Bedrohungslage

E-Mail-Betrug verursacht größte Verluste für Unternehmen

10. August 2021 von PSW GROUP Redaktion
e-mail-betrug-2021
©Maksim Kabakou stock.adobe.com

5
(6)

Bereits im März dieses Jahres haben wir berichtet, dass Cyberrisiken zunehmen. Demnach zählen Cyberangriffe für viele Unternehmen schon zu den größten Geschäftsrisiken. Gerade E-Mail-Attacken sowie Phishing sind Gefahren, vor denen immer lauter gewarnt wird – mitunter auch vom FBI in einem Bericht zur Internetkriminalität, die weltweit immer weiter ansteigt. Im heutigen Beitrag erläutern wir die Details dieses Berichts, schauen uns eine Studie der Stanford University und Google zum Thema an und geben Tipps, mit denen Sie sich vor E-Mail-Betrug schützen können.

E-Mail-Betrug: Phishing, Malware & Ransomware per E-Mail zunehmend

Vor wenigen Monaten veröffentlichte das vom FBI geführte Internet Crime Complaint Center (IC3; Beschwerdestelle für Internetkriminalität) seinen jährlichen Internet Crime Report (PDF). Dieser Bericht erläutert die Auswirkungen von Angriffen auf Organisationen weltweit und bezieht sich auf das vergangene Jahr 2020. Die genannten Zahlen dürften erschrecken: 791.790 Beschwerden gingen im vergangenen Jahr mit Jahresgesamtverlusten von mehr als 4 Milliarden US-Dollar ein. Der Bericht schlüsselt auch auf, mit welchen Risiken Unternehmen sich konkret auseinandersetzen sollten:

BEC/ EAC & Phishing

Neben Business E-Mail Compromise (BEC oder „Chefmasche“ genannt) verursachte E-Mail Account Compromise (EAC) die höchsten Verluste, die das IC3 mit über 1,8 Milliarden US-Dollar beziffert. Tatsächlich sind BEC/ EAC sowie Phishing dem Bericht zufolge eine größere Bedrohung als Ransomware: Finanzielle Verluste waren – verglichen mit Ransomware-Angriffen – 64 Mal höher. Sagenhafte 44 % des Gesamtverlusts machen diese Angriffe aus! Ganz anders als die Beschwerden: Insgesamt machten sie lediglich 2,4 % sämtlicher Beschwerden aus.

Das Lieferketten-Ökosystem erscheint für Cyberkriminelle attraktiv, um indirekt Unternehmen angreifen zu können. Insbesondere das Nachahmen sowie Kompromittieren von Anbietenden zeigt sich risikoreich für Unternehmen, da viele Organisationen leider kaum den Überblick über die Risiken ihrer Anbietenden haben. Es gibt eine immer größere Zahl verschiedener BEC-/ EAC-Varianten:

  • Umleiten von Gehaltszahlungen,
  • Betrug mit Gutscheinkarten nach dem Kompromittieren von Anbietenden,
  • Betrug in Verbindung mit Firmenübernahmen oder –fusionen,
  • Umleiten von Lieferungen oder auch
  • Betrug mit Rechnungen von Lieferanten/ Partnern.

Beim Thema Phishing gab es deutlich mehr Beschwerden: Fast ein Drittel der beim IC3 eingegangenen Beschwerden drehte sich um Phishing. Dass sich die Beschwerdeanzahl von 126.640 Meldungen in 2019 auf 241.342 Beschwerden in 2020 fast verdoppelt hat, kann als Beweis dafür gesehen werden, dass die Angriffsziele weniger die Infrastrukturschwachstellen als eher die Menschen in den Unternehmen sind. Mit gezielter Mitarbeitersensibilisierung kann verhindert werden, dass kriminelle Akteure menschliche Schwächen erfolgreich ausnutzen. In unserem Beitrag rund um Phishing-Schutz gehen wir auf verschiedene Arten des Phishings ein und geben Ihnen Tipps, sich gegen Phishing zu wappnen.

E-Mail-Betrug: Kriminelle nutzen Corona-Krise aus

Der IC3-Bericht zeigt, dass Kriminelle die Pandemie für ihre Angriffe ausnutzen konnten. Das Jahr 2020 war mit der Corona-Krise ein gefundenes Fressen für Cyberkriminelle – deshalb warnten auch wir bereits im März und erneut im Dezember 2020. Pandemie-Themen wurden für allgemeine Phishing- oder gezielte Social Engineering-Angriffe verwendet: Impfstoffe, Hilfen für Unternehmen oder neue COVID19-Varianten beflügelten die Kreativität der Cyberkriminellen. Rechnen Sie bitte damit, dass Pandemie-Themen auch in Zukunft für Angriffe eingesetzt werden.

Malware wie Ransomware gewinnt an Bedeutung

E-Mail-Betrug – konkret Phishing-Kampagnen per E-Mail – sind eine der häufigsten Methoden für Infektionen mit Ransomware; das geht aus dem IC3-Bericht ebenfalls hervor. 2.474 Zwischenfälle gab es dem Bericht zufolge in 2020, die Verluste werden mit mehr als 29 Millionen US-Dollar beziffert. Brisant: Man hebt im Bericht hervor, dass Ransomware-Verluste im Bericht „künstlich niedrig“ gehalten wurden. In der angegebenen Zahl wurden keine Informationen über Geschäfts-, Lohn- oder Zeitverluste, ausgefallene Geräte oder verlorene Dateien einkalkuliert. Es wurden auch keine Meldungen der FBI-Außenstellen berücksichtigt. Dementsprechend ist davon auszugehen, dass die tatsächlichen Zahlen rund um Ransomware deutlich höher liegen.

Nicht nur Ransomware, sondern auch andere Malware ist relevant für den Bereich E-Mail-Betrug. In unserem Beitrag „Identitätsdiebstahl im Internet: Was ist Malware?“ gehen wir auf verschiedene Schadsoftware-Varianten ein und geben Ihnen Tipps zur Malware-Erkennung.

Studie: Mustererkennung beim E-Mail-Betrug

In Zusammenarbeit mit Forschenden der Stanford University hat sich Internetriese Google mit Mustern befasst, die Nutzende zu bevorzugten Opfern von E-Mail-Betrug machen. Basierend auf Daten von mehr als einer Milliarde Malware- und Phishing-E-Mails war es das Ziel der Untersuchung, herauszufinden, ob Angriffsopfer aus bestimmten Gründen zu Angriffszielen werden. In der Folge könnte es gelingen, Schutzstrategien zu optimieren. Und tatsächlich gelang es den Forschenden, verschiedene Faktoren auszumachen, die die Angriffswahrscheinlichkeit erhöhen können:

Die Herkunft potenzieller Angriffsziele könnte bereits ein erstes Merkmal sein. Immerhin wenden sich 42 % sämtlicher E-Mail-Angriffe gegen Opfer in den USA; gefolgt von 10 % in Großbritannien und 5 % in Japan. Die Forschenden konnten feststellen, dass Angreifende ihre E-Mails nicht unbedingt lokalisieren. Man setzt eher auf dasselbe E-Mail-Template mit gemeinsamer sprachlicher Basis, sodass englischsprachige Nutzende schon allein deshalb bevorzugte Opfer sind. Mit diesen identischen Templates versuchen Kriminelle zwei, drei Tage lang Kleingruppen zwischen 100 bis 1.000 Empfangenden zu kontaktieren.

Nutzende, deren E-Mail-Adressen bereits in einem der zahlreichen Datenlecks der vergangenen Jahre gehandelt wurden, wurden mit fünffacher Wahrscheinlichkeit gegenüber Durchschnittnutzenden angeschrieben. Möchten Sie herausfinden, ob auch Ihre E-Mail-Adresse Cyberkriminellen bekannt ist, lohnt sich ein Check auf der Site haveibeenpwned.com.

Als risikosteigernd erwies sich für die Forschenden auch das Alter möglicher Opfer: E-Mail-Betrug findet bei Menschen zwischen 55 und 64 Jahren nahezu doppelt so häufig statt wie in der Altersgruppe der 18- bis 24-Jährigen. Diese Zahlen könnten auch mit der Nutzung von Mobilgeräten einhergehen: Nutzten Personen E-Mails ausschließlich mobil, ergab sich ein um 20 % geringeres Angriffsrisiko gegenüber Personen, die E-Mails auf verschiedenen Geräten abrufen.

Insgesamt zeigt die Studie, dass man kaum von einem wahllosen Vorgehen sprechen könnte, jedoch findet in der Regel auch kein konkretes Targeting statt. Das Aussuchen konkreter Ziele als Angriffsopfer ist also bei BEC-/ EAC-Angriffen wahrscheinlicher als bei Phishing- und Malware-Angriffen.

Schützen Sie sich vor E-Mail-Betrug

Wissen ist Macht – dieses Credo gilt auch in Bezug auf Ihre E-Mail-Sicherheit! Deshalb ist der erste Weg, sich vor E-Mail-Betrug zu schützen, möglichst viel über verschiedene Angriffsmethoden zu erfahren. Deshalb ist die Studie, die Google und die Stanford University erstellt haben, wertvoll: Sie hilft dabei, bewerten zu können, wie gefährdet Sie als Nutzer:in sind. Ebenfalls hilfreich ist es, zu wissen, wo Sie stehen – und das können Sie ganz einfach testen: Mit unserem Phishing-Quiz und unserem S/MIME-Test können Sie sich mit Kolleg:innen messen und Ihr Wissen testen. Mit den folgenden Tipps schützen Sie sich zudem effizient gegen E-Mail-Betrug:

  • Up-to-date: Bleiben Sie auf dem Laufenden, indem Sie sich über E-Mail-Betrug informieren. Mit unserer Unterstützung ist das ganz einfach: In unserem Blog sowie in unserem Newsletter berichten wir über aktuelle Entwicklungen.
  • Skeptisch bleiben: Erhalten Sie sich Ihre gesunde Skepsis bei Ihren E-Mails. Das bedeutet: Erhalten Sie eine E-Mail mit Links und/ oder Anhängen, klicken Sie nicht einfach drauf, sondern prüfen die Nachricht. Immer häufiger professionalisieren sich E-Mail-Betrüger, sodass betrügerische E-Mails nicht immer leicht zu erkennen sind. Prüfen Sie neben der Herkunft auch den Absender der Nachricht; der Quelltext Ihrer E-Mails gibt weitere Hinweise. Bedenken Sie jedoch auch die Möglichkeiten des E-Mail-Spoofings, also des Verschleierns der wahren Identität des Absenders und des Vortäuschens einer anderen Identität. Telefonieren Sie im Zweifel mit dem vermeintlichen Absender, um sich darüber zu informieren, ob die Nachricht tatsächlich von dort stammt. Behalten Sie zudem im Hinterkopf, dass seriöse Institutionen – etwa Ihre Hausbank – keine Login-Daten oder andere persönliche Daten per E-Mail abfragen.
  • Keine Direkt-Antworten: Erscheint Ihnen eine E-Mail verdächtig, verzichten Sie idealerweise auf das direkte Antworten. Starten Sie stattdessen eine neue Kommunikation über einen der von Ihrem Unternehmen genutzten Kommunikationskanäle.
  • Starke Logins: Setzen Sie auf starke Passwörter für Ihren E-Mail-Account – und idealerweise auch auf Zwei-Faktor-Authentifizierung (2FA). Für das Erstellen starker Passwörter haben wir im Beitrag „Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit“ hilfreiche Tipps für Sie zusammengestellt.
  • AV-Suite: Gute Antiviren-Programme warnen Sie auch vor E-Mail-Betrug. Es ist empfehlenswert, regelmäßig Testberichte zu AV-Suiten zu lesen, denn die zahlreichen Antiviren-Programme unterscheiden sich massiv in ihren Funktionen, aber auch in der Malware-Erkennung.
  • Updates: Ihre AV-Suite, Ihr E-Mail-Client, Ihr Betriebssystem und sämtliche anderen genutzten Programme sollten regelmäßig Updates erhalten. Idealerweise spielen Sie Sicherheitspatches sofort ein, um zu verhindern, dass veröffentlichte Sicherheitslücken Cyberkriminelle anlocken.
  • Verschlüsselung: Verschlüsseln Sie Ihre E-Mails! So schaffen Sie nicht nur Vertraulichkeit, Integrität und Authentizität, sondern Sie verschaffen sich Wettbewerbsvorteile: Industriespionage ist eine sehr reale Bedrohung, die Sie mit E-Mail-Verschlüsselung genauso verhindern wie Lauschangriffe oder Manipulationen durch Cyberkriminelle.
  • Awareness: Wir können es nicht oft genug betonen: Die größte Sicherheitslücke in Unternehmen ist der Mensch. Mitarbeitende, die nicht wissen, welche Arten von E-Mail-Betrug es gibt, können sich naturgemäß nicht dagegen schützen. Deshalb: Schulen Sie Ihre Mitarbeitenden, denn ein sensibilisiertes Team ist ein sicheres Team.
  • Projekte: Es gibt Unternehmen und Institutionen, die mit tollen Ideen auffallen – eines davon ist das Projekt Heimdall, welches wir Ihnen im November 2020 vorgestellt haben. Die Anti-Spam-Cloud aus dem Hause Net at Work setzt auf Schwarmintelligenz. Ein spannendes Projekt, welches dazu beiträgt, die Sicherheit zu steigern und E-Mail-Betrug zu verhindern.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 6

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu