Business Email Compromise (BEC)

Vorsicht vor der netten E-Mail: 8 Tipps gegen BEC (Business E-Mail Compromise)

Das Bewusstsein für Angriffe aus dem Netz und insbesondere Angriffe in Form von betrügerischen E-Mails ist gestiegen. Doch nach den letzten Pandemiewellen hat sich die Arbeitswelt verändert: Home-Office ist das „New Normal“– und plötzlich sind altbewährte Kommunikationswege manchmal verzögert oder sogar gestört. So lässt sich oftmals nicht schnell und einfach verifizieren, ob eine Anfrage oder Anweisung zur Geldüberweisung auch tatsächlich vom korrekten Absender stammt.

Das machen sich aktuell viele Hacker zunutze und versuchen, die Gutgläubigkeit der Mitarbeiter zu missbrauchen. So auch geschehen bei indevis. Doch Dank etablierter Sicherheitsmechanismen konnte die gefälschte E-Mail eines angeblichen Kollegen mit der Bitte um Hinterlegung einer neuen Kontoverbindung für die Gehaltszahlung abgewendet werden. 

Steigende Flut an Betrugsmails im New Normal

Zuerst dachte sich die Kollegin aus der Finanzabteilung nichts dabei: Der sympathische Mitarbeiter aus der Consulting-Abteilung bat per gut formulierter E-Mail um eine Änderung seiner Bankverbindung für die nächste Gehaltszahlung. Glücklicherweise funktionierten die etablierten Kontrollmechanismen: Die Mitarbeiterin inkludierte in ihrer Antwort die HR-Chefin. Diese erinnerte den Kollegen in einer weiteren E-Mail daran, dass er seine Bankverbindung im HR-Selfservice-Portal eigenständig ändern muss.

Anhand der Rückmeldung fielen dann die Ungereimtheiten der Anfrage deutlicher ins Auge. Der Angreifer täuschte angebliche Schwierigkeiten vor, diese Änderungen selbst vornehmen zu können. Zudem siezte er plötzlich die Kolleginnen und die Absenderadresse war nun erkennbar eine andere. 

Was für ein Schreck! Kann es sein, dass es sich tatsächlich um einen echten Angriff handelt und man gerade live mit einem Hacker kommuniziert? Sofort lösten die Kolleginnen Alarm bei den gemäß eines Notfallplans vorgeschriebenen Führungskräften und Abteilungen (IT und Compliance) aus. Damit war der Angriff gestoppt.

8 hilfreiche Tipps zur Vorsorge gegen Betrugs-E-Mails (BEC):

Dieses Ereignis war nicht der einzige Betrugsversuch in dieser Form bei der indevis und reiht sich ein in eine lange Kette erfolgloser BEC-Vorfälle. Folgende acht Tipps haben uns geholfen, uns zu schützen und diese möchten wir mit Ihnen teilen:  

1. Darstellung im E-Mail-System: Vollständige E-Mail-Adressen und Kennzeichnung intern/extern

Sorgen Sie dafür, dass auch im internen E-Mail-Verkehr immer die komplette Absender-Adresse in Ihrem E-Mail-System dargestellt wird. Verkürzte Adressen, beispielsweise nur der Name des Absenders, sind zwar bequem. Im Kommunikationsverhalten verführt dies allerdings zu Nachlässigkeit und bietet Angreifern die Möglichkeit zur Manipulation mit einem E-Mail-Alias. Wir empfehlen die Darstellung der vollständigen E-Mail-Adresse, weil so die tatsächliche Absender-Domain mit angezeigt wird. In vielen E-Mail-Systemen lässt sich auch eine automatische Kennzeichnung der E-Mail-Herkunft (intern / extern) einstellen. Auf diese Weise fällt dem Empfänger meistens schon auf den ersten Blick auf, dass an der E-Mail-Adresse etwas nicht stimmt.

2. E-Mail-Autosignaturen auch bei der internen Kommunikation

Etablieren Sie auch in Ihrer internen Firmenkommunikation E-Mail-Autosignaturen. Autosignaturen sind eine weitere Hürde für Betrüger, denn sie müssen ebenfalls gefälscht werden und genauso einzigartig aussehen, wie eine reguläre Autosignatur Ihres Unternehmens gestaltet ist. Das erfordert viel Einfühlungsvermögen. Deshalb sind nicht ohne Grund viele Betrugs-E-Mails reine „Text-Nachrichten“. Oftmals sind E-Mail-Autosignaturen allerdings sehr lang und enthalten viele rechtliche Hinweise. Das macht es, je nach Darstellungsweise Ihres E-Mail-Systems, mühselig, bei langen internen E-Mail-Ketten immer zwischen den Autosignaturen die eigentlich relevanten Textabschnitte zu identifizieren. Führen Sie daher, falls möglich, zwei unterschiedlich lange E-Mail-Autosignaturen in Ihrem Unternehmen ein: 

  • Eine ausführliche Signatur mit sämtlichen juristischen Angaben und grafischen Gestaltungselementen (z.B. Banner) für die externe Kommunikation. 
  • Daneben noch eine zweite, kurze Signatur für die interne Kommunikation – nur mit den reinen Kontaktdetails des Senders. Das „verschlankt“ die Optik Ihrer internen E-Mail-Ketten deutlich.

Falls so eine Zweiteilung Ihrer Signaturen nicht möglich ist, sollten Sie wenigstens eine reguläre Signatur verwenden. Betrüger hassen Signaturen, denn sie bedeuten unbequemen Fälschungsaufwand.

3. Kommunikation auf Tonalität und Firmenkultur überprüfen

Checken Sie eingehende E-Mails auf ihre Tonalität und Kommunikationsstil. Die Zeiten, in denen Sie Betrugsmails anhand von Tippfehlern oder schlechter Grammatik erkennen konnten, sind leider vorbei. Wie gehen Sie üblicherweise firmenintern miteinander um, kommunizieren Sie sehr formal oder duzen sich alle Kollegen (inklusive Führungskräfte)? Werden Prozesse normalerweise immer intern vorab besprochen und gibt es selbst bei außergewöhnlichen Umständen, was ja im Bereich des Möglichen liegt, stets noch zusätzliche Erläuterungen des betreffenden Kollegen? Es gilt: Augen auf und alle Sinne schärfen, wenn plötzlich E-Mails mit Anweisungen im Telegrammstil eintreffen!

4. Klare Freigabe-Richtlinien und 4-Augen-Prinzip

Definieren Sie eindeutige Prozesse, wie in Ihrer Buchhaltung Zahlungsaufforderungen gehandhabt und Überweisungen getätigt werden. Rechnungen sollten immer von der jeweiligen Fachabteilung geprüft und freigegeben werden. Alle gehaltsbezogenen Änderungen von Kontoinformationen oder Beträgen müssen immer von der Personalabteilung gegengeprüft werden. Bei inhaltlich unspezifischen Anweisungen von übergeordneten Mitarbeitern sollte immer die Führungskraft der Finanzabteilung eine vorherige Freigabe erteilen.

5. Medienwechsel bei Kontroll-Fragen

Wie im beschriebenen Fall sollten Änderungen von Kontonummern bei Gehaltszahlungen nie von der Buchhaltung vorgenommen werden. Am besten ist hier der Einsatz eines Personalverwaltungssystems, bei denen solche Angaben von den Mitarbeitern selbst aktualisiert werden können. Gibt es keine HR-Systeme, ist die Vereinbarung und Hinterlegung eines Sicherheits-Kennworts eine geeignete Maßnahme zur Verifikation der Echtheit einer solchen Anfrage. Außerdem ist es ratsam, auch für den Fall, dass der Kollege nicht erreichbar ist und der Angreifer von der Dienstreise oder dem Urlaub des betroffenen Mitarbeiters Kenntnis hat, einen Medienwechsel in der Kommunikation vorzunehmen, und nicht einfach auf das eingegangene E-Mail direkt zu antworten. Denn dieses landet nur wieder beim Betrüger, der mit etwas Geschick eine glaubhafte „Kollegen-Fassade“ in der Kommunikation aufrechterhalten kann. Nehmen Sie Ihre Kontrollfragen beim Mitarbeiter lieber auf einem anderen Kanal vor: bevorzugt mittels internem Firmen-Chat, ggfs. aber auch per SMS, WhatsApp oder über die private E-Mail-Adresse des Kollegen.

6. Warnlampen an bei besonderer Eile

Oftmals sind auch Psycho-Tricks in die E-Mails mit den gefälschten Zahlungsaufforderungen integriert. Wenn ein Chef oder Abteilungsleiter angeblich ganz dringend innerhalb kürzester Zeit die Durchführung einer Überweisung benötigt, dann sollte Extra-Vorsicht geboten sein! Mit der Schilderung von Szenarien wie „der Deal geht sonst verloren“ oder „die Gebühren müssen heute noch bei der örtlichen Behörde für das Genehmigungsverfahren eingehen“ soll natürlich Druck aufgebaut werden. Letztlich verhält es sich ähnlich wie beim Online-Shopping oder in diversen Buchungsportalen und soll zu voreiligem Handeln verleiten: „Nur noch 1 Exemplar auf Lager“, „nur noch 1 Zimmer/Platz zur Verfügung“, „zig andere Personen schauen auch gerade dieses Angebot an“.

7. Social Engineering vorbeugen

Altbekannt aber schwierig in der Umsetzung, denn man möchte sich ja im rechten Licht darstellen: Geben Sie nicht zu viele interne Informationen von sich oder Ihrem Job auf Social Media Plattformen preis! Damit sind gar nicht einmal die berüchtigten Urlaubsfotos oder Party-Schnappschüsse auf Facebook gemeint – sondern Informationen zu Abteilungsstrukturen, konkreten Tätigkeiten und Arbeitsabläufen auf XING oder LinkedIn. Social Engineering ist stets der Startpunkt eines jeden Angriffsvektors. Unwissenheit der Angreifer verringert die Erfolgschancen von Betrugsmails deutlich.

8. Bonus-Tipp: Tool zur Überprüfung der tatsächlichen Absender E-Mail-Adresse

Wenn Sie wissen wollen, woher eine E-Mail tatsächlich kommt, so ermöglicht Ihnen das Online Service Tool von WhatIsMyIPAdress.com neben einer IP-Rückwärtssuche auch das Scannen von Mails auf die Absender IP-Adresse. Sie erhalten die IP-Adresse und den ungefähren Standort des Absender-PCs. Dazu benötigen Sie zuerst den Header der Mail und müssen sich hierfür die E-Mail als Quelltext anzeigen lassen (meist über den Menübefehl „Optionen“ oder „Einstellungen“). Im nächsten Schritt kopieren Sie den Header, der sich im oberen Teil der Mail befindet, fügen diesen kopierten Quellcode in das Feld unter „Trace Email Analyzer“ ein und klicken auf „Get Source“. Nun erhalten Sie unter "Analysis" verschiedene Informationen, die das Tool aus dem Quelltext erfassen konnte, unter anderem auch die IP-Adresse des Absenders, die blau markiert ist. Noch unterhalb der Analyseergebnisse wird die IP-Adresse und ihr ungefährer Standort auf einer Karte angezeigt.

Wolfram Dorfner
Wolfram Dorfner

Head of Marketing, indevis

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.

indevis IT-Security News

Bleiben Sie auf dem Laufenden mit unserem informativen monatlichen Newsletter.

Tragen Sie sich einfach in den Verteiler ein:

Hier abonnieren!