Inhalt des Artikels
- Bei der Kompromittierung von Lieferanten-E-Mail-Konten stehen vertrauensvolle Lieferantenbeziehungen, Zahlungsabläufe und die Kommunikationsmuster der Lieferanten im Fokus.
- Angreifer können ein kompromittiertes Anbieter-Konto, eine gefälschte Domain, eine ähnliche Domain oder einen aktiven E-Mail-Verlauf nutzen, um betrügerische Anfragen als legitim erscheinen zu lassen.
- Diese Angriffe sind schwer zu erkennen, da sie häufig keine Malware, keine verdächtigen Anhänge und keine offensichtlich bösartigen Links enthalten.
- Zur Risikominderung sind mehrschichtige E-Mail-Sicherheit, Lieferantenüberprüfung, Sensibilisierung der Nutzer, Berücksichtigung des Verhaltenskontexts sowie das Risikomanagement bei Drittanbietern erforderlich.
- Mimecast kann Unternehmen dabei unterstützen, ihren Schutz vor Identitätsbetrug, Kontoübernahmen und auf Menschen abzielenden E-Mail-Bedrohungen zu verstärken.
Die Beziehungen zu Lieferanten basieren auf Vertrauen. Die Finanzabteilungen erwarten Rechnungen. Die Beschaffungsteams erwarten Aktualisierungen der Verträge. Die Geschäftsbereiche erwarten, dass die Mitteilungen der Lieferanten termingerecht eintreffen. Angriffe, bei denen E-Mail-Konten von Anbietern kompromittiert werden, nutzen diesen normalen Rhythmus aus.
Anstatt ein Unternehmen direkt anzugreifen, missbrauchen Cyberkriminelle die Kommunikation mit vertrauenswürdigen Lieferanten, um Zahlungen umzuleiten, Daten zu stehlen oder die Arbeitsabläufe der Lieferanten zu manipulieren. Für Unternehmen mit komplexen Lieferketten wird dadurch der alltägliche E-Mail-Verkehr zu einem ernstzunehmenden Geschäftsrisiko.
Was versteht man unter „Vendor Email Compromise“?
Bei einem E-Mail-Angriff auf einen Anbieter handelt es sich um einen gezielten E-Mail-Angriff durch Dritte, bei dem Cyberkriminelle sich als Anbieter ausgeben oder dessen E-Mail-Konto kompromittieren, um die Kunden oder Geschäftspartner des Anbieters zu täuschen. Das Ziel ist in der Regel Finanzbetrug, Datendiebstahl oder der unbefugte Zugriff auf sensible Geschäftsdaten.
Angriffe durch die Manipulation von E-Mails von Lieferanten basieren auf echten Geschäftsbeziehungen. Angreifer können vor dem Versenden betrügerischer E-Mails die Kontaktdaten von Lieferanten, den Zeitpunkt der Rechnungsstellung, Abrechnungszyklen, Verlängerungstermine sowie übliche Kommunikationsmuster auswerten. Dadurch wirken Anfragen zur Aktualisierung von Zahlungsdaten, zur Überprüfung von Zahlungsanweisungen oder zur Bearbeitung einer betrügerischen Rechnung vertrauter.
Kompromittierung der E-Mail-Konten von Lieferanten im Vergleich zu BEC
Der Begriff „Vendor Email Compromise“ steht im Zusammenhang mit „Business Email Compromise“, hat jedoch einen engeren Fokus. Ein umfassenderer BEC-Angriff kann sich gegen Führungskräfte, die Lohnbuchhaltung, Steuerformulare, Geschenkkarten oder interne Zahlungsgenehmigungen richten. Bei der Kompromittierung von E-Mail-Konten von Lieferanten stehen die Identität der Lieferanten, die Kommunikation zwischen Lieferanten und Kunden sowie die Kompromittierung der finanziellen Lieferkette im Mittelpunkt.
Wie funktioniert ein E-Mail-Angriff auf Lieferanten?
Die Kompromittierung von E-Mail-Konten bei Anbietern erfolgt in der Regel im Rahmen eines mehrstufigen Angriffsablaufs. Die genaue Vorgehensweise kann variieren, doch das Ziel bleibt dasselbe: den Zugang vertrauenswürdiger Lieferanten für betrügerische Zwecke zu missbrauchen. Angreifer verbringen oft Zeit damit, die Beziehungen zu Lieferanten und die Zahlungsabläufe zu untersuchen, bevor sie eine Anfrage versenden, die wie eine Routineanfrage aussieht.
Anbieteranalyse
Ein VEC-Angreifer recherchiert zunächst die öffentlichen Kontaktdaten, Domains, die Führungsspitze, die Kunden und die Geschäftsbeziehungen des Anbieters. Sie können Websites, Pressemitteilungen, Stellenanzeigen, Social-Media-Profile, Beschaffungsportale sowie Daten aus Datenschutzverletzungen überprüfen. Je besser sie verstehen, wie der Anbieter arbeitet, desto einfacher wird es, glaubwürdige E-Mails zu verfassen, die vorgeben, von diesem Anbieter zu stammen.
Zielidentifizierung
Anschließend ermitteln die Angreifer die Personen, die am ehesten für die Bearbeitung von Lieferantenanfragen zuständig sind. Dazu gehören häufig Ansprechpartner aus den Bereichen Finanzen, Beschaffung, Kreditorenbuchhaltung, Lieferantenmanagement und operativer Betrieb. Ein Mitarbeiter, der regelmäßig mit Rechnungen, Bestellungen, Zahlungsinformationen oder der Aufnahme neuer Lieferanten befasst ist, kann zu einem besonders attraktiven Ziel werden.
Untersuchung zum Abrechnungszyklus
Angreifer könnten den Zeitpunkt der Rechnungsstellung, Vertragsverlängerungen, Zahlungspläne sowie die üblichen Kommunikationsmuster der Lieferanten analysieren. Dies ermöglicht es ihnen, eine verdächtige E-Mail zu einem Zeitpunkt zu versenden, zu dem die Anfrage als erwartet erscheint. Eine betrügerische Rechnung, die gegen Ende eines Abrechnungszeitraums versandt wird, kann ganz normal aussehen. Gefälschte Rechnungen, die mit einer echten Lieferantenbeziehung in Verbindung stehen, lassen sich unter Umständen noch schwerer hinterfragen.
Ablaufdarstellung
Vor dem Versenden der betrügerischen E-Mail legen die Angreifer möglicherweise Genehmigungsschritte und Eskalationswege fest. Sie möchten wissen, wer Änderungen bei Zahlungen genehmigen darf, wer Mittel freigeben darf und welche Unterlagen erforderlich sind. Bei ausgefeilteren Betrugsmaschen suchen BEC-Betrüger zudem nach Lücken in den Verfahren zur Zahlungsänderung oder nach unzureichenden Verifizierungsschritten.
Kompromittierung oder Identitätsbetrug
Der Angreifer kompromittiert anschließend entweder ein echtes E-Mail-Konto oder gibt sich als der Anbieter aus. Sie können ein Lieferantenkonto durch Phishing kompromittieren, eine Lieferantendomäne fälschen, eine ähnliche Domain erstellen oder einen aktiven E-Mail-Verlauf missbrauchen. Ein gehacktes Konto ist besonders gefährlich, da die Nachricht von einem legitimen Postfach stammen kann, das über einen echten E-Mail-Verlauf, Signaturen und Kontext verfügt.
Manipulation von Zahlungen
Der letzte Schritt ist die betrügerische Anfrage. Angreifer können aktualisierte Bankdaten, geänderte Überweisungsanweisungen, dringende Zahlungserinnerungen, gefälschte Rechnungen oder eine betrügerische Rechnung als Anhang zu einem bestehenden E-Mail-Verlauf versenden. Da die Anfrage scheinbar von einem vertrauenswürdigen Anbieter stammt, kann es vorkommen, dass die betroffene Organisation die Zahlung abwickelt, bevor jemand den Betrug bemerkt.
Warum ist es so schwer, einen E-Mail-Hack bei einem Anbieter zu erkennen?
Ein Angriff auf die E-Mail-Konten von Lieferanten ist schwer zu erkennen, da dabei vertrauensvolle Beziehungen zum Unternehmen ausgenutzt werden. Die Mitarbeiter kennen den Anbieter möglicherweise bereits, erkennen die Sprache des Lieferanten wieder und erwarten zu diesem Zeitpunkt eine Rechnung oder eine Zahlungsaufforderung.
Vertrauenswürdige Nachrichten wirken alltäglich
Wenn eine Nachricht hinsichtlich des Zeitpunkts, des Umfangs und des Kommunikationsmusters den Erwartungen entspricht, kann sie eher als Routine und nicht als verdächtig empfunden werden. Das Risiko ist sogar noch höher, wenn die Nachricht von einem kompromittierten Anbieterkonto stammt, da ein legitimes Postfach grundlegende Absenderprüfungen bestehen und echte Kontaktdaten, Signaturen sowie frühere Korrespondenz enthalten kann.
Herkömmliche Indikatoren können Einschränkungen aufweisen
Viele Angriffe, bei denen E-Mail-Konten von Anbietern kompromittiert werden, enthalten weder Malware noch verdächtige Anhänge oder offensichtlich bösartige Links. In der E-Mail wird der Empfänger möglicherweise lediglich gebeten, seine Bankverbindung zu aktualisieren, Zahlungsinformationen zu bestätigen oder eine geänderte Rechnung zu bearbeiten.
Die Erkennung erfordert einen geschäftlichen Kontext
Die Erkennung erfordert häufig eine Verhaltensanalyse, die Berücksichtigung des Lieferantenrisikos, die Erkennung von Anomalien, Fachwissen sowie die Überprüfung der Zahlungsabläufe. Eine Nachricht kann nicht etwa aufgrund eines einzelnen technischen Merkmals verdächtig sein, sondern weil das Verhalten des Absenders, die Art der Anfrage oder eine Änderung der Zahlungsmodalitäten von den üblichen Kommunikationsmustern des Anbieters abweichen.
Welche geschäftlichen Risiken birgt der Missbrauch von E-Mail-Konten bei Lieferanten?
Ein Hackerangriff auf die E-Mail-Konten von Anbietern kann sich auf mehr als eine Zahlung auswirken. Da diese Angriffe das Vertrauen in Lieferanten, den Rechnungszeitpunkt und die üblichen Zahlungsabläufe ausnutzen, können sich die Auswirkungen auf die Bereiche Finanzen, Beschaffung, Rechtsabteilung, Compliance, Lieferantenmanagement und Sicherheit ausweiten.
- Finanzielle Verluste und Zahlungsstörungen – Ein erfolgreicher VEC-Betrug kann zu fehlgeleiteten Zahlungen an Lieferanten, betrügerischen Überweisungen, verzögerten Dienstleistungen oder Lieferungen, Streitigkeiten über unbezahlte Rechnungen und zeitaufwändigen Bemühungen zur Rückforderung von Geldern führen. Selbst wenn die Gelder zurückerstattet werden, können die Teams dennoch wertvolle Zeit mit der Untersuchung und Behebung des Zahlungsproblems verlieren.
- Operative und rechtliche Auswirkungen — Die Finanzabteilung muss möglicherweise Zahlungen aussetzen, die Beschaffungsabteilung muss möglicherweise die Lieferantenangaben erneut überprüfen, und die Rechts- oder Compliance-Teams müssen möglicherweise die Meldepflichten überprüfen. Dies kann den normalen Geschäftsbetrieb verlangsamen, während die Teams klären, was geschehen ist und was dokumentiert werden muss.
- Anforderungen an die Sicherheitsuntersuchung — Sicherheitsteams müssen unter Umständen feststellen, ob es sich bei dem Vorfall um eine Kompromittierung von E-Mails, eine Kontoübernahme, einen unbefugten Zugriff oder eine umfassendere Kompromittierung der Lieferkette handelte. Möglicherweise müssen sie zudem zugehörige Nachrichten, Anmeldeaktivitäten, Anbieter-Domains und betroffene Benutzer überprüfen.
- Schäden bei Lieferanten und in der Lieferkette – Ein betroffener Lieferant muss unter Umständen mit Reputationsschäden, Vertrauensverlusten bei den Kunden, rechtlichen Risiken und finanziellen Streitigkeiten rechnen. Kunden könnten sich zudem fragen, ob der Anbieter über ausreichende Kontrollmaßnahmen verfügt, um die zukünftige Kommunikation zu schützen.
- Erweiterte Risiken durch Dritte – Ein einziger gehackter Lieferanten-Account kann mehrere Kunden oder Partner entlang der gesamten Lieferkette gefährden. Dies ermöglicht es Angreifern, eine vertrauenswürdige Beziehung als Zugang zu zahlreichen miteinander verbundenen Organisationen zu nutzen.
Diese Risiken verdeutlichen, warum die Kompromittierung von E-Mail-Konten bei Anbietern sowohl als Problem der E-Mail-Sicherheit als auch als Risiko für die Lieferkette betrachtet werden sollte. Unternehmen benötigen Kontrollmechanismen, die die Kommunikation mit vertrauenswürdigen Lieferanten schützen, bevor aus einer routinemäßigen Anfrage ein finanzieller oder betrieblicher Vorfall wird.
Wie können Unternehmen den Missbrauch von E-Mail-Konten ihrer Lieferanten verhindern?
Um eine Kompromittierung der E-Mail-Konten von Lieferanten zu verhindern, sind mehrstufige Kontrollmaßnahmen in den Bereichen E-Mail-Sicherheit, Lieferantenüberprüfung, Zahlungsabläufe und Sensibilisierung der Mitarbeiter erforderlich. Das Ziel besteht darin, betrügerische Anfragen weniger vertrauenswürdig und leichter nachprüfbar zu machen.
Lernen Sie Ihren Lieferanten kennen
Machen Sie sich damit vertraut, welche Lieferanten ein hohes Risiko darstellen, welche Anforderungen sie stellen können und wie sie in der Regel kommunizieren. Führen Sie genaue Lieferantenunterlagen, genehmigte Zahlungswege und verifizierte Ansprechpartner, damit ungewöhnliche Anfragen leichter erkannt werden können.
Erkennen Sie, wann Lieferanten kompromittiert sind
Achten Sie auf plötzliche Änderungen der Bankverbindung, ungewöhnliche Dringlichkeit, neue Antwortadressen, unerwartete Anhänge oder Nachrichten, die die üblichen Verfahren umgehen. Überprüfen Sie verdächtige Anfragen von Lieferanten über einen bekannten Kanal, bevor Geld oder Daten übermittelt werden.
Setzen Sie mehrstufige Schutzstrategien ein
Kombinieren Sie E-Mail-Sicherheit, Authentifizierung, Prozesskontrollen und Sensibilisierung der Mitarbeiter. Technische Kontrollmaßnahmen können dabei helfen, gefälschte Domains, Identitätsbetrug, bösartige Links und verdächtige Anhänge zu erkennen, während Zahlungskontrollen das Risiko von Überweisungsbetrug verringern.
Optimieren Sie Ihren Ermittlungsprozess
Machen Sie es den Mitarbeitern leicht, verdächtige E-Mails von Lieferanten zu melden, und ermöglichen Sie es den Sicherheitsteams, diese zügig zu prüfen. Klare Eskalationswege helfen den Abteilungen Finanzen und Beschaffung dabei, Anträge zu prüfen, Zahlungen auszusetzen und Betrugsfälle zu unterbinden, bevor sich der Schaden ausweitet.
Wie kann Mimecast dazu beitragen, das Risiko von E-Mail-Angriffen durch Anbieter zu verringern?
Mimecast kann dazu beitragen, das Risiko von E-Mail-Angriffen auf Anbieter zu verringern – als Teil einer mehrschichtigen Abwehrstrategie gegen Identitätsbetrug, Kontoübernahmen und E-Mail-Bedrohungen, die gezielt auf Menschen abzielen. Da VEC die Kommunikation mit vertrauenswürdigen Lieferanten häufig missbraucht, müssen bei den Schutzmaßnahmen sowohl technische Signale als auch die Entscheidungsfindung der Mitarbeiter berücksichtigt werden.
- Erweiterter Schutz vor E-Mail-Bedrohungen – Hilft bei der Erkennung von Identitätsbetrugsversuchen, verdächtigen Links, schädlichen Anhängen, gefälschten Domains und gezielten Bedrohungen in der gesamten Kommunikation mit Lieferanten. Dadurch erhalten Teams einen besseren Schutz, wenn betrügerische Nachrichten nicht wie herkömmliche Phishing-Angriffe aussehen.
- Vertrauen in den Absender und Nachrichtenkontext – Ermittelt den Kontext risikobehafteter Nachrichten mithilfe von Domain-Intelligence, URL-Schutz, Anhangsanalyse und der Erkennung verdächtigen Absenderverhaltens. Dies hilft den Sicherheitsteams dabei, zu beurteilen, ob eine Anfrage eines Anbieters den üblichen Kommunikationsmustern entspricht.
- Menschliche Risiken und Verhaltenskontext – Unterstützt Mitarbeiter in risikoreichen Funktionen wie Finanzwesen, Beschaffung und Kreditorenbuchhaltung durch Sensibilisierung der Nutzer, Verhaltenssignale und gezielten Schutz. Dies trägt dazu bei, das Risiko zu verringern, dass ein Mitarbeiter unter Druck einer betrügerischen Lieferantenanfrage nachkommt.
- Mehrstufige Abwehr gegen VEC – Wirkt in Verbindung mit Benutzerschulungen, Verifizierungsabläufen, dem Risikomanagement bei Drittanbietern und Zahlungskontrollen, um die Wahrscheinlichkeit eines erfolgreichen Betrugs zu verringern. Dadurch stehen Unternehmen mehrere Kontrollpunkte zur Verfügung, bevor Zahlungsinformationen, Rechnungsdaten oder Geldbeträge geändert werden.
Gemeinsam tragen diese Funktionen dazu bei, betrügerische Lieferantenanfragen leichter zu erkennen, zu überprüfen und zu unterbinden, bevor sie zu finanziellen Verlusten führen.
Das Vertrauen der Lieferanten vor E-Mail-Angriffen auf Anbieter schützen
Die Kompromittierung von E-Mail-Konten bei Anbietern ist mehr als nur eine E-Mail-Bedrohung. Es handelt sich um ein Risiko in der Lieferkette, das auf Vertrauen, zeitlicher Abstimmung und der üblichen geschäftlichen Kommunikation beruht. Angreifer analysieren die Beziehungen zu Lieferanten, Abrechnungszyklen und Zahlungsabläufe, damit ihre Anfragen routinemäßig erscheinen, wenn sie bei dem für deren Bearbeitung zuständigen Mitarbeiter eingehen.
Die beste Verteidigung ist eine mehrschichtige. Unternehmen müssen ihre Lieferanten kennen, Anzeichen für Sicherheitsverletzungen erkennen, Zahlungsänderungen überprüfen, ihre Mitarbeiter im Umgang mit realistisch wirkenden VEC-E-Mails schulen und fortschrittliche E-Mail-Sicherheitsmaßnahmen einsetzen, um Bedrohungen zu identifizieren, die herkömmliche Indikatoren möglicherweise übersehen. Das Vertrauen in Lieferanten ist wertvoll, sollte jedoch nicht allein von E-Mails abhängen.
Erfahren Sie, wie Mimecast den Schutz vor Identitätsbetrug, Kontoübernahmen, Sicherheitsverletzungen und auf Menschen ausgerichteten E-Mail-Bedrohungen in Ihrem gesamten Unternehmen stärkt.