e4lle auf eine von vier Varianten reduzieren:<\/p>\n
\u2022 Nachahmung von externen Organisationen:<\/strong> Die Angreifer geben sich als Vertreter einer Organisation aus, mit der das Unternehmen des Empf\u00e4ngers zusammenarbeitet. Manchmal ist es ein echtes Unternehmen, mit dem die Firma des Opfers tats\u00e4chlich Gesch\u00e4fte macht. In anderen F\u00e4llen versuchen die Cyberkriminellen, leichtgl\u00e4ubige oder unaufmerksame Opfer zu t\u00e4uschen, indem sie vorgeben, eine Scheinfirma zu vertreten. BEC-Angriffe entwickeln sich auch aus technologischer Sicht. Wenn sie 2013 die entf\u00fchrten E-Mail-Konten von CEOs oder CFOs nutzten, verlassen sie sich heute zunehmend darauf, eine andere Person durch eine Kombination aus technischer List, Social Engineering und Unaufmerksamkeit des Opfers und haben Erfolg. Hier sind die grundlegenden technischen Tricks, die sie anwenden:<\/p>\n \u2022 Spoofing von E-Mail-Absendern:<\/strong>\u00a0Der Betr\u00fcger f\u00e4lscht die Mail-Header. Infolgedessen erscheint beispielsweise eine von betrueger@email.com gesendete E-Mail im Posteingang des Opfers als eine Nachricht von CEO@deinUnternehmen.com. Diese Methode hat viele Variationen und verschiedene Header k\u00f6nnen auf verschiedene Arten ge\u00e4ndert werden. Die Hauptgefahr dieser Angriffsmethode besteht darin, dass nicht nur Angreifer Nachrichtenkopfzeilen manipulieren k\u00f6nnen, sondern auch legitime Absender dies aufgrund verschiedener Gr\u00fcnde machen. Wir respektieren die Vertraulichkeit unserer Kunden, daher sind die folgenden keine echten Nachrichten, sondern Beispiele, die einige g\u00e4ngige BEC-M\u00f6glichkeiten veranschaulichen.<\/p>\n Der Angreifer versucht, Kontakt zu einem potenziellen Opfer aufzunehmen und sich als dessen Chef auszugeben. Damit der Empf\u00e4nger nicht versucht, den echten leitenden Angestellten zu kontaktieren, hebt der Betr\u00fcger sowohl die Dringlichkeit der Anfrage als auch die derzeitige Nichtverf\u00fcgbarkeit des Chefs \u00fcber andere Kommunikationskan\u00e4le hervor:<\/p>\n Der Trick mit dem falschen Namen<\/p><\/div>\n \u00a0<\/p>\n Ein genauerer Blick zeigt, dass der Name des Absenders (Bob) nicht mit der tats\u00e4chlichen E-Mail-Adresse (not_bob@gmail.com)\u00fcbereinstimmt. In diesem Fall hat der Angreifer nur den Namen gef\u00e4lscht, der beim \u00d6ffnen der Nachricht angezeigt wird. Diese Art von Angriff ist besonders effektiv auf Mobilger\u00e4ten, auf denen standardm\u00e4\u00dfig nur der Name des Absenders und nicht dessen Adresse angezeigt wird.<\/p>\n Der Cyberkriminelle sucht einen Mitarbeiter im Rechnungswesen auf, der berechtigt ist, Bankdaten zu \u00e4ndern. Er schreibt:<\/p>\n Der Angreifer, der vorgibt, ein Manager zu sein, \u00fcberzeugt den Mitarbeiter von der Notwendigkeit, mit einem falschen Anwalt zusammenzuarbeiten, der angeblich bald Kontakt aufnehmen wird:<\/p>\n Hier enth\u00e4lt das Absenderfeld nicht nur den Namen, sondern auch die gef\u00e4lschte E-Mail-Adresse. Nicht die modernste Technik, aber dennoch fallen viele Menschen darauf herein, insbesondere wenn die tats\u00e4chliche Adresse nicht auf dem Bildschirm des Empf\u00e4ngers angezeigt wird (zum Beispiel einfach, weil sie zu lang ist).<\/p>\n Ein anderer Cyberkrimineller versucht, einen E-Mail-Austausch mit einem Mitarbeiter des Unternehmens zu initiieren:<\/p>\n Dies ist ein Beispiel f\u00fcr die oben erw\u00e4hnte Lookalike-Domain-Methode. Der Betr\u00fcger registriert zuerst einen Domainnamen, der einem vertrauensw\u00fcrdigen \u00e4hnlich ist (in diesem Fall examp1e.com anstelle von example.com), und hofft dann darauf, dass der Empf\u00e4nger dies nicht bemerkt.<\/p>\n In einer Reihe von j\u00fcngsten Nachrichtenberichten wurden BEC-Angriffe hervorgehoben, die Unternehmen verschiedener Formen und Gr\u00f6\u00dfen erheblichen Schaden zuf\u00fcgen. Hier sind einige der interessantesten:<\/p>\n \u2022 Ein Cyberkrimineller erstellte eine Domain, die der eines taiwanesischen Elektronikherstellers nachempfunden war, und schickte damit \u00fcber einen Zeitraum von zwei Jahren Rechnungen an gro\u00dfe Unternehmen (einschlie\u00dflich Facebook und Google<\/a>), wobei er 120 Millionen US-Dollar einsteckte. Cyberkriminelle wenden eine breite Palette technischer Tricks und Social-Engineering-Methoden an, um an Vertrauen zu gewinnen und Betrug zu begehen. Das Ergreifen einer Reihe wirksamer Ma\u00dfnahmen kann jedoch die Bedrohung durch BEC-Angriffe minimieren:<\/p>\n \u2022 Richten Sie SPF ein, verwenden Sie DKIM-Signaturen und implementieren Sie eine DMARC-Richtlinie, um sich vor gef\u00e4lschter interner Korrespondenz zu sch\u00fctzen. Theoretisch erm\u00f6glichen diese Ma\u00dfnahmen auch anderen Unternehmen, im Namen Ihrer Organisation gesendete E-Mails zu authentifizieren (vorausgesetzt nat\u00fcrlich, dass die Unternehmen diese Technologien konfiguriert haben). Diese Methode kann sich manchmal als zu schwach erweisen<\/a> (z.B. unf\u00e4hig, Ghost Spoofing oder Lookalike-Domains Angriffen vorzubeugen), aber je mehr Unternehmen die Standards SPF, DKIM und DMARC benutzen, desto weniger Spielraum haben die Cyberkriminellen. Die Verwendung dieser Technologien tr\u00e4gt zu einer Art Herdenimmunit\u00e4t gegen viele Arten von b\u00f6swilligen Vorg\u00e4ngen mit E-Mail-Headern bei.<\/p>\n \u2022 Trainieren Sie Mitarbeiter regelm\u00e4\u00dfig, um Social Engineering entgegenzuwirken. Eine Kombination aus Workshops und Simulationen<\/a> schult Mitarbeiter, wachsam zu sein und BEC-Angriffe zu identifizieren, die andere Verteidigungsebenen durchdringen.<\/p>\n \u2022 Verwenden Sie Sicherheitsl\u00f6sungen<\/a>mit spezialisierter Anti-BEC-Technologie<\/a>, um viele der in diesem Beitrag beschriebenen Angriffsmethoden zu besiegen.<\/p>\n Die Kaspersky-L\u00f6sungen mit spezieller Inhaltsfilterung identifizieren bereits viele Arten von BEC-Angriffen. Unsere Experten entwickeln kontinuierlich Technologien, um sich weiter vor den fortschrittlichsten und anspruchsvollsten Betr\u00fcgereien zu sch\u00fctzen.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Weltweit werden Unternehmen regelm\u00e4\u00dfig Opfer von sogenannten BEC-Angriffen. Wir erkl\u00e4ren die Gefahr, die dahinter steckt und wie man sich gegen sie sch\u00fctzt.<\/p>\n","protected":false},"author":2569,"featured_media":23424,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3396,62,53],"class_list":{"0":"post-23416","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-bec","9":"tag-e-mail","10":"tag-phishing"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-is-bec-attack\/23416\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/what-is-bec-attack\/19587\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/what-is-bec-attack\/16127\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/what-is-bec-attack\/21158\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/what-is-bec-attack\/19421\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/what-is-bec-attack\/17937\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-is-bec-attack\/22178\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/what-is-bec-attack\/20990\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/what-is-bec-attack\/27623\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/what-is-bec-attack\/7936\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-is-bec-attack\/34135\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/what-is-bec-attack\/14811\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/what-is-bec-attack\/13181\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/what-is-bec-attack\/27902\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/what-is-bec-attack\/25144\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/what-is-bec-attack\/21831\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/what-is-bec-attack\/27040\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/what-is-bec-attack\/26879\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bec\/","name":"BEC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23416","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2569"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=23416"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23416\/revisions"}],"predecessor-version":[{"id":23444,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23416\/revisions\/23444"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/23424"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=23416"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=23416"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=23416"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n\u2022 Anweisungen vom Chef:<\/strong> Hier erstellen die Cyberkriminellen eine gef\u00e4lschte Nachricht im Namen eines (normalerweise hochrangigen) Managers mit technischen Tricks oder Social Engineering.
\n\u2022 Nachricht von einem Anwalt:<\/strong>\u00a0Die Betr\u00fcger schreiben hochrangigen Mitarbeitern (manchmal sogar an den CEO selbst) und verlangen dringend Geld oder sensible Daten unter dem Schein der Vertraulichkeit. Oft geben sie sich als Auftragnehmer aus, z. B. als externer Buchhalter, Lieferanten oder Logistikunternehmen. Die meisten Situationen, in denen eine dringende und vertrauliche Antwort erforderlich ist, sind rechtlicher Natur. Daher werden die Nachrichten normalerweise im Namen eines Anwalts oder einer Anwaltskanzlei gesendet.
\n\u2022 E-Mail-Diebstahl:<\/strong> Der Eindringling erh\u00e4lt Zugriff auf die E-Mail des Mitarbeiters und erteilt entweder eine Anweisung zum \u00dcberweisen von Geldern oder zum Senden von Daten oder initiiert eine E-Mail Korrespondenz mit Mitarbeitern, die dazu berechtigt sind. Diese Option ist besonders gef\u00e4hrlich, da der Angreifer Nachrichten im Postausgang anzeigen kann, wodurch es einfacher wird, den Kommunikationsstil des Mitarbeiters nachzuahmen.<\/p>\nBEC-Angriffstechniken<\/h2>\n
\n\u2022 Lookalike-Domains:<\/strong> Der Cyberkriminelle registriert einen Domainnamen, der dem des Opfers sehr \u00e4hnlich ist. Zum Beispiel b3ispiel.com anstelle von Beispiel.com. Als n\u00e4chstes werden Nachrichten von der Adresse CEO@b3ispiel.com gesendet , in der Hoffnung, dass ein unachtsamer Mitarbeiter die gef\u00e4lschte Domain nicht erkennt. Die Schwierigkeit liegt hier in der Tatsache, dass der Angreifer die gef\u00e4lschte Domain wirklich besitzt, sodass Informationen \u00fcber den Absender alle herk\u00f6mmlichen Sicherheits\u00fcberpr\u00fcfungen bestehen.
\n\u2022 Mailsploits<\/strong>: In E-Mail-Clients werden immer neue Sicherheitsl\u00fccken gefunden. Sie k\u00f6nnen manchmal verwendet werden, um den Client zu zwingen, einen falschen Namen oder eine falsche Absenderadresse anzuzeigen. Gl\u00fccklicherweise werden Infosec-Unternehmen schnell auf solche Sicherheitsl\u00fccken aufmerksam, sodass Sicherheitsl\u00f6sungen ihre Verwendung verfolgen und Angriffe verhindern k\u00f6nnen.
\n\u2022 E-Mail-Diebstahl. Die Angreifer erhalten vollen Zugriff auf ein E-Mail-Konto, woraufhin sie Nachrichten senden k\u00f6nnen, die von echten Nachrichten kaum zu unterscheiden sind. Der einzige Weg, sich automatisch vor dieser Art von Angriff zu sch\u00fctzen, besteht darin, mithilfe von Tools f\u00fcr maschinelles Lernen die Urheberschaft der E-Mails zu bestimmen.<\/p>\nF\u00e4lle, denen wir begegnet sind<\/h2>\n
Gef\u00e4lschter Name<\/h3>\n
![\"Der](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/03\/25122649\/what-is-BEC-attack-Example-1.png\")
Gef\u00e4lschte Adresse<\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/03\/25123055\/what-is-BEC-attack-Example2.jpg\")
Hier wird der Nachrichtenkopf so ge\u00e4ndert, dass der Client sowohl den Namen als auch die E-Mail-Adresse des legitimen Mitarbeiters anzeigt, die E-Mail des Angreifers jedoch als Antwortadresse angegeben wird. Infolgedessen werden Antworten auf diese Nachricht an not_bob@gmail.com gesendet. Viele Clients verbergen das Antwortfeld standardm\u00e4\u00dfig, sodass diese Nachricht auch bei genauer Betrachtung echt erscheint. Theoretisch k\u00f6nnte ein Angriff mit einer solchen Nachricht gestoppt werden, indem SPF, DKIM und DMARC auf dem Mail-Server des Unternehmens korrekt konfiguriert werden.<\/p>\nGhost Spoofing<\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/03\/25123244\/what-is-BEC-attack-Example-3.png\")
<\/p>\nLookalike-Dom\u00e4ne<\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/03\/25123429\/what-is-BEC-attack-Example-4.jpg\")
ALT: Der Lookalike-Domain-Trick<\/p>\nHochkar\u00e4tige BEC-Angriffe<\/h2>\n
\n\u2022 Cyberkriminelle gaben vor, eine Baufirma zu sein, und \u00fcberzeugten die University of South Oregon, fast 2 Millionen US-Dollar auf Dummy-Konten zu \u00fcberweisen.<\/a>
\n\u2022 Einige Betr\u00fcger mischten sich in die Korrespondenz zwischen zwei Fu\u00dfballclubs ein, indem sie eine Domain registrierten, die den Namen eines von ihnen enthielt, aber eine andere Domain-Endung hatte. Die beiden Vereine, Boca Juniors und Paris Saint-Germain, diskutierten \u00fcber den Transfer eines Spielers und die Kommission f\u00fcr den Deal. Infolgedessen gingen fast 520.000 \u20ac an verschiedene betr\u00fcgerische Konten in Mexiko.
\n\u2022 Toyotas europ\u00e4ischer Arm verlor mehr als 37 Millionen US-Dollar an Cyberkriminelle als Folge einer gef\u00e4lschten \u00dcberweisungsanweisung, die ein Mitarbeiter f\u00fcr legitim hielt.<\/p>\nUmgang mit BEC-Angriffen<\/h2>\n