Cyberkriminelle bespitzeln Geschäfts-E-Mails

Bei der Angriffsmethode "Business E-Mail-Compromise" - kurz "BEC" und zu Deutsch "Fremdzugriff auf geschäftliche E-Mails" - versuchen Cyberkriminelle, Zugriff auf den E-Mail-Verkehr zwischen Firmen und deren Kunden zu erlangen. Eine erfolgreiche Invasion in den E-Mail-Verkehr kann bei den Betroffenen einen enormen Schaden verursachen, wie das Bundesamt für Cybersicherheit (BACS) warnt. Mit dem Zugriff auf ein Geschäftskonto können Angreifer an wertvolle Informationen wie Zahlungsinformationen, Projekt- oder Kundendaten, technische Produktdetails oder andere Informationen zu Kundenbeziehungen gelangen. 

In diesen BEC-Fällen stellen Betrüger dem BACS zufolge ihren Opfern meistens unter einem Vorwand manipulierte Rechnungen zu. Dabei hoffen sie, dass der Rechnungsempfänger die geforderte Zahlung leistet. In anderen Fällen würden Konkurrenten oder andere Interessierte mittels Einsicht in sensible Dokumente versuchen, technische Rückstände aufzuholen. Eine weitere Strategie bestehe darin, Projekt- und Offertenunterlagen auszuspähen, um sich damit Wettbewerbsvorteile zu verschaffen.

Weiterleitungsregeln ausgenutzt

Dem BACS wurde kürzlich ein Fall der letzteren Art gemeldet. Es soll sich dabei um eine Form der Industriespionage gehandelt haben. Am Anfang eines solchen Angriffs stehe der Versuch, Zugang zu einem für die Kriminellen relevanten E-Mail-Konto zu erhalten. In vielen Fällen liessen sich dazu nützliche Informationen zu Kunden- oder Angestelltenverhältnissen direkt auf der Firmenwebsite oder über Linkedin finden. Die Betrüger würden ihren potenziellen Opfern eine Phishing-E-Mail mit der Aufforderung zur Passworteingabe für das eigene E-Mail-Konto zusenden. So kommen die Angreifer laut BACS ihrem Ziel bereits näher - ausser, wenn eine Zwei-Faktor-Authentisierung aktiviert ist. Erlangen die Betrüger Zugriff auf das Konto, würden sie häufig versuchen, Weiterleitungsregeln einzurichten. Damit erhalten sie den kompletten E-Mail-Verkehr als Kopie und können dadurch für längere Zeit unentdeckt bleiben, wie es weiter heisst.

Im Fall, der dem BACS gemeldet wurde, seien die Täter sogar noch weiter gegangen: Nach dem Konto-Zugriff hätten sie für die Internet-Domänen mehrerer Kunden wie auch jener der betroffenen Firma ähnlich aussehende Domänen registrieren lassen. Dabei haben sie dem BACS zufolge die Top-Level-Domäne ".cam" benutzt. Diese Domänen-Endung kann aufgrund der Verwechslungsgefahr mit der weitverbreiteten ".com"-Domäne schnell zu Missverständnissen führen - was die Betrüger in diesem Fall ausgenutzt hätten. So seien die Cyberkriminellen in der Lage gewesen, die Kommunikation zwischen Kunden und Firma mitzuverfolgen und sich als die jeweils andere Partei auszugeben. 

Solche Fälle fliegen dem BACS zufolge jedoch häufig auf. So auch in vorliegendem Beispiel, bei dem grössere Schäden verhindert werden konnten. Das BACS empfiehlt jedoch zur Vorbeugung dieser Betrugsmasche die Sensibilisierung von Mitarbeitenden in Schlüsselpositionen. Auch eine Zwei-Faktor-Authentisierung sei ratsam sowie eine Einschränkung des Kontozugangs auf kleinere Adressbereiche. Zudem legt das BACS den Unternehmen nahe, die Weiterleitungsregeln auf den Geschäfts-E-Mail-Konten periodisch zu überprüfen. Bei Aufforderungen zu Änderungen im Zahlungsverkehr soll in jedem Fall beim Empfänger - am besten telefonisch - nachgefragt werden. Tappen Unternehmen in die Falle, rät das BACS zu einer Anzeige bei der Polizei.

Kürzlich hat das BACS zahlreiche Meldungen erhalten, bei denen insbesondere Kirchen, Schulen, Vereine und Parteien ins Fadenkreuz der Cyberkriminellen geraten sind. Lesen Sie hier mehr über die Warnung des BACS zum sogenannten CEO-Fraud.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.