Best Practices zur Abwehr von BEC-Angriffen (Business Email Compromise)

  • Der Begriff Business Email Compromise (BEC) bezieht sich auf alle Arten von E-Mail-Angriffen, die keine Nutzdaten enthalten. Obwohl es zahlreiche Arten gibt, gibt es im Wesentlichen zwei Hauptmechanismen, über die Angreifer mit BEC-Techniken in Unternehmen eindringen: Spoofing und Kontoübernahme-Angriffe.

    In einer kürzlich durchgeführten Studie gaben 71 % der Unternehmen zu, dass sie im vergangenen Jahr Opfer eines BEC-Angriffs (Business Email Compromise) geworden sind. Dreiundvierzig Prozent der Unternehmen hatten in den letzten 12 Monaten einen Sicherheitsvorfall, wobei 35 Prozent angaben, dass mehr als 50 % der Vorfälle auf BEC-/Phishing-Angriffe zurückzuführen sind.

    Das Internet Crime Complaint Center (IC3) des FBI berichtet, dass BEC-Betrügereien im Jahr 2020 mit 19.369 Beschwerden und einem bereinigten Schaden von rund 1,8 Milliarden US-Dollar die teuersten Cyberangriffe waren. Zu den jüngsten BEC-Angriffen gehören Spoofing-Angriffe auf die Shark-Tank-Moderatorin Barbara Corcoran, die 380.000 Dollar verlor, Angriffe auf die puertoricanische Regierung, die sich auf 4 Millionen Dollar beliefen, und den japanischen Medienriesen Nikkei, der aufgrund von Anweisungen in einer betrügerischen E-Mail 29 Millionen Dollar überwies.

    Um einen BEC-Angriff zu vereiteln, muss sich ein Unternehmen auf das Goldene Dreieck konzentrieren: die Abstimmung von Menschen, Prozessen und Technologie. Lesen Sie weiter, um die besten Praktiken zu entdecken, die jedes Unternehmen befolgen sollte, um BEC-Angriffe zu entschärfen.

    Prozess

    In jedem Unternehmen verfügt die Finanzabteilung über eine Ausgabengenehmigungspolitik. Diese Richtlinie legt klare Genehmigungsstufen für alle Ausgaben/Zahlungen fest, um das Vermögen des Unternehmens zu schützen.

    Während alle Ausgaben/Zahlungen Teil eines genehmigten Budgets sein sollten, stellt diese Richtlinie ein Instrument für die Finanzabteilung dar, um sicherzustellen, dass jede Zahlung von der richtigen Person oder den richtigen Personen auf der Grundlage des Betrags genehmigt wird.

    In manchen Fällen hat der CEO oder Präsident eines Unternehmens unbegrenzte Befugnisse, wenn es darum geht, Zahlungen anzufordern. Cyberkriminelle wissen das, weshalb sie die E-Mail-Konten hochrangiger Personen fälschen.

    In Anbetracht der aktuellen Cybersicherheitslandschaft sollte die Finanzabteilung diese Richtlinie neu bewerten und strengere Verfahren einführen. Dies könnte bedeuten, dass für größere Ausgaben, die per Scheck, Überweisung oder über einen anderen Kanal bezahlt werden, mehrere Genehmigungen erforderlich sind, um sicherzustellen, dass der Zahlungsantrag rechtmäßig ist. Es kann auch festgelegt werden, wie elektronische Genehmigungen eingeholt werden.

    Wenn beispielsweise jemand in der Finanzabteilung eine E-Mail vom CEO erhält, in der eine Überweisung angefordert wird, muss der Sachbearbeiter, der die Anforderung bearbeitet, die Unternehmensrichtlinien befolgen, um zusätzliche Genehmigungen einzuholen, einschließlich des Versands von E-Mails an eine vorab genehmigte Verteilerliste, um elektronische Genehmigungen zusammen mit telefonischen Bestätigungen zu erhalten. Die Ausgabenbeträge bestimmen, wer unterschreiben und mitunterzeichnen kann, und richten sich nach der Risikobereitschaft Ihres Unternehmens, d. h. danach, wie viel Ihr Unternehmen bereit ist zu verlieren.

    Als Mitglied des IT-Teams sollten Sie mit der Finanzabteilung sprechen und erklären, wie BEC- und andere Spoofing-Angriffe ablaufen. Bringen Sie Beispiele aus der Praxis für jüngste BEC-Angriffe und überlegen Sie, was Ihr Unternehmen anders machen würde, um den Angriff zu vereiteln. Auf der Grundlage dieser Beispiele sollte die Finanzabteilung die aktuelle Richtlinie im Hinblick auf Cybersecurity-Spoofing und BEC neu bewerten. Dies kann bedeuten, dass der Vorstandsvorsitzende, der CEO oder der Präsident des Unternehmens nicht die einzige Unterschrift für größere Ausgaben sein kann, wobei der Dollarbetrag wiederum von der Risikobereitschaft Ihres Unternehmens abhängt.

    Nachdem das Verfahren nun im Rahmen der Ausgabengenehmigungspolitik festgelegt ist, muss das Unternehmen sicherstellen, dass seine Mitarbeiter geschult sind, diese Politik ausnahmslos zu befolgen.

    Mitarbeiter

    Alle Unternehmensmitarbeiter müssen geschult werden, damit sie wissen, wie ein Angriff auf die Cybersicherheit aussieht, was sie tun und was sie nicht tun sollten. Diese Schulungen sollten kontinuierlich durchgeführt werden, da sich die Cybersicherheitslandschaft so schnell verändert.

    Mitarbeiter in der Finanzabteilung – oder jeder, der befugt ist, Gelder in irgendeiner Form auszuzahlen – sollten darin geschult werden, wie BEC- und andere Spoofing-Angriffe aussehen.

    Betonen Sie, dass viele dieser Angriffe in Form von E-Mails von hochrangigen Führungskräften erfolgen, dass es sich dabei in der Regel um “dringende” Anfragen handelt und dass die Anfrage manchmal nur Minuten vor Geschäftsschluss gesendet wird und eine sofortige Zahlung erfordert. Mit dieser Schulung und der Vorschrift, dass alle Mitarbeiter die Richtlinien zur Genehmigung von Ausgaben befolgen müssen, sollte Ihr Unternehmen in der Lage sein, BEC-Angriffe zu stoppen.

    Viele Unternehmen schließen eine Versicherung ab, um diese BEC-Verluste zu decken, aber kein Unternehmen kann sicher sein, dass der Versicherer zahlt. So hat beispielsweise das Handelsunternehmen Virtu Financial Inc. bei einem BEC-Betrug 6,9 Millionen Dollar verloren, aber sein Versicherer, Axis Insurance, hat die Zahlung mit der Begründung verweigert, dass “der unbefugte Zugriff auf das Computersystem von Virtu nicht die unmittelbare Ursache für den Verlust war, sondern dass der Verlust durch separate und zwischengeschaltete Handlungen von Mitarbeitern von Virtu verursacht wurde, die die Überweisungen ausstellten, weil sie die ‘gefälschte’ E-Mail, in der um die Überweisung der Gelder gebeten wurde, für wahr hielten.” Virtu Financial Inc. hat eine Klage gegen Axis Insurance eingereicht, weil sie sich weigerte, den Cyberangriff zu versichern, und damit gegen den Vertrag verstieß.

    Technologie

    Die fortschrittliche Cybersicherheitstechnologie der nächsten Generation kann jede E-Mail-Bedrohung abwehren, einschließlich Spam, Phishing, BEC- und Folgeangriffe, Advanced Persistent Threats (APTs) und Zero-Day-Angriffe auf Schwachstellen – und zwar bevor die Bedrohung den Endbenutzer erreicht.

    Diese Arten von Lösungen umfassen:

    • Eine Anti-Spam-Engine, die bösartige Kommunikation mit Anti-Spam- und reputationsbasierten Filtern blockiert.
    • Eine Anti-Phishing-Engine zur Erkennung bösartiger URLs und zur Verhinderung jeglicher Art von Phishing-Angriffen, bevor sie den Endbenutzer erreichen.
    • Eine Anti-Spoofing-Engine zur Verhinderung von Angriffen ohne Nutzdaten wie Spoofing, ähnlich aussehende Domänen und Täuschung durch Anzeigenamen.
    • Anti-Evasion-Technologien, die bösartige versteckte Inhalte erkennen, indem sie den Inhalt rekursiv in kleinere Einheiten (Dateien und URLs) entpacken, die dann innerhalb von Sekunden von mehreren Engines dynamisch überprüft werden.
    • Maschinelle Intelligenz (MI) und Verarbeitung natürlicher Sprache (NLP) zur Prüfung auf Abweichungen von der Norm in Inhalt und Kontext, z. B. zur Erkennung eines ungewöhnlichen Schreibstils, von Schlüsselwörtern, die auf bösartige Aktivitäten hindeuten könnten, von seltsamen IP-Adressen, geografischen Standorten, Zeitangaben usw.
    • Erkennung, um fortgeschrittene Bedrohungen und Zero-Day-Angriffe zu verhindern.
    • Ad-hoc-E-Mail-Analyse für Endbenutzer, um verdächtige E-Mails zu erkennen, bevor sie unbedacht handeln.
    • Kontexthilfe für Endbenutzer zur Kennzeichnung von E-Mails mit anpassbaren Bannern auf der Grundlage von Richtlinien und Regeln, um Endbenutzern zusätzliche kontextbezogene Informationen zu liefern und ihr Sicherheitsbewusstsein zu erhöhen.

    Die Lösung sollte in der Lage sein, Spoofing und Account-Takeover-Angriffe zu erkennen und zu stoppen, bei denen ein Cyberkrimineller Zugang zu einem legitimen E-Mail-Konto erhält und versucht, weiter in das Netzwerk einzudringen.

    Abschließende Überlegungen

    Die Leistungsfähigkeit dieser Angriffe ist der Grund, warum sich Unternehmen und Managed Service Provider (MSPs) für die Lösungen von Acronis Cyber Protection entscheiden. Mit einer einzigartigen Kombination aus maschineller Intelligenz (MI), Automatisierung und Integration wurde diese All-in-One-Cyber-Protection-Lösung entwickelt, um das Unternehmensrisiko zu senken und die Produktivität zu verbessern, unabhängig davon, wie der Datenverlust erfolgt.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com