Die sorgfältige Auswahl des Ziels und das Streben nach höheren Renditen, selbst wenn Sie ein Cyberkrimineller sind, ist das größte Motiv einer Transaktion. Dieses Phänomen hat einen neuen Trend namens gestartet BEC oder Geschäftskompromittierungsbetrug. Bei diesem sorgfältig ausgeführten Betrug nutzt der Hacker Social Engineering, um den CEO oder CFO der Zielfirma zu ermitteln. Die Cyberkriminellen senden dann betrügerische E-Mails, die von diesem bestimmten leitenden Angestellten adressiert sind, an die für Finanzen zuständigen Mitarbeiter. Dies wird einige von ihnen dazu veranlassen, Überweisungen einzuleiten.
Geschäftskompromittierungsbetrug
Anstatt unzählige Stunden mit Phishing zu verbringen oder die Firmenkonten zu spammen und am Ende nichts zu tun, scheint diese Technik für die Hacker-Community bestens zu funktionieren, denn selbst ein kleiner Umsatz führt zu saftigen Gewinnen. Ein erfolgreicher BEC-Angriff führt zu einem erfolgreichen Eindringen in das Geschäftssystem des Opfers, uneingeschränktem Zugriff auf Mitarbeiterdaten und erheblichen finanziellen Verlusten für das Unternehmen.
Techniken zur Durchführung von BEC-Betrug
- Verwendung eines erzwingenden oder drängenden Tons in der E-Mail, um eine höhere Fluktuation von Mitarbeitern zu fördern, die der Bestellung ohne Untersuchung zustimmen. Zum Beispiel „Ich möchte, dass Sie diesen Betrag so schnell wie möglich an einen Kunden überweisen“, was Befehl und finanzielle Dringlichkeit umfasst.
- E-Mail-Spoofing tatsächlicher E-Mail-Adressen durch die Verwendung von Domänennamen, die dem echten Geschäft fast nahe kommen. Beispielsweise ist die Verwendung von yah00 anstelle von yahoo sehr effektiv, wenn der Mitarbeiter nicht zu sehr darauf beharrt, die Adresse des Absenders zu überprüfen.
- Eine weitere wichtige Technik, die Cyberkriminelle verwenden, ist der Betrag, der für Überweisungen verlangt wird. Der in der E-Mail angeforderte Betrag sollte mit der Autorität des Empfängers im Unternehmen übereinstimmen. Höhere Beträge dürften Verdacht erregen und das Problem in die Cyberzelle eskalieren lassen.
- Kompromittierung geschäftlicher E-Mails und anschließender Missbrauch der IDs.
- Die Verwendung benutzerdefinierter Signaturen wie „Von meinem iPad gesendet“ und „Von meinem iPhone gesendet“ ergänzt die Tatsache, dass der Absender nicht über den erforderlichen Zugriff verfügt, um die Transaktion durchzuführen.
Gründe, warum BEC wirksam ist
Business Compromise Scams werden durchgeführt, um Mitarbeiter auf niedrigeren Ebenen in der Verkleidung eines leitenden Mitarbeiters anzugreifen. Dies spielt mit dem Sinn von ‚Furcht‚ abgeleitet von der natürlichen Unterordnung. Die untergeordneten Mitarbeiter werden daher tendenziell hartnäckig auf die Fertigstellung warten, meist ohne sich um komplizierte Details zu kümmern, auf die Gefahr hin, Zeit zu verlieren. Wenn sie also in einer Organisation arbeiten, wäre es wahrscheinlich keine gute Idee, eine Bestellung des Chefs abzulehnen oder zu verzögern. Sollte sich die Anordnung tatsächlich bewahrheiten, wäre die Situation für den Arbeitnehmer nachteilig.
Ein weiterer Grund, warum es funktioniert, ist das von Hackern verwendete Element der Dringlichkeit. Das Hinzufügen einer Zeitleiste zur E-Mail lenkt den Mitarbeiter auf die Erledigung der Aufgabe ab, bevor er sich um Details wie die Echtheit des Absenders kümmert.
Statistiken zu geschäftlichen Kompromittierungsbetrugen
- BEC-Fälle sind seit ihrer Entdeckung vor einigen Jahren auf dem Vormarsch. Es wurde festgestellt, dass alle Bundesstaaten der USA und über 79 Länder weltweit Unternehmen hatten, die erfolgreich mit Business Compromise Scams ins Visier genommen wurden.
- Tatsächlich wurden in den letzten Jahren über 17.500 Unternehmen, insbesondere Mitarbeiter, BEC-Zielen unterworfen und haben dem Unternehmen am Ende erhebliche Verluste zugefügt. Der Gesamtschaden beläuft sich auf rund 2,3 Milliarden Dollar.
Verhinderung von Unternehmenskompromittierungsbetrug
Zwar gibt es kein offensichtliches Heilmittel gegen Social Engineering und das Hacken in die Systeme des Unternehmens mit Zugriff eines Mitarbeiters, aber es gibt sicherlich einige Möglichkeiten, die Mitarbeiter zu warnen. Alle Mitarbeiter sollten über diese Angriffe und ihre allgemeine Natur aufgeklärt werden. Sie sollten angewiesen werden, ihren Posteingang regelmäßig auf gefälschte E-Mail-Adressen zu überprüfen. Abgesehen davon sollten alle derartigen Anordnungen der obersten Führungsebene telefonisch oder im persönlichen Kontakt mit der Behörde verifiziert werden. Das Unternehmen sollte die doppelte Überprüfung von Daten fördern.