BEC wird häufiger und wandelt sich

Der Bericht „Defending the Enterprise: The Latest Trends and Tactics in BEC Attacks“ von Osterman Research zeigt, dass die Bedrohung durch BEC von Jahr zu Jahr zunimmt und inzwischen doppelt so hoch ist wie die Bedrohung durch Phishing im Allgemeinen. Über 93 Prozent der Unternehmen erlebten demnach in den letzten zwölf Monaten eine oder mehrere BEC-Angriffsvarianten, wobei 62 Prozent in diesem Zeitraum mit drei oder mehr Angriffsvarianten konfrontiert waren.

Die Studie zeigt zudem: Gefälschte Rechnungen, Datendiebstahl und Kontoübernahme sind die häufigsten Arten von BEC-Angriffen. Jedes fünfte Unternehmen hat in den letzten zwölf Monaten solche BEC-Angriffe erlebt. Die Angreifenden nutzen auch neue Kanäle für BEC-Angriffe. Ein erheblicher Prozentsatz der Unternehmen berichtet, dass sie häufig auf neuere Arten von BEC-Angriffen stoßen, darunter betrügerische SMS-Nachrichten (36 Prozent), Verbindungsanfragen in sozialen Medien (28  Prozent) und Telefonanrufe (22 Prozent).

Der Bericht „The Freedom to Communicate and Collaborate: Challenges in Securing an Overabundance of Tools“ der Enterprise Strategy Group (ESG) zeigt, dass auch und gerade die neuen Arbeitsformen BEC-Angriffe noch einfacher machen. Da immer mehr Unternehmen auf Remote-Arbeitsmodelle umsteigen, sind diese Organisationen nun auf zusätzliche Methoden der digitalen Kommunikation über E-Mail hinaus angewiesen. Der Umfrage zufolge nutzen 47 Prozent der Befragten sechs bis zehn Kommunikations- und Kollaborationstools parallel, wobei Videokonferenzen am häufigsten eingesetzt werden (80 Prozent), gefolgt von E-Mail (77 Prozent) und Messaging (71 Prozent).

Für die IT-Sicherheit höchst bedeutsam: Mehr als zwei Drittel der Befragten befürchten, dass Angreifer Kommunikations- und Kollaborationskanäle über E-Mail hinaus nutzen, um Sicherheitskontrollen zu umgehen. Mehr als die Hälfte der Befragten berichteten über wöchentliche oder sogar tägliche Social-Engineering-Angriffe über mehrere Tools hinweg. „Der Aufstieg zusätzlicher cloudbasierter Kommunikations- und Kollaborationskanäle bietet neue Möglichkeiten für Social-Engineering-Angriffe, um traditionelle Sicherheitskontrollen zu umgehen“, warnt Dave Gruber, Principal Analyst bei ESG. „Bei den meisten Angriffen handelt es sich um die gleichen Arten von Angriffen, die zuvor auf E-Mails abzielten.“

Das FBI berichtet zum Beispiel von einer Zunahme von BEC-Angriffen im Zusammenhang mit der Nutzung virtueller Meeting-Plattformen. Kriminelle kompromittieren zum Beispiel die E-Mail-Adresse eines CEO  und fordern Mitarbeiter auf, an einer virtuellen Sitzung teilzunehmen, bei der die Kriminellen ein Standbild des CEO einfügen und einfach behaupten, dass das Video nicht richtig funktioniert. Anschließend weisen sie die Mitarbeiter an, Geldtransfers über den Chat der virtuellen Meeting-Plattform oder in einer Folge-E-Mail zu veranlassen.

Dank immer leistungsstärkerer und leicht zugänglicher KI ist es aber auch möglich, bei den virtuellen Meetings mit „Deep Fakes“ zu arbeiten, also täuschend echt wirkenden, manipulierten Audio- oder Videoaufnahmen. Hier zeigt sich: Auch wenn in BEC das Wort E-Mail steckt, hindert das die Internetkriminellen nicht, auch über Video-Chats ihre Betrugsmaschen zu versuchen. Für die IT-Sicherheit stellt diese Flexibilität der Kriminellen eine große Herausforderung dar, denn wenn Unternehmen einen Phishing-Schutz einsetzen, dann bisher in aller Regel nicht für Video-Chats.