Definition und Beschreibung der Auswirkungen von geschäftlichen E-Mail-Kompromissen

Business Email Compromise/Email Account Compromise (BEC/EAC) is a sophisticated scam that targets both businesses and individuals who perform legitimate transfer-of-funds requests. The scam is frequently carried out when a subject compromises legitimate business or personal email accounts through social engineering or computer intrusion to conduct unauthorized transfers of funds. Between June 2016, and July 2019, more than $26B in exposed dollar losses due to BEC/EAC were reported to the Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3).

en flag
nl flag
fr flag
de flag
pt flag
es flag

FBI Public Service Ankündigung (I-091019-PSA)

Business-E-Mail-Kompromiss: Der 26 Milliarden US-Dollar Betrug

Definition

Business Email Compromise/Email Account Compromise (BEC/EAC) ist ein ausgeklügelter Betrug, der sowohl Unternehmen als auch Personen anspricht, die legitime Überweisungsanforderungen durchführen.

Der Betrug wird häufig durchgeführt, wenn ein Betreff legitime geschäftliche oder persönliche E-Mail-Konten durch Social Engineering oder Computer-Intrusion gefährdet, um unbefugte Geldtransfers durchzuführen.

Der Betrug ist nicht immer mit einer Überweisungsanforderung verbunden. Eine Variante besteht darin, legitime Unternehmens-E-Mail-Konten zu gefährden und die persönlichen Daten der Mitarbeiter oder die Formulare für die Lohn- und Steuererklärung (W-2) anzufordern. (1)

Statistische Daten

Der BEC/EAC-Betrug wächst und entwickelt sich weiter und zielt auf kleine, mittlere und große Unternehmen und persönliche Transaktionen ab. Zwischen Mai 2018 und Juli 2019 gab es einen 100 Prozent Anstieg der identifizierten globalen exponierten Verluste. (2) Der Anstieg ist auch zum Teil auf ein größeres Bewusstsein für den Betrug zurückzuführen, was die Berichterstattung an die IC3 sowie internationale und Finanzpartner fördert. Der Betrug wurde in allen 50 Staaten und 177 Ländern gemeldet. Betrügerische Überweisungen wurden in mindestens 140 Länder gesendet.

Auf der Grundlage der Finanzdaten bleiben Banken in China und Hongkong die Hauptziele betrügerischer Fonds. Das Federal Bureau of Investigation hat jedoch eine Zunahme betrügerischer Transfers an das Vereinigte Königreich, Mexiko und die Türkei verzeichnet.

Die folgenden BEC/EAC-Statistiken wurden dem IC3 gemeldet und stammen aus mehreren Quellen, darunter IC3 und internationale Strafverfolgungsbeschwerde sowie Einreichungen von Finanzinstituten zwischen Oktober 2013 und Juli 2019.

Die folgenden Statistiken wurden in Opferbeschwerden an den IC3 zwischen Juni 2016 und Juli 2019 gemeldet:

Inländische und internationale Vorfälle: 166.349

Inländische und internationale exponierte Dollarverlust: $26.201.775.589

Die folgenden BEC/EAC-Statistiken wurden in Opferbeschwerden an den IC3 zwischen Oktober 2013 und Juli 2019 gemeldet:

US-Opfer insgesamt: 69.384

Gesamter US-Dollar Verlust: $10.135.319.091

Nicht-US-Opfer insgesamt: 3.624

Gesamter N0n-US-Dollar Verlust: 1.053.331.166

Die folgenden Statistiken wurden in Opferbeschwerden an den IC3 zwischen Juni 2016 und Juli 2019 gemeldet:

US-Finanzempfänger insgesamt: 32.367

US-Finanzempfänger insgesamt exponierter Dollarverlust: $3.543.308.220

Finanzempfänger außerhalb der USA insgesamt: 14.719

Gesamter nicht US-Finanzempfänger exponierter Dollarverlust: $4.843.767.489

BEC und Lohn- und Gehaltsabrechnung

Der IC3 hat eine erhöhte Zahl von BEC-Beschwerden über die Umleitung von Lohn- und Gehaltsabrechnungsmitteln erhalten. Beschwerden weisen darauf hin, dass die Personal- oder Gehaltsabrechnungsabteilung eines Unternehmens gefälschte E-Mails erhalten, die scheinbar von Mitarbeitern stammen, die eine Änderung ihres Direkteinzahlungskontos beantragen. Dies unterscheidet sich von der Lohn- und Gehaltsabrechnungsregelung, bei der der Betreffende Zugang zum direkten Einzahlungskonto eines Mitarbeiters erhält und die Weiterleitung auf ein anderes Konto ändert. (3)

In einem typischen Beispiel erhielten Personal- oder Gehaltsabrechnungsbeauftragte E-Mails, die scheinbar von Mitarbeitern stammen, die aufgefordert wurden, ihre Direkteinzahlungsinformationen für den aktuellen Zahlungsperiode zu aktualisieren. Die neuen Informationen zur direkten Einzahlung an Personal- oder Gehaltsabrechnungsbeauftragte führen in der Regel zu einem Prepaid-Kartenkonto.

Einige Unternehmen berichteten, Phishing-E-Mails zu erhalten, bevor sie Änderungen an Direkteinzahlungskonten erhielten. In diesen Fällen erhalten mehrere Mitarbeiter möglicherweise dieselbe E-Mail, die eine gefälschte Anmeldeseite für einen E-Mail-Host enthält. Mitarbeiter geben ihre Benutzernamen und Kennwörter auf der gefälschten Anmeldeseite ein, die es dem Betreff ermöglicht, Mitarbeiteranmeldeinformationen zu sammeln und zu verwenden, um auf die persönlichen Daten der Mitarbeiter zuzugreifen. Dadurch erscheinen die Direkteinzahlungsanträge legitim.

Lohn- und Gehaltsabrechnungssysteme, die ein Eindringungsereignis enthalten, wurden dem IC3 seit mehreren Jahren gemeldet. Erst kürzlich wurden diese Systeme jedoch durch IC3-Beschwerden direkt mit den BEC-Akteuren in Verbindung gebracht.

Insgesamt 1.053 Beschwerden, die diese BEC-Entwicklung des Lohnumlenkungssystems berichteten, wurden zwischen dem 1. Januar 2018 und dem 30. Juni 2019 beim IC3 eingereicht, wobei insgesamt ein gemeldeter Verlust von 8.323.354 US-Dollar betrug. Der durchschnittliche Dollarverlust, der in einer Beschwerde gemeldet wurde, betrug $7.904. Januar 2018 und 30. Juni 2019 um mehr als 815 Prozent gestiegen, da in IC3-Beschwerden vor Januar 2018 nur minimal gemeldet wurden.

Vorschläge für den Schutz

Die Mitarbeiter sollten über diese Regelung informiert und aufmerksam gemacht werden. Die Schulung sollte vorbeugende Strategien und reaktive Maßnahmen umfassen, falls sie Opfer werden. Unter anderem sollten die Mitarbeiter mitgeteilt werden:

Verwenden Sie sekundäre Kanäle oder Zwei-Faktor-Authentifizierung, um Anforderungen für Änderungen an Kontoinformationen zu überprüfen.

Stellen Sie sicher, dass die URL in E-Mails mit dem Unternehmen verknüpft ist, von dem es behauptet wird.

Seien Sie auf Hyperlinks aufmerksam, die Rechtschreibfehler des eigentlichen Domänennamens enthalten können.

Geben Sie keine Anmeldedaten oder PII als Antwort auf E-Mails an.

Überwachen Sie ihre persönlichen Finanzkonten regelmäßig auf Unregelmäßigkeiten wie fehlende Einlagen.

Halten Sie alle Software-Patches auf und alle Systeme auf dem neuesten Stand.

Überprüfen Sie die E-Mail-Adresse, die zum Senden von E-Mails verwendet wird, insbesondere bei Verwendung eines Mobilgeräts oder Handheld-Geräts, indem Sie sicherstellen, dass die E-Mail-Adresse des Absenders anscheinend übereinstimmt, von wem sie stammt.

Stellen Sie sicher, dass die Einstellungen auf dem Computer der Mitarbeiter aktiviert sind, damit vollständige E-Mail-Erweiterungen angezeigt werden können.

Wenn Sie feststellen, dass Sie Opfer eines betrügerischen Vorfalls sind, wenden Sie sich sofort an Ihr Finanzinstitut, um einen Rückruf von Geldern und Ihren Arbeitgeber zu beantragen, um Unregelmäßigkeiten bei Lohneinlagen zu melden.

So schnell wie möglich, eine Beschwerde einreichen unabhängig von der Höhe bei www.ic3.gov oder, für BEC/EAC-Opfer, Bec.ic3.gov.

(1) Referenz-PSA 1-022118-PSA Erhöhung der W-2-Phishing-Kampagnen

(2) Der exponierte Dollarverlust umfasst den tatsächlichen und versuchten Verlust in US-Dollar

(3) Referenz PSA I-091818-PSA Cyberkriminelle nutzen Social Engineering-Techniken, um Mitarbeiteranmeldeinformationen zu erhalten, um Lohnabrechnungsabzweigung durchzuführen

Lesen Sie die vollständige Warnung bei Business Email Compromise: The $26 Milliarden Scam

Zusätzliche Lesung

Federal Bureau of Investigation Internet Crime Complage Center (IC3)

FBI hebt Ransomware-Bedrohung für US-Unternehmen hervor

Quelle: ComplexDiscovery