Business Email Compromise (BEC)-Angriffe – bei denen Bedrohungsakteure die Identität von Führungskräften per E-Mail annehmen und versuchen, Mitarbeiter dazu zu bringen, eine Überweisung oder ähnliches zu senden – werden mobil, warnen Sicherheitsexperten.
EIN Bericht (öffnet in neuem Tab) von Trustwave stellte fest, dass die Zahl der BEC-Angriffe, die den Short Message Service (SMS) anstelle von E-Mail nutzen, stetig zugenommen hat.
Der Prozess ist fast identisch – der Angreifer würde sich an das Opfer wenden, sich als einer der Führungskräfte des Unternehmens vorstellen und eine Kopie eines Alterungsberichts weitergeben. In derselben Nachricht forderten sie das Opfer auf, eine Überweisung einzuleiten, ein Gehaltskonto zu ändern oder Firmengelder auf andere Weise zu überweisen.
Stärker als E-Mail
Die Verwendung von SMS für BEC-Angriffe anstelle von E-Mails hat laut den Forschern viele Vorteile. Das Offensichtliche ist, dass es weniger Elemente gibt, die das Ziel misstrauisch machen können. Während jede E-Mail die Adresse des Absenders enthält, was der erste Weg sein kann, um auf potenziellen Betrug zu prüfen, enthält eine SMS-Nachricht nur die Telefonnummer, und in vielen Fällen haben die Mitarbeiter die Nummern ihrer Vorgesetzten nicht und überprüfen sie möglicherweise nicht.
Darüber hinaus können die Angreifer einen potenziellen Anruf ablehnen, indem sie angeben, dass sie sich in einer Besprechung befinden oder den Anruf aus anderen Gründen nicht entgegennehmen können. Schließlich ist die SMS-Kommunikation viel schneller als E-Mail, was es Angreifern ermöglicht, ihre Arbeit viel schneller zu erledigen, wobei Trustwave auch einen Bericht der Federal Communications Commission (FCC) hervorhebt, in dem festgestellt wird, dass sich unerwünschte Textnachrichten im Jahr 2022 im Vergleich zu 2019 verdreifacht haben.
Auch das Einleiten von Überweisungen kann Verdacht erregen, weshalb Betrüger die Opfer normalerweise bitten, stattdessen eine Geschenkkarte zu kaufen. Sie würden den Opfern versprechen, dass ihr Kauf erstattet würde. Meistens baten die Gauner ihre Opfer, Geschenkkarten von Target, Google Play, Apple, eBay oder Walmart zu kaufen.
Um sich vor SMS-basierten BEC-Angriffen zu schützen, sollten Unternehmen ihre Mitarbeiter zum Thema Sicherheit schulen (öffnet in neuem Tab) Sensibilisierung, und lassen Sie sie immer die Identität der Menschen überprüfen, wenn sie über Textnachrichten kommunizieren, sagte Trustwave.
Darüber hinaus sollten sie das Bewusstsein ihrer Mitarbeiter dafür schärfen, dass private Daten von Social-Media-Konten gestohlen und für Angriffe verwendet werden können, und schließlich – sie sollten, wo immer möglich, auf Multi-Faktor-Authentifizierung (MFA) bestehen, um Angreifern den Zugang zu erschweren Zugriff auf wertvolle Systeme.