Business E-Mail Compromise oder kurz BEC, ist eine recht neue Angriffsmasche von Cyberkriminellen. Vor allem MitarbeiterInnen im Mittelstand sind betroffen. Denn es sind simple E-Mails, in denen frech sensible Daten abgefragt werden.

Häufig sind hierbei Unternehmen ein Angriffsziel, die internationale Geschäftsbeziehungen pflegen und dementsprechende finanzielle Transaktionen vornehmen. Zuerst bekommt ein Mitarbeiter der Buchhaltung oder Finanz-Abteilung eine E-Mail vom Chef oder Vorgesetzen – meist mit dem Hinweis „vertraulich“. Darin gibt der Chef detaillierte Anweisungen, eine größere Summe auf ein bestimmtes Konto zu überweisen. Ist die Transaktion abgeschlossen, wundert sich der Chef über das verschwundene Geld, denn selbstverständlich war er nicht Urheber der Anweisungen.

In einer anderen Variante wenden sich die Betrüger an Mitarbeiter der Personalabteilung und versuchen so an vertrauliche Steuer- und Personaldaten zu gelangen. Dass die Kriminellen mit den ergaunerten Daten nichts Gutes vorhaben, versteht sich von selbst. Im Zweifel sollten Mitarbeiter also mit dem Chef Rücksprache halten, bevor sie Geld überweisen oder geheime Daten ausplaudern. Wichtig: Keine Telefonnummer aus der fraglichen E-Mail benutzen, sondern nur bekannte Nummern wählen, um sich auch sicher beim richtigen Chef zu vergewissern.

Weitere Infos zum Thema Business E-Mail Compromise bietet das FBI aus den USA an.

mTAN-Abzocke und Personalisierungs-Tricks

mTAN-Abzocke: Online-Banking gehört bei vielen Nutzern zu Alltag. Das mobile TAN Verfahren gilt dabei eigentlich als sicher, da die in der TAN übermittelten Daten die Verwendung nur für eine spezifische Transaktion ermöglichen. Dreiste Abzocker haben aber jetzt doch einen Weg gefunden, diese Sicherheitsmaßnahme zu umgehen. So ist es den Betrügern gelungen, eine zweite SIM-Karte für das Handy ihrer Opfer zu besorgen und so die TAN-SMS der Banken abzufangen. Damit allein ist es aber nicht getan. Die Betrüger mussten zuvor den Computer des Opfers ausspionieren, um so an die Zugangsdaten zum Online Banking zu gelangen. Um sich zu schützen, empfehlen ARAG Experten, das Online Banking nie von dem gleichen Endgerät zu erledigen, auf dem auch die TANs der Bank empfangen werden. Außerdem sollten Mobilfunkverträge und Rechnungen nicht auf dem Computer abgespeichert werden. Es ist ratsam, den eigenen Computer mit einer Firewall vor Angriffen zu schützen. Wer ganz vorsichtig sein will, der vereinbart außerdem mit seiner Bank ein Überweisungslimit, über das hinaus keine Zahlungen getätigt werden können.

Personalisierungs-Trick: Früher konnte man ziemlich sicher sein, dass E-Mails mit betrügerischer Absicht nicht personalisiert waren. Wenn man mit „Lieber Kunde“ angesprochen wurde, wusste man sicher, dass man besser keine Daten preisgibt oder Zahlungen auf ein unbekanntes Konto vornimmt. Aber auch die Betrüger lernen stetig dazu. Mittlerweile lesen sie frei zugängliche Daten von Online-Netzwerken aus, bevor sie sich an ihre Opfer machen. Die schöpfen dann erstmal keinen Verdacht, denn die Köder-E-Mail enthält Namen, Adresse und Berufsbezeichnung der Opfer. Meist handelt es sich um E-Mails, die weitere Informationen in Anhang versprechen. Öffnet der Angeschriebene den Anhang, aktiviert er damit eine Schadsoftware, die Bankdaten oder persönliche Informationen ausspäht.

(Quellen: ARAG SE / Bundesamt für Sicherheit in der Informationstechnik (BSI))