Wenn von Business Email Compromise (BEC) die Rede ist, denken die meisten zuerst an die Mail des vermeintlichen Chefs, der seinem Mitarbeiter eine Überweisung diktiert. Daher kommt der Begriff „Chef-Masche“. Einige besonders spektakuläre Fälle schaffen es bis heute regelmäßig in die internationalen Schlagzeilen. Rein mengenmäßig ist allerdings eine andere Variante derzeit weit häufiger anzutreffen: der sogenannte Rechnungsbetrug. Die Opfer sind dabei meist kleine und mittelständische Unternehmen.
Mögliches Verbrechensszenario
Zwei langjährige Geschäftspartner tauschen sich über ein neues Projekt aus. Es kommt zu Vertragsverhandlungen, die Konditionen werden vereinbart, und irgendwann trifft die Rechnung ein. Der Empfänger wundert sich kurz, dass andere als die sonst üblichen Kontodaten angegeben sind. Doch da sowohl Rechnung als auch Mail im Detail auf das vorher besprochene Projekt Bezug nehmen, schöpft er keinen Verdacht und überweist zügig. Als kurz darauf die echte Rechnung eintrifft, fragt er zunächst verwundert nach – bevor der Betrug auffliegt. Aber wie konnte das geschehen?
Hacks und KI
Für die Täter gibt es mehrere Wege, an solche Informationen zu kommen. Zum einen könnten sie zumindest kurzzeitig das Mail-Konto eines der beiden Beteiligten übernommen haben. Wie schwer das ist, hängt von Faktoren wie der Qualität der Passwörter oder dem Einsatz von Multifaktor-Authentifizierung (MFA) ab. Hundertprozentigen Schutz gewährt allerdings keine Technik. Auch andere Methoden sind denkbar, etwa das Hacken eines der beteiligten Mailservers. Selbst ein Innentäter lässt sich grundsätzlich nicht ausschließen.
Hat ein Krimineller schließlich Zugang zu einem Mail-Konto, kann er dort unbemerkt neue Filterregeln einrichten. Diese leiten ein- und/oder ausgehende Nachrichten an eine externe Mail-Adresse weiter. Wie eine Spinne im Netz wartet der Täter dann darauf, dass ihm spannende Kommunikation ins Garn geht. Diese Technik ist kein Einzelfall: Sie wird im MITRE ATT&CK-Framework als Subtechnik T1114.003 („Email Forwarding Rule") beschrieben.
Was anschließend passiert, können wir nur mutmaßen. Wir gehen davon aus, dass ein KI-Agent die eingehenden Mails analysiert und interessante Kommunikationsstränge wie Rechnungsstellungen oder Projektabsprachen markiert. Die anschließende Fälschung muss gar nicht originalgetreu sein, um zu überzeugen. Oft reicht schon ein Hinweis auf die Projektdetails, die eine KI mühelos zusammenstellt. Zudem erscheint die Rechnung als Antwort („Reply") auf die bisherige Kommunikation. Auch bei der Formulierung hilft die KI.
Varianten
In einigen Fällen wurden Rechnungen ausgestellt, die zuvor nicht besprochen worden waren. Für den Empfänger kamen sie sozusagen aus dem Nichts – und dennoch wurde überwiesen, vor allem dann, wenn die Geschäftsbeziehung bisher vertrauensvoll verlaufen war.
In anderen Varianten waren nicht nur Unternehmen, sondern auch Privatpersonen betroffen. Hier erleben wir oft, dass die Täter nicht nur einmalig eine Filterregel anlegen, sondern dauerhaft Zugang zum privaten Postfach behalten. Da Privatpersonen ihre Mails meist nur gelegentlich prüfen, sind die Kriminellen in der Regel schneller: Wird eine interessante Nachricht mit Rechnung identifiziert, löscht der Täter das Original und schickt eine Fälschung hinterher. Diese ist häufig eine Kopie des Originals.
Natürlich gibt es Unterschiede – etwa eine abweichende Absenderadresse. Aber die überprüfen die wenigsten Opfer noch. „Die“ Rechnung wird schließlich erwartet, und damit sinkt die Wachsamkeit. Aufgedeckt wird das Verbrechen häufig erst Wochen später, nachdem Mahnungen verschickt und Zahlungseingänge wie -ausgänge abgeglichen wurden. Die Schuldfrage ist dabei oft komplexer, als sich an dieser Stelle darstellen lässt.
Empfehlungen zum Schutz:
- Sicherheitslösungen in Unternehmen sind meist auf die Erkennung von Bedrohungen fokussiert. Eine ungewöhnliche Filterregel im Mail-Client ist nicht das Erste, was man damit assoziiert. Fortschrittliche „Detection & Response"-Technologien bieten in der Regel eine Prüfung auf „unbekannte/verdächtige E-Mail-Weiterleitungen" nach dem oben genannten MITRE-Schlüssel an. Wo eine solche Lösung im Einsatz ist, empfiehlt sich die Aktivierung der Regel.
- Ungewöhnliche Vorkommnisse wie Kontoänderungen bei langjährigen Geschäftspartnern sollten grundsätzlich telefonisch verifiziert und Mitarbeitende dafür sensibilisiert werden.
- Mail-Verschlüsselung minimiert das Risiko für Unternehmen.
- Zugriffsrechte auf kritische Komponenten wie Mail-Konten sollten strengen Kontrollen unterworfen sein. Unter dem Stichwort „Zero Trust" werden verschiedene Techniken zusammengefasst, die beispielsweise prüfen, von wo aus auf ein Nutzerkonto zugegriffen wird.
- Für Unternehmen im Umgang mit Privatkunden sind viele der hier genannten Tipps leider nicht umsetzbar. Zwar helfen Prozesse wie Verschlüsselung, dafür ist man aber auf die Mithilfe des Kunden angewiesen. Möglich ist beispielsweise, die Rechnung zu verschlüsseln und das Passwort über SMS oder Messenger (zweiter Faktor) zu übermitteln. Oder man verzichtet bei der Rechnungsstellung grundsätzlich auf den Weg per Mail und nutzt stattdessen ein Rechnungsportal.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.