BEC – Angreifer verdoppeln durchschnittliche Beuteforderungen innerhalb nur eines Quartals

Vor kurzem hat die Anti-Phishing Working Group (APWG) ihren Phishing-Report für das vierte Quartal 2024 vorgelegt. Im Vergleich zu den vorangegangenen Monaten hat sich die Zahl der ermittelten Phishing-Angriffe noch einmal deutlich erhöht – auf annähernd eine Million Angriffe pro Quartal. Erneut gestiegen ist auch der durchschnittliche Geldbetrag, den Cyberkriminelle bei einem BEC-Angriff mittlerweile von ihren Opfern für sich reklamieren. Er hat sich verdoppelt – von umgerechnet rund 60.000 Euro in Q3 auf umgerechnet rund 120.000 Euro in Q4.

Bei einem Business Email Compromise-Angriff, kurz BEC-Angriff, geben Cyberkriminelle sich als Mitarbeiter, Lieferanten oder eine andere vertrauenswürdige Partei aus und versuchen dann, über Fake-Business-E-Mails – daher der Name – ihre Opfer dazu zu bewegen, Geld, Informationen oder auch andere Assets an sie weiterzuleiten. Dabei bringen sie in aller Regel Phishing-, Spear Phishing- und Social Engineering-Taktiken zum Einsatz.

Die zentrale Strategie der Angreifer war in Q4 – wie schon in Q3 zuvor – ihre Opfer zum Erwerb und zur Weitergabe von Geschenkkarten und deren Buchstaben-/Zahlen-Codes zu überreden. 49 Prozent der BEC-Angreifer gingen nach diesem Schema vor. Weitere 12 Prozent versuchten, ihre Opfer zum Erwerb und zur Weiterleitung von Kryptowährungen zu überreden. Ein deutlicher Anstieg. In Q3 hatten es nur 2,7 Prozent der Angreifer auf digitale Währungen abgesehen. Einen Kreditbetrug hatten 4 Prozent der BEC-Angriffe zum Ziel. Ein BEC-Kreditbetrug ist eine Art von Vorschussbetrug, bei dem sich ein Betrüger als Kreditgeber ausgibt, um Opfern eine zinsgünstige Finanzierung unterhalb des Marktniveaus anzubieten – allerdings nur nach der Begleichung einer Reihe von ‚Gebühren‘, die im Voraus zu entrichten sind. 3,3 Prozent der BEC-Betrugsversuche schließlich, hatten eine Erpressung zum Gegenstand. Die Angreifer gaben sich hier als Vertreter einer nationalen Strafverfolgungsbehörde aus. In den E-Mail-Nachrichten wurde dann zum Beispiel behauptet, dass das Opfer wegen Kindesmissbrauchs gesucht werde und eine Geldstrafe zu entrichten habe. Andernfalls drohe die sofortige Verhaftung.

Die Kommunikation der BEC-Angreifer erfolgt, wie der Name schon sagt, über E-Mails. Gmail war in Q4 der bei weitem beliebteste Webmail-Service, der von Cyberkriminellen für ihre BEC-Angriffe genutzt worden ist. 81 Prozent der Angriffe wurden hierüber geführt. Weit abgeschlagen, auf Platz 2, landete Microsofts Webmail, über das lediglich 10 Prozent der E-Mail-basierten BEC-Angriffe geführt wurden.

Der Phishing-Report zeigt: BEC-Angriffe nehmen quali- wie quantitativ immer weiter zu. Zunehmend finden beim BEC Strategien und Taktiken Anwendung, wie man sie schon länger von regulären Phishing-, Spear Phishing- und Social Engineering-Angriffen kennt – mit wachsendem Erfolg. Unternehmen werden deshalb nicht umhinkommen, hier mehr zu tun. Sie müssen ihren Mitarbeitern sicherere E-Mail-Lösungen für ihre Business-Kommunikation bereitstellen und Anstrengungen unternehmen, das Bewusstsein für die im Internet lauernden Sicherheitsrisiken innerhalb der gesamten Belegschaft weiter anzuheben. Hierzu werden sie strukturierter, umfassender und kontinuierlicher vorgehen müssen als bisher. Sie werden die Human Risks, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen müssen. Menschliche Risiken haben, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren zu werden.

Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen wie BEC zu machen und ihre Human Risks erfolgreich zu reduzieren.

Bild/Quelle: https://depositphotos.com/de/home.html