Phishing

Vorsicht vor der E-Mail vom Chef: Business E-Mail Compromise (BEC)

Immer noch befinden sich viele Arbeitnehmer im Homeoffice. Mittlerweile haben viele Unternehmen festgestellt, dass das aber gar nicht die schlechteste Alternative ist und wollen die Möglichkeit, von zu Hause aus zu arbeiten auch unabhängig von Corona beibehalten oder weiter ausbauen. Vorsicht geboten ist hier aber hinsichtlich der Sicherheit der Homeoffice Umgebung.
 
Nicht nur muss ein sicherer Zugriff auf die Daten gewährleistet sein, auf die von extern zugegriffen wird. Auch die Mitarbeiter selbst sind zu Wachsamkeit angehalten. Denn besonders in der heimischen Umgebung besteht die Gefahr, E-Mail-Anhänge zu öffnen oder auf Links zu klicken, die im Büro nicht geöffnet oder geklickt würden.
 
Der digitale Austausch von Informationen über Video, Firmenchats aber auch E-Mails ist zu Zeiten von „Social Distancing“ während der Corona-Pandemie besonders gefragt. Hacker machen sich diesen Umstand durch Social Engineering zunutze und mischen sich mit betrügerischen E-Mails unter die allgemeine Nachrichtenflut. Der Mensch wird hier als vermeintlich schwächstes Glied in der Sicherheitskette genutzt. Während vermutlich bei jedem die Alarmglocken schrillen, wenn er eine E-Mail von Versandhäusern oder Banken erhält, die in schlechtem Deutsch verfasst sind und von dubiosen Absenderadressen stammen, sieht das bei einer E-Mail vom Chef oft anders aus.

Betrüger in Chef-Verkleidung: Business E-Mail Compromise (BEC)

Betrüger in Chef-VerkleidungCyberkriminelle stehlen Online-Identitäten und E-Mail-Adressen von CEOs und Führungskräften und versenden an Angestellte E-Mails, in denen Sie beispielsweise dazu auffordern, einen bestimmten Betrag auf ein Konto zu überweisen. Oft wissen die Betrüger sehr viel über das Unternehmen, die Hintergründe, mögliche Geschäftsbeziehungen oder tatsächliche Umstände, die eine solche Aufforderung per E-Mail zunächst plausibel erscheinen lassen. Denn sie machen sich für ihre Recherche nicht nur das Internet zunutze, sondern sammeln auch Hintergrundinformationen über Telefonate oder Gespräche, die belauscht werden, bis für sie ein Gesamtbild entsteht. Genau das macht die E-Mails so authentisch und damit gefährlich. Vorbei sind die Zeiten, in denen solche betrügerischen Machenschaften aufgrund von Entgleisungen in Wortschatz und Grammatik aufgedeckt werden können.
 
Oftmals ist auch der Zeitpunkt des „Angriffs“ taktisch klug gewählt. Der Chef befindet sich gerade auf einer Auslandsreise oder hat die wichtige E-Mail angeblich ausnahmsweise während seines Urlaubs verschickt. Eine Verifizierung der Tatsachen ist somit erschwert, zumal auch meistens eine hohe Dringlichkeit mit knappen Deadlines vorgegaukelt wird.

Homeoffice kann leichtsinnig machen

Hinzu kommt in Corona-Zeiten und auch in einer zukünftigen Homeoffice-Situation, dass Mitarbeiter in der heimischen Umgebung leichter beeinflussbar sind. Zu Hause fühlen sich viele von Grund auf sicherer und blenden solche Gefahren vermehrt aus. Es werden unter Umständen weniger Gedanken an die Plausibilität solcher vermeintlichen Forderungen des Chefs gestellt. Für Nachfragen müsste man zum Hörer greifen oder eine Nachricht schreiben – man will den Chef aber schließlich nicht stören oder gar seine Absichten hinterfragen. Und antwortet man doch direkt auf die E-Mail (von der gefälschten Absender-Adresse), bekommt man eine offizielle Bestätigung vom Betrüger höchstpersönlich.

So schützen Sie Unternehmen und Mitarbeiter vor Social Engineering

Dabei helfen ein paar einfache Verhaltensweisen, damit Mitarbeiter sich und ihr Unternehmen vor solchen Attacken schützen können.
 
Mitarbeiter müssen wachsam sein und lernen, bei verdächtigen E-Mails nachzufragen und diese gegebenenfalls löschen. Die geforderte Summe sollte in jedem Fall erst nach Klärung mit dem Vorgesetzten und dem nominellen E-Mail-Verfasser überwiesen werden. Am besten existiert ein vereinbarter Standard-Freigabeprozess mit eingebauten Sicherheitsmechanismen für die Zahlung höherer Beträge. Auf jeden Fall sollte vermieden werden, direkt auf die E-Mail selbst zu antworten. Auch mit der eigenen E-Mail-Adresse sollte vorsichtig verfahren werden. Wenn diese öffentlich ist, wissen Betrüger, an wen sie sich wenden können. Selbstverständlich ist auch bei der Kommunikation im öffentlichen Raum oder mit Anwesenden, die nicht zur Firma gehören, darauf zu achten, dass keine Informationen in die falschen Hände gelangen. Denn Betrüger können sich durch Bruchstücke, die sie an verschiedenen Stellen mitbekommen, ein komplexes Bild formen und ihre Angriffe entsprechend starten.
 
Unternehmen selbst sollten abfragen, ob und inwieweit sich Mitarbeiter mit Social Engineering auskennen und gegebenenfalls Schulungen abhalten, um sie zu sensibilisieren und für den Ernstfall zu wappnen. Dabei muss klar in den Vordergrund gestellt werden, dass bei verdächtigen E-Mails lieber einmal zu viel als einmal zu wenig nachgefragt werden sollte. Um das Sicherheitsniveau abzufragen, eigenen sich Penetration-Tests mit fingierten Pishing-E-Mails, die aufdecken können, wie groß die Schwachstellen in der IT-Sicherheit sind und wo diese liegen. Selbstverständlich müssen auch die Firewall-Systeme sowie die E-Mail-Sicherheit immer auf dem aktuellsten Stand sein, sodass nicht nur die Mitarbeiter alleine in der Verantwortung sind, betrügerische E-Mails zu erkennen und entsprechend richtig zu handeln.

Bildquelle: magann - stock.adobe.com

Lisa-Marie Roth
Lisa-Marie Roth

Senior Marketing & PR Manager, indevis

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.

indevis IT-Security News

Bleiben Sie auf dem Laufenden mit unserem informativen monatlichen Newsletter.

Tragen Sie sich einfach in den Verteiler ein:

Hier abonnieren!