Jüngste Verhaftungen wegen E-Mail-Kompromittierung in Unternehmen unterstreichen die Bedeutung von E-Mail-Sicherheit

Eine viermonatige weltweite Untersuchung von Business Email Compromise (BEC) Betrügereien mit dem Namen Operation reWired hat zu 281 Festnahmen durch das FBI geführt. Laut einer Pressemitteilung des US-Justizministeriums vom 11. September waren die Betrügereien darauf ausgerichtet, Überweisungen von Unternehmen und Privatpersonen, darunter auch viele ältere Menschen, abzufangen und zu entführen.

Einhundertsiebenundsechzig Verhaftungen - die meisten - erfolgten in Nigeria, das für seine Geschichte mit Liebes- und Erbschaftsbetrügereien bekannt ist, die sich gegen normale Bürger richten. Bemerkenswert ist, dass 74 Verhaftungen aus den Vereinigten Staaten stammten, und dass Verhaftungen auch durch internationale Zusammenarbeit der Strafverfolgungsbehörden in der Türkei, Ghana, dem Vereinigten Königreich, Japan, Frankreich, Italien, Kenia und Malaysia erfolgten.

Aus der Ankündigung des Justizministeriums:

"Der Secret Service hat einen vielschichtigen Ansatz zur Bekämpfung von Business Email Compromise Schemata durch unser Global Investigative Operations Center (GIOC) gewählt", sagte U.S. Secret Service Director James M. Murray. "Im Inland unterstützt das GIOC die Außenstellen des Secret Service und andere Strafverfolgungspartner mit Analysen und Ermittlungstaktiken, um die Wirkung von BEC-Ermittlungen vor Ort zu verbessern. Auf internationaler Ebene zielt das GIOC auf transnationale Netzwerke des organisierten Verbrechens ab, die diese internetgestützten Finanzbetrügereien begehen, und identifiziert sie. Mit diesem Ansatz ist der Secret Service weiterhin bestrebt, die Bürger der Vereinigten Staaten und unsere Finanzinfrastruktur vor diesen komplexen Verbrechen zu schützen."

Diese Verhaftungen führten zur Beschlagnahme von 3,7 Millionen Dollar in den USA, obwohl der Schaden weltweit betrachtet noch größer ist: 250.000 Identitäten wurden gestohlen, 10.000 gefälschte Steuererklärungen wurden eingereicht und die Verdächtigen erlangten 91 Millionen Dollar an gefälschten Steuerrückzahlungen.

Kompromittierung von Geschäfts-E-Mails: Skalierbar und weitreichend

Die Daten deuten darauf hin, dass sich diese Art von Betrug weiterhin auf bestimmte Regionen konzentrieren wird. Die Liste der betroffenen Länder, die hohen Summen und der Mangel an fortschrittlicher Technologie in der BEC-Betrugsmasche bringen jedoch insgesamt einen interessanten Punkt hervor: Betrügereien zur Kompromittierung von Geschäfts-E-Mails haben sich nicht nur als weitreichend erwiesen, sondern sind auch skalierbar. Diese kriminellen Aktivitäten lassen sich überall auf der Welt und in jeder Größenordnung anpassen.

Jüngste Studien - und zahllose Sicherheitsverletzungen in Unternehmen - weisen auf die exponentielle Zunahme von Kompromittierungen von Geschäfts-E-Mails hin, da dieses Thema immer wichtiger wird. Eine kürzlich durchgeführte Studie unter weltweiten IT-Entscheidungsträgern und Sicherheitsfachleuten zeigt, dass 73 Prozent der Befragten bereits von einer Kompromittierung von Geschäfts-E-Mails betroffen waren, die zu finanziellen Verlusten, Datenverlusten oder Kundenverlusten geführt hat. Das Internet Crime Complaint Center, oder IC3 wie es üblicherweise genannt wird, hat festgestellt, dass die weltweiten finanziellen Verluste durch E-Mail-Sicherheitsbetrug in den letzten 14 Monaten um 100 Prozent gestiegen sind.

Trotz dieser atemberaubenden Zahlen und der praktischen Erkenntnis, dass Hacker ihre Methoden zum Betrug an Unternehmen und Privatpersonen immer weiter entwickeln werden, gibt es Möglichkeiten, das Risiko zu minimieren.

Ein praktischer Leitfaden zur Eindämmung von BEC

Leider, so Lily Hay Newman von Wired, sind E-Mail-Angriffe "relativ leicht zu erlernen [die Techniken], da die Schemata alle absichtlich low-tech sind und im Wesentlichen auf klassischen Betrügereien beruhen, die menschliche Voreingenommenheit und emotionale und verhaltensbedingte Schwächen ausnutzen, anstatt sich auf ausgeklügelte Malware oder andere fortschrittliche Hacking-Techniken zu stützen." Vor diesem Hintergrund sieht die Zukunft relativ düster aus. Es gibt jedoch Maßnahmen, die Einzelpersonen und Unternehmen ergreifen können, um ihre Daten vor einem Schicksal wie dem des jüngsten BEC-Betrugs zu schützen.

• Informieren Sie die Geschäftsleitung, wichtige Mitarbeiter und Angestellte über diese spezielle Art von Angriffen. Insbesondere sollten alle Beteiligten wissen, wie es funktioniert, um besonders wachsam und aufmerksam zu sein.
• Überprüfen Sie die Datenschutzverfahren und erwägen Sie eine Überarbeitung der Art und Weise, wie Datenübermittlungen an externe Dritte genehmigt werden.
• Implementieren Sie Briefpapier für eingehende E-Mails, das Mitarbeiter markiert und auf E-Mails aufmerksam macht, die von außerhalb des Unternehmensnetzwerks stammen.
• Abonnieren Sie einen Alarmdienst für die Registrierung von Domänennamen, der die Verantwortlichen benachrichtigt, wenn Domänen erstellt werden, die der Unternehmensdomäne sehr ähnlich sind.