Kompromiß bei geschäftlichen E-Mails und S/MIME Zertifikate

Es gibt eine Vielzahl von Betrügereien, bei denen Angreifer hacken sich in die E-Mail-Systeme eines Unternehmens ein oder erstellen Sie betrügerische E-Mail-Vorlagen, um Mitarbeiter davon zu überzeugen, Geld auf betrügerische Bankkonten zu überweisen. Wird allgemein als Business Email Compromise (BEC) bezeichnet, einschließlich Phishing, räuberischer Telefonanrufe oder allgemeiner Datendiebstahl.

Diese E-Mail-basierten Angriffe gelten in Bezug auf den zugefügten Schaden als einige der finanziell teuersten Cyberkriminalität. Laut FBI, wurden im Jahr 19,369 2020 Beschwerden über E-Mail-basierte Angriffe registriert, was einem unglaublichen Gesamtschaden von 1.8 Milliarden US-Dollar entspricht.

 

SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.

VERGLEICHEN SSL /TLS ZERTIFIKATE

Wie funktionieren E-Mail-basierte Angriffe?

Ein BEC-Betrüger kann eine der folgenden Taktiken anwenden:

Spoofing von Websites oder E-Mail-Konten

Ein BEC-Hacker weiß, dass Mitarbeiter nicht jeden Brief in der E-Mail-Adresse eines Absenders genau unter die Lupe nehmen, wenn die Botschaft überzeugt und der Absender ein vertrauter Transaktionspartner wie ein Vendor ist. Die E-Mail-Adresse des Absenders könnte etwa so lauten johndoe@example.com aber der Hacker wird es geschickt ändern in jhondoe@example.com.

Phishing-E-Mails

Phishing-Nachrichten gezielte und wichtige Mitglieder des Unternehmens anvisieren, um Opfer dazu zu bringen, sensible Informationen (wie Passwörter der Unternehmenskonten und andere Vermögenswerte) an die Hacker weiterzugeben.      

Senden von Anrufen und Nachrichten

Obwohl nicht vollständig E-Mail-basiert, haben diejenigen, die Phishing-Nachrichten oder andere räuberische E-Mail-Taktiken verwenden, auch mobile Anrufe, Textnachrichten und Voicemail verwendet. Bei dieser Taktik wird das Opfer von einem Firmenbeamten kontaktiert, der eine Geld- oder Dokumentenüberweisung anweist. Es ist auch bekannt, dass BEC-Angreifer Deep-Fake-Technologie verwenden, um sich in Telefonanrufen und Voicemail-Nachrichten als Unternehmensleiter auszugeben. So geschah es 2019 einem Unternehmensleiter in Großbritannien, als Angreifer sich als sein Chef ausgeben und ihn anweisen, Geld an einen ungarischen Lieferanten zu überweisen. Die Kriminellen kamen mit 220,000 Euro davon.  

Was sind prominente Beispiele für geschäftliche E-Mail-Kompromisse?

Jede oder eine Kombination der folgenden Arten von geschäftlichen E-Mail-Kompromissen wurde von Cyberkriminellen erfolgreich implementiert.

CEO-Betrug

Bei dieser Art von geschäftlichem E-Mail-Kompromiss geben die Cyberkriminellen vor, die oberste Führungskraft zu sein und senden eine E-Mail an einen Mitarbeiter der Finanzabteilung des Unternehmens, um Geld auf das Konto des Angreifers zu überweisen.

Kontokompromisse

Das E-Mail-Konto eines Unternehmensmitarbeiters wird gehackt und verwendet, um Rechnungszahlungen von Kunden oder Kunden anzufordern. Die Informationen in der betrügerischen Rechnung werden manipuliert, um die Zahlungen auf ein Konto des BEC-Angreifers zu leiten.

Anwaltsidentität

Der Angreifer gibt sich per E-Mail oder Telefon als Anwalt des Unternehmens aus und fordert einen Mitarbeiter auf, Gelder im Namen des Unternehmens oder mit Zustimmung des CEO zu überweisen. Die anvisierten Opfer sind in der Regel untergeordnete Mitarbeiter, die nicht die Befugnis oder das Bewusstsein haben, eine solche Anfrage zu validieren. Schlaue BEC-Betrüger führen diese Taktik normalerweise vor einem Wochenende oder einer langen Urlaubspause durch, wenn Mitarbeiter unter Druck gesetzt werden, ihre Arbeit zu beenden.

Datendiebstahl

Mitarbeiter der Personal- oder Buchhaltungsabteilung sind die üblichen Ziele bei diesem Angriff. Die Cyber-Gauner bemühen sich, die Mitarbeiter dazu zu bringen, vertrauliche oder kritische Informationen im Besitz des Unternehmens preiszugeben. Wenn diese Daten erfolgreich erlangt werden, können die Angreifer diese entweder an die geschäftlichen Konkurrenten des Opfers und das Dark Web verkaufen oder sie als Requisiten für andere Arten von BEC-Schemata wie dem CEO Fraud verwenden. 

Falsches Rechnungsschema

Bei diesem Betrug geben sich Cyber-Gauner als Lieferanten oder Dienstleister des Unternehmens aus. Sie senden betrügerische E-Mails an den Mitarbeiter des Zielunternehmens, in denen sie zur Zahlung der erbrachten Dienstleistungen oder verkauften Lieferungen aufgefordert werden. Der Mitarbeiter wird dann dazu verleitet, Geld auf ein betrügerisches Konto zu überweisen.

Wie kann SSL.com Ihr Unternehmen vor geschäftlichen E-Mail-Kompromissen schützen?

Ein Hauptgrund, warum BEC ein so effektiver Betrug ist, ist, dass es menschliche Tendenzen ausnutzt: Ablenkung oder Druck bei der Arbeit und Beeinflussung durch Autorität. In einer Arbeitsumgebung, in der Effizienz erforderlich ist, Das menschliche Gehirn neigt dazu, heuristisch zu denken, insbesondere wenn es um vertraute Muster geht. Die Schulung der Mitarbeiter zu mehr Wachsamkeit kann helfen, aber es gibt keine vollständige Sicherheit. Und mit dem Aufkommen künstlicher Technologien, die menschliche Sprachmuster nachahmen können, können betrügerische E-Mails untermauert werden. Was benötigt wird, sind lückenlose Methoden, die zu einer besseren Cybersicherheit führen können. Hier kann SSL.com Ihrem Unternehmen helfen.  

Sichern Sie Ihr E-Mail-System mit S/MIME

Sichere/Mehrzweck-Internet-Mail-Erweiterungen (S/MIME) ist ein Tool basierend auf asymmetrischer Verschlüsselung und Public Key Infrastructure (PKI), die stark verschlüsselt und authentifiziert

E-Mail-Nachrichten, wodurch die Identität der Quelle der E-Mail nachgewiesen wird.    

Unsere S/MIME service verhindert effektiv, dass Business Email Compromise Mitarbeiter des Unternehmens schikaniert, indem ein Protokoll gefördert wird, das besagt, dass E-Mails unter den Namen von Führungskräften, Kollegen und Dienstleistern nur dann empfangen werden, wenn diese eine S/MIME Zertifikat von uns signiert und validiert. Wenn Mitarbeiter eine E-Mail erhalten, die behauptet, von jemandem in der Unternehmensleitung zu stammen, aber nicht digital signiert ist, können sie angewiesen werden, nicht zu antworten und dies stattdessen der IT-Abteilung zur Expertenfeststellung zu melden. Dieses Protokoll befähigt selbst den müdesten oder am leichtesten ablenkbaren Mitarbeiter, schwerwiegende Fehler zu begehen.

Signieren von Dokumenten

Wenn es um den Umgang mit Kontokompromisse geht, unser Dokumentensignierservice zeigt seinen Wert durch Geben Sie Ihren Kunden und Kunden die Gewissheit, dass die Zahlungsrechnungen, die sie erhalten, wirklich von Ihnen stammen. Wenn es keine gibt Digitale Unterschrift, dann sollten sie sie nicht unterhalten, egal wie realistisch sie aussehen.

Für das Schema für falsche Rechnungen können Sie mit Ihren Lieferanten oder Dienstleistern ein System einrichten, in dem Sie nur über verschlüsselte E-Mails kommunizieren und die in Ihren Transaktionen verwendeten Dokumente eine validierte und manipulationssichere digitale Signatur haben sollten. Ihre Mitarbeiter können wieder geschult werden, eingehende Dokumente zu sichten und nur auf digital signierte zu antworten.

Gehen Sie zu diese Seite um zu sehen, welche S/MIME und Dokumentensignaturzertifikat von SSL.com am besten zu Ihren Anforderungen passt.

Benutzer können Code mit der Extended Validation Code Signing-Funktion von eSigner signieren. Klicken Sie unten für weitere Informationen.

Weiterlesen

 

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.