Betroffen sind zwei Rüstungsunternehmen und eine Universität in den USA

Kommentar von Detlev Weise, Managing Director bei KnowBe4

Laut der Newsseite CyberScoop verloren zwei Rüstungsunternehmen und eine Universität im vergangenen Jahr etwa 170.000 US-Dollar durch den sogenannten Business-E-Mail-Compromise (BEC). Die Betrüger gaben sich als Mitarbeiter in den Unternehmen aus, indem sie E-Mail-Adressen fälschten, und dann gefälschte Kreditlinien nutzten, um teure Einkäufe zu tätigen.

Im Gegensatz zu Massen-Phishing-Angriffen ist BEC eine Form besonders gezielten E-Mail-Betrugs, der Mitarbeiter in den Unternehmen nachahmt. Ziel ist es betrügerische Überweisungen zu erbitten und Unternehmensdaten, Anmeldedaten und andere vertrauliche Daten zu stehlen. Da sie selten schädliche Links oder Anhänge enthalten, sind BEC-Scams extrem schwer zu verhindern.

In einem Fall gab sich ein Betrüger als Universitätsmitarbeiter aus und bestellte 150 elektronische Messinstrumente bei einem US-Verteidigungsunternehmen, wodurch insgesamt 80.000 US-Dollar gestohlen wurden. Zwei ähnliche Vorfälle führten dazu, dass Verteidigungsunternehmen weitere 90.000 US-Dollar verloren.

Cyberkriminelle haben mit BEC in den letzten Jahren immer wieder Profite erzielen können. Eine in London ansässige kriminelle Gruppe hatte laut dem E-Mail-Sicherheitsunternehmen Agari eine Liste von mehr als 50.000 Unternehmensbeamten, darunter die der weltweit größten Banken, zusammengestellt, um im großen Stil Geld zu erpressen.

Das FBI kommentierte den Vorfall damit, dass diese Betrügereien verhindert werden hätten können. Die betroffenen Rüstungsfirmen hätten Schritte unternehmen müssen, um zu bestätigen, dass die Käufe fingiert waren. In vielen Fällen kann ein einfacher telefonischer Anruf bei der Gegenpartei einen betrügerischen E-Mail-Austausch aufdecken. Das New School-Security Awareness Training kann Mitarbeitern beibringen, allen Transaktionsanforderungen zu misstrauen, bis sie sich ihrer Legitimität absolut sicher sind.