Die Kompromittierung geschäftlicher E-Mails, auch genannt Business Email Compromise (BEC) ist ein lukratives Geschäft für bösartige Akteure. Laut dem 2021 FBI Internet Crime Report war BEC im Jahr 2021 für fast 2,4 Milliarden Dollar an Verlusten durch Internetkriminalität verantwortlich.
Grundsätzlich handelt es sich dabei um eine Art von Phishing-Angriff aber angesichts der zunehmenden Verbreitung von Smartphones und Tablets gehen Angreifer nun weit über E-Mails hinaus. Sie nutzen andere Plattformen wie SMS-Nachrichten, Messaging-Apps wie Signal und WhatsApp sowie Social-Media-Apps, um ihre Ziele anzugreifen und zu gefährden.
Hinzu kommt, dass bei den unzähligen SaaS-Anwendungen, die Ihre Mitarbeiter täglich nutzen, ein einziger erfolgreicher Phishing-Angriff Auswirkungen auf Ihr gesamtes Unternehmen haben kann. Die Cloud hat zwar die Produktivität erleichtert, aber auch die Auswirkungen von Phishing verstärkt.
Was bedeutet eine Kompromittierung von Geschäfts-E-Mails?
Bei herkömmlichen BEC-Angriffen kauft oder sammelt der Angreifer Kontaktlisten mit Namen, E-Mail-Adressen und Telefonnummern von Chief Financial Officers (CFOs), Finanzabteilungen und Kreditorenbuchhaltungen. Es wird eine gezielte Nachricht versendet, die sich als hochrangige Führungskraft (in der Regel der CEO) ausgibt und eine dringende Zahlungsaufforderung enthält, die z. B. für ein zeitkritisches Projekt zu leisten ist. Angreifer verschicken häufig Zehntausende von Phishing-Nachrichten pro Jahr, und wenn nur eine Person den Köder schluckt, kann dies für Ihr Unternehmen zu großen Verlusten führen.
Aber wie ich weiter unten beschreiben werde, hat sich BEC weit über diese klassischen Parameter hinaus entwickelt. Da diese Angriffe immer beliebter werden, müssen Unternehmen ihre Abwehrmaßnahmen weiterentwickeln. Wie bei jedem Phishing-Angriff sind Sensibilisierung und Aufklärung der erste Schritt zur Prävention, aber sicher nicht der einzige.
Phishing-Risiken gehen weit über E-Mail hinaus
Mobilgeräte sind für die Zielpersonen von Phishing-Angriffen eine größere Herausforderung, da sich die Schulungen zur Cybersicherheit häufig nicht auf Mobilgeräte konzentrieren. Bei Phishing-Schulungen werden die Benutzer in der Regel aufgefordert, auf Indikatoren zu achten, die nur auf einem Desktop-Computer zu sehen sind. Viele mobile E-Mail-Apps zeigen jedoch nicht die E-Mail-Adresse des Absenders an und schränken die Möglichkeit ein, Hyperlinks zu potenziell gefälschten Websites in der Vorschau anzuzeigen.
Das Problem wird noch dadurch verschärft, dass Unternehmen zu jeder Tageszeit stark auf mobile Kommunikation angewiesen sind - insbesondere jetzt, da die meisten Nutzer von unterwegs arbeiten. Führungskräfte, die mit ihren Teams über mobile E-Mail- oder Messaging-Apps kommunizieren, erwarten schnelle Reaktion, was Mitarbeiter dazu verleitet, auf Phishing-Betrug hereinzufallen.
Es gibt außerdem mehr Kanäle, über die Angreifer ihre Betrugsversuche verbreiten können. Viele Menschen erwarten nicht, dass Phishing-Links über Plattformen wie SMS-Nachrichten, Facebook Messenger, WhatsApp oder Signal übermittelt werden. Das FBI hat sogar eine öffentliche Bekanntmachung herausgegeben, dass Angreifer jetzt virtuelle Meeting-Plattformen nutzen, um BEC-Angriffe durchzuführen.
Moderne Phishing-Angriffe sind das Einfallstor für Ihr Unternehmen
Es ist nicht nur so, dass mobile Geräte viel einfacher mit Phishing zu infiltrieren sind, sondern auch, dass sie genauso viel Zugang zu den Apps und Daten haben, die für Ihr Unternehmen wichtig sind. Da Ihre Benutzer von überall aus arbeiten können, egal ob es sich um ein Smartphone oder ein Tablet handelt, verlassen sie sich zunehmend auf diese Endgeräte, um ihre Arbeit und ihre persönlichen Pflichten zu vereinbaren. Jeder Fehler, den sie auf diesen Geräten machen, selbst wenn sie nicht von Ihrer IT-Abteilung verwaltet werden, birgt Risiken, die letztendlich die Infrastruktur Ihres Unternehmens gefährden können.
Es gibt kein Standardkonzept zur Verhinderung von BEC und Phishing, aber ein guter Anfang ist die Erkenntnis, dass Phishing-Angriffe nicht auf E-Mail beschränkt sind, und ein entsprechendes Training. Jede Strategie, die sich nur auf E-Mails konzentriert, übersieht die Methoden, mit denen Nutzer mobiler Geräte angegriffen werden. Außerdem ist ein einheitlicher Plattformansatz erforderlich, der alle Endpunkte, einschließlich mobiler Geräte, gegen internetbasierte Bedrohungen absichert.
Besuchen Sie unsere Phishing-Seite und erfahren Sie, wie Sie Ihr Unternehmen vor mobilen Phishing-Bedrohungen schützen können.