Experten für Cybersicherheit und das FBI identifizieren sechs Arten von BEC-Angriffen.



Gefälschte Rechnungen



Hier gibt der BEC-Angreifer vor, ein Anbieter zu sein, mit dem das Unternehmen zusammenarbeitet, und sendet dem Zielmitarbeiter eine E-Mail mit einer gefälschten Rechnung. Wenn das Unternehmen die Rechnung bezahlt, geht das Geld direkt an den Angreifer. Um diese Angriffe überzeugend zu machen, fangen Angreifer tatsächliche Lieferantenrechnungen ab und modifizieren so so, dass direkte Zahlungen auf die eigenen Bankkonten erfolgen.

Bemerkenswerterweise gibt es Gerichtsurteile (Link befindet sich außerhalb von ibm.com) nach denen Unternehmen, die auf gefälschte Rechnungen hereinfallen, für ihre echten Kollegen verantwortlich sind.

Einer der größten Betrugsfälle mit gefälschten Rechnungen richtete sich gegen Facebook und Google. Von 2013 bis 2015 erbeutete ein Betrüger, der sich als Quanta Computer ausgab, einem echten Hardwarehersteller, mit dem beide Unternehmen zusammenarbeiten, 98 Millionen US-Dollar von Facebook und 23 Millionen US-Dollar von Google. Der Betrüger wurde zwar gefasst und beide Unternehmen erhielten den größten Teil ihres Geldes zurück, doch ein solches Ergebnis ist bei BEC-Scams selten.



CEO Fraud



Die Betrüger geben sich als Führungskraft aus, in der Regel als CEO, und bitten einen Mitarbeiter, Geld irgendwohin zu überweisen. Oft erfolgt diese Anfrage unter dem Vorwand, einen Deal abzuschließen, eine überfällige Rechnung zu begleichen oder auch Geschenkkarten für Kollegen zu kaufen.

CEO-Betrugsversuche erzeugen häufig ein Gefühl der Dringlichkeit und drängen das Ziel, schnell und unüberlegt zu handeln, zum Beispiel: „Diese Rechnung ist überfällig, und wir werden den Service verlieren, wenn wir sie nicht sofort bezahlen.“ Eine andere Technik ist es, ein Gefühl der Geheimhaltung zu erzeugen, um zu verhindern, dass das Ziel beispielsweise Kollegen konsultiert. „Dieser Deal ist vertraulich, also erzählen Sie niemandem davon.“

2016 nutzte ein Betrüger, der sich als CEO des Luft- und Raumfahrtherstellers FACC ausgab, eine gefälschte Firmenübernahme und brachte einen Mitarbeiter dazu 47 Millionen USD zu überweisen (Link befindet sich außerhalb von ibm.com). Infolge des Betrugs entließ der Unternehmensvorstand sowohl den CFO als auch den CEO, weil sie ihre Pflichten „verletzt“ hatten.



Email Account Compromise (EAC) oder die Kompromittierung von E-Mail-Konten



Betrüger übernehmen das E-Mail-Konto eines nicht leitenden Mitarbeiters und senden dann gefälschte Rechnungen an andere Unternehmen oder bringen andere Mitarbeiter dazu, vertrauliche Informationen preiszugeben. EAC dient Betrügern häufig dazu, die Anmeldedaten von Konten auf höherer Ebene abzugreifen, die sie dann für CEO-Betrug nutzen können.

Verkörperung eines Anwalts



Bei dieser Masche geben sich Betrüger als Anwalt aus und bitten ein Opfer, eine Rechnung zu begleichen oder vertrauliche Informationen weiterzugeben. Derartige Betrüger setzen darauf, dass viele Menschen mit Anwälten kooperieren, und dass es nicht verwunderlich ist, wenn ein Anwalt um Vertraulichkeit bittet.

Mitglieder der russischen BEC-Bande Cosmic Lynx geben sich im Rahmen eines Doppelangriffs mit falscher Identität häufig als Anwälte aus (Link befindet sich außerhalb von ibm.com). Zunächst erhält der CEO des Zielunternehmens eine E-Mail, in der ihm ein „Anwalt“ vorgestellt wird, der das Unternehmen bei einer Akquisition oder einem anderen Geschäftsabschluss unterstützt. Dann sendet der falsche Anwalt dem CEO eine E-Mail mit der Bitte, eine Zahlung für den Abschluss des Geschäfts zu tätigen. Cosmic Lynx-Angriffe stehlen jedem Zielunternehmen durchschnittlich 1,27 Millionen US-Dollar.



Datendiebstahl



Viele BEC-Angriffe richten sich an HR- und Finanzmitarbeiter, um personenbezogene Daten (Personally Identifiable Information, PII) und andere sensible Daten zu stehlen, mit denen Identitätsdiebstahl oder Cyberkriminalität begangen werden soll.

Der IRS warnte (Link befindet sich außerhalb von ibm.com) etwa im Jahr 2017 vor einem BEC-Scam, bei dem Mitarbeiterdaten gestohlen wurden. In diesem Fall gaben sich Betrüger als Geschäftsführer aus und forderten einen Mitarbeiter in der Gehaltsabrechnung auf, Kopien von W2-Anträgen der Mitarbeiter zu senden. Diese Anträge enthalten auch die Sozialversicherungsnummern und andere sensible Informationen von Beschäftigten. Einige der Lohnbuchhalter erhielten Folge-E-Mails mit der Aufforderung, Überweisungen auf ein betrügerisches Konto vorzunehmen. Die Betrüger gingen davon aus, dass Zielpersonen, die die Anfrage für W2-Anträge für glaubwürdig hielten, auch hervorragende Ziele für eine Überweisungsanfrage waren.



Warendiebstahl



Anfang 2023 warnte das FBI (Link befindet sich außerhalb von ibm.com) vor einer neuen Art von Angriffen, bei denen sich Betrüger als Unternehmenskunden ausgeben, um Produkte des Zielunternehmens zu stehlen. Die Betrüger nutzen gefälschte Finanzdaten, geben sich als Mitarbeiter der Einkaufsabteilung eines anderen Unternehmens aus und handeln einen großen Kauf auf Kredit aus. Das Zielunternehmen versendet die Bestellung – in der Regel Baumaterialien oder Computerhardware –, aber die Betrüger zahlen nie.