Obwohl es schon seit Jahren Behauptungen gibt, dass der „Tod der E-Mail“ unmittelbar bevorsteht, erfreut sich diese jahrzehntealte Kommunikationsmethode in der Geschäftswelt weiterhin großer Beliebtheit. Insbesondere im Hacking-Geschäft.
Eine E-Mail mit einem Link, der echt aussieht, aber tatsächlich bösartig ist, bleibt einer der gefährlichsten, aber auch erfolgreichsten Tricks im Handbuch eines Cyberkriminellen und hat in den letzten Jahren zu einigen der größten Hacks geführt, darunter der Einbruch beim Kommunikationsgiganten Twilio im Jahr 2022 und der Hack der Social-Media-Plattform Reddit im vergangenen Jahr.
Während diese E-Mails manchmal leicht zu erkennen sind, sei es aufgrund falscher Schreibweisen oder einer ungewöhnlichen E-Mail-Adresse, wird es aufgrund der immer raffinierteren Taktiken der Hacker zunehmend schwieriger, eine zwielichtige E-Mail von einer legitimen zu unterscheiden.
Nehmen wir zum Beispiel den Business Email Compromise (BEC), eine Art E-Mail-basierter Angriff, der auf große und kleine Organisationen abzielt, mit dem Ziel, Geld, wichtige Informationen oder beides zu stehlen. Bei dieser Art von Betrug geben sich Hacker als eine dem Opfer vertraute Person aus, beispielsweise als Kollege, Chef oder Geschäftspartner, oder kompromittieren diese Person, um sie dazu zu bringen, unwissentlich vertrauliche Informationen preiszugeben.
Das Risiko, das dies für Unternehmen, insbesondere Startups, darstellt, kann nicht hoch genug eingeschätzt werden. Den neuesten Daten des FBI zufolge haben Privatpersonen in den USA allein im letzten Jahr durch BEC-Betrug fast 3 Milliarden Dollar verloren. Und diese Angriffe zeigen keine Anzeichen einer Verlangsamung.
So erkennen Sie einen Business-E-Mail-Compromise-Betrug
Achten Sie auf die Warnzeichen
Auch wenn Cyberkriminelle beim Versenden von E-Mails immer raffiniertere Taktiken anwenden, gibt es dennoch einige einfache Warnzeichen, auf die Sie achten können – und sollten. Dazu gehören E-Mails, die außerhalb der üblichen Geschäftszeiten verschickt werden, falsch geschriebene Namen, eine Nichtübereinstimmung zwischen der E-Mail-Adresse des Absenders und der Antwortadresse, ungewöhnliche Links und Anhänge oder ein ungerechtfertigtes Gefühl der Dringlichkeit.
Kontaktieren Sie den Absender direkt
Beim Spear-Phishing – bei dem Hacker personalisierte Phishing-E-Mails verwenden, um sich als Führungskräfte eines Unternehmens oder externe Anbieter auszugeben – ist es nahezu unmöglich festzustellen, ob eine Nachricht von einer vertrauenswürdigen Quelle stammt. Wenn eine E-Mail ungewöhnlich erscheint – oder auch nicht –, kontaktieren Sie den Absender direkt, um die Anfrage zu bestätigen, anstatt per E-Mail oder über eine in der E-Mail angegebene Telefonnummer zu antworten.
Fragen Sie Ihre IT-Mitarbeiter
Betrugsmaschen im technischen Support werden immer häufiger. Im Jahr 2022 wurden Okta-Kunden Opfer eines hochentwickelten Betrugs, bei dem Angreifer ihren Mitarbeitern Textnachrichten mit Links zu Phishing-Sites schickten, die das Erscheinungsbild der Okta-Anmeldeseiten ihrer Arbeitgeber imitierten. Diese Anmeldeseiten sahen dem Original so ähnlich, dass mehr als 10.000 Personen ihre Arbeitsanmeldeinformationen eingaben. Ihre IT-Abteilung wird Sie wahrscheinlich nicht per SMS kontaktieren. Wenn Sie also aus heiterem Himmel eine zufällige Textnachricht oder eine unerwartete Popup-Benachrichtigung auf Ihrem Gerät erhalten, sollten Sie unbedingt überprüfen, ob diese echt ist.
Seien Sie (noch) vorsichtiger bei Telefonanrufen
Cyberkriminelle nutzen E-Mails schon seit langem als bevorzugte Waffe. In jüngerer Zeit nutzen Kriminelle betrügerische Telefonanrufe, um sich in Unternehmen einzuhacken. Berichten zufolge führte ein einziger Telefonanruf im vergangenen Jahr zum Hack der Hotelkette MGM Resorts, nachdem es Hackern gelungen war, den Service Desk des Unternehmens auszutricksen und sich so Zugriff auf das Konto eines Mitarbeiters zu verschaffen. Seien Sie bei unerwarteten Anrufen immer skeptisch, auch wenn sie von einem legitim erscheinenden Kontakt stammen, und geben Sie niemals vertrauliche Informationen am Telefon weiter.
Alles mit Multifaktoranalyse!
Die Multi-Faktor-Authentifizierung – die normalerweise einen Code, eine PIN oder einen Fingerabdruck zur Anmeldung sowie Ihren Benutzernamen und Ihr Passwort erfordert – ist keineswegs narrensicher. Durch das Hinzufügen einer zusätzlichen Sicherheitsebene über hackanfällige Passwörter hinaus wird es für Cyberkriminelle jedoch viel schwieriger, auf Ihre E-Mail-Konten zuzugreifen. Gehen Sie einen Schritt weiter und führen Sie passwortlose Technologien wie Hardware-Sicherheitsschlüssel und Passkeys ein, die den Diebstahl von Passwörtern und Sitzungstoken durch informationsstehlende Malware verhindern können.
Implementieren Sie strengere Zahlungsprozesse
Bei jeder Art von Cyberangriff besteht das ultimative Ziel eines Kriminellen darin, Geld zu verdienen. Der Erfolg von BEC-Betrug hängt oft davon ab, einen einzelnen Mitarbeiter dazu zu bringen, eine Überweisung zu tätigen. Einige finanziell motivierte Hacker geben sich als Verkäufer aus und verlangen eine Bezahlung für für das Unternehmen erbrachte Dienstleistungen. Um das Risiko zu verringern, Opfer dieser Art von E-Mail-Betrug zu werden, führen Sie strenge Zahlungsprozesse ein: Entwickeln Sie ein Protokoll für Zahlungsgenehmigungen, verlangen Sie von Mitarbeitern, dass sie Geldüberweisungen über ein zweites Kommunikationsmedium bestätigen, und weisen Sie Ihr Finanzteam an, jede geänderte Bankkontoangabe doppelt zu prüfen.
Sie können es auch ignorieren
Letztendlich können Sie das Risiko, auf die meisten BEC-Betrügereien hereinzufallen, minimieren, indem Sie den Versuch einfach ignorieren und weitermachen. Nicht 100% sicher, dass Ihr Chef Genau genommen Sie sollen losgehen und Geschenkkarten im Wert von 500 $ kaufen? Ignorieren Sie es! Sie erhalten einen unerwarteten Anruf? Legen Sie auf! Aber schweigen Sie nicht, Ihrem Sicherheitsteam zuliebe und um Ihren Kollegen zu helfen. Melden Sie den Versuch an Ihrem Arbeitsplatz oder Ihrer IT-Abteilung, damit diese besonders wachsam sein kann.