Technisch gesehen ist BEC eine Art von Spear-Phishing, d. h. ein Phishing-Angriff, dessen Ziel eine bestimmte Person oder Gruppe von Personen ist. BEC ist einzigartig unter den Spear-Phishing-Angriffen, die auf den Mitarbeiter oder Partner eines Unternehmens oder einer Organisation abzielen und der Betrüger vorgibt, ein Kollege zu sein, den das Ziel kennt oder dem er vertraut.
Einige BEC-Angriffe sind das Werk einzelner Betrüger, andere werden von BEC-Banden gestartet. Diese Banden operieren wie seriöse Unternehmen und beschäftigen Spezialisten, z. B. für die Lead-Generierung, die Zielpersonen suchen, Hacker, die in E-Mail-Konten eindringen, und professionelle Schreiber, die dafür sorgen, dass die Phishing-E-Mails fehlerfrei und überzeugend sind.
Wenn ein Betrüger bzw. eine Bande ein Unternehmen ausgewählt hat, folgt ein BEC-Angriff in der Regel demselben Muster.
Auswahl einer Zielorganisation
Fast jedes Unternehmen, jede gemeinnützige Organisation oder Regierung eignet sich als Ziel für BEC-Angriffe. Große Organisationen mit viel Geld und Kunden – und ausreichend Transaktionen, bei denen BEC-Exploits unbemerkt bleiben können – sind offensichtliche Ziele.
Globale oder lokale Ereignisse können BEC-Angreifern allerdings nochmal spezifischere Gelegenheiten bieten – einige offensichtlicher, andere weniger. Während der COVID-19-Pandemie warnte das FBI etwa davor, dass BEC-Betrüger sich als Anbieter von medizinischen Geräten und Zubehör ausgaben und Krankenhäuser und Gesundheitseinrichtungen Rechnungen stellten.
Am anderen (aber nicht weniger lukrativen) Ende des Spektrums nutzten BEC-Betrüger im Jahr 2021 öffentlichkeitswirksame Bildungs- und Bauprojekte im US-amerikanischen Peterborough, New Hampshire, und leiteten 2,3 Mio. US-Dollar an städtischen Geldern auf betrügerische Bankkonten um (der Link befindet sich außerhalb von ibm.com).
Mitarbeiter als Ziele und Absenderidentitäten recherchieren
Als Nächstes beginnen die Betrüger damit, das Zielunternehmen und dessen Aktivitäten zu recherchieren, um die Mitarbeiter zu bestimmen, die die Phishing-E-Mails erhalten sollen, und die Identitäten der Absender zu ermitteln, für die sich die Betrüger dann ausgeben.
BEC-Scams zielen in der Regel auf Angestellte der mittleren Ebene ab, z. B. Leiter der Finanz- oder der Personalabteilung, die befugt sind, Zahlungen zu tätigen oder Zugang zu sensiblen Daten haben, und die außerdem geneigt sind, der Aufforderung eines ihnen Vorgesetzten oder Executives nachzukommen. Einige BEC-Angriffe zielen auch auf neue Mitarbeiter ab, die in puncto Sicherheit nur wenig oder gar nicht geschult sind und nur ein begrenztes Wissen zu ordnungsgemäßen Zahlungs- oder Datenaustauschverfahren und -genehmigungen haben.
Als Absenderidentität wählen Betrüger einen Kollegen oder Partner aus, der glaubhaft die vom Betrüger gewünschte Aktion des Zielmitarbeiters fordern oder beeinflussen kann. Identitäten von Kollegen sind in der Regel hochrangige Manager, C-Level-Manager oder Anwälte innerhalb des Unternehmens.
Bei externen Identitäten kann es sich um C-Levels von Lieferanten oder Partnerunternehmen handeln, aber auch um Kollegen des Zielmitarbeiters, z. B. ein Lieferant, mit dem der Zielmitarbeiter regelmäßig zusammenarbeitet, ein Anwalt, der eine Transaktion berät, oder ein Bestands- oder Neukunde.
Zahlreiche Betrüger setzen dieselben Tools zur Lead-Generierung ein, die auch seriöse Marketing- und Vertriebsprofis nutzen – LinkedIn und andere soziale Netzwerke, Quellen zu Wirtschafts- und Branchennachrichten, Software für die Kundengewinnung und Listenerstellung. So ermitteln sie dann potenzielle Mitarbeiterziele und passende Absenderidentitäten.
Netzwerke des Ziels und des Absenders hacken
Nicht alle BEC-Angreifer hacken sich in das Netzwerk der Organisation des Ziels bzw. des vermeintlichen Absenders. Diejenigen, die so vorgehen, agieren jedoch wie Malware und beobachten Ziele sowie Absender bereits Wochen vor dem eigentlichen Angriff und sammeln Informationen und Zugriffsrechte. Dies ermöglicht Angreifern mitunter Folgendes:
Anhand beobachteter Verhaltensweisen und Zugriffsrechten können sie die besten Mitarbeiterziele und Absenderidentitäten auswählen.
Sie erfahren mehr Details darüber, wie Rechnungen eingereicht werden und wie Zahlungen oder Anfragen für sensible Daten gehandhabt werden. So können sie dann derartige Anfragen in ihren Angriffs-E-Mails besser nachahmen.
Sie können Fälligkeitstermine für bestimmte Zahlungen an Verkäufer, Anwälte usw. festlegen.
Sie können echte Lieferantenrechnungen oder Bestellungen abfangen und sie so ändern, dass die Zahlung auf das Bankkonto des Angreifers erfolgt.
Schließlich können sie die Kontrolle über das tatsächliche E-Mail-Konto des Absenders übernehmen. Dadurch ist der Betrüger in der Lage, Angriffs-E-Mails direkt von diesem Konto aus zu versenden. Manchmal kann er sich sogar in bestehende E-Mail-Threads schalten, was die Authentizität noch erhöht.
Den Angriff vorbereiten und starten
Eine überzeugende Imitation ist der Schlüssel zum Erfolg eines BEC-Angriffs. Betrüger gestalten ihre Angriffs-E-Mails daher auch so, dass sie möglichst authentisch und glaubwürdig sind.
Wenn sie sich nicht in das E-Mail-Konto des Absenders gehackt haben, erstellen die Betrüger ein gefälschtes E-Mail-Konto, das die E-Mail-Adresse des Absenders nachahmt, um echt zu erscheinen. (Sie verwenden z. B. gerne falsche Schreibweisen von Namen oder Domains wie jsmith@company.com oder jane.smith@cornpany.com für jane.smith@company.com.) Auch andere visuelle Hinweise z. B. eine Unterschrift mit dem Firmenlogo oder ein detaillierter (und gefälschter) Disclaimer sind eine übliche Masche.
Ein zentraler Bestandteil der Angriffs-E-Mail ist der Vorwand: eine falsche, aber plausible Geschichte mit dem Ziel, das Vertrauen des Zielmitarbeiters zu gewinnen, ihn zu überzeugen oder unter Druck zu setzen, das zu tun, was der Angreifer will. Die effektivsten Vorwände kombinieren eine plausible Situation mit dem Eindruck von Dringlichkeit und Konsequenzen. Die Nachricht eines Vorgesetzten oder CEO wie „Ich steige gleich ins Flugzeug. Können Sie/kannst du bitte schnell die angehängte Rechnung bearbeiten, damit wir keine Säumnisgebühren zahlen müssen?“ ist ein klassisches Beispiel für einen BEC-Vorwand.
Je nach Anfrage erstellen Betrüger auch gefälschte Websites, registrieren falsche Unternehmen registrieren oder geben gefälschte Telefonnummern an, die Opfer zur Bestätigung anrufen können.