BEC wird gefährlicher

BEC-Betrügergruppen werden immer dreister. Die durchschnittliche Summe, die eine BEC-Gruppe versuchen wird, von einer Zielfirma zu stehlen, liegt im zweiten Quartal 2020 bei etwa 80.000 Dollar pro Angriff, so der am Montag veröffentlichte Branchenbericht „Phishing Activity Trends Report – Unifying the Global Response To Cybercrime“ der Anti-Phishing Working Group (APWG). Das ist ein rapider Anstieg gegenüber den 54.000 Dollar im 1. Quartal 2020.

Als eine der größten Branchengruppen ihrer Art veröffentlicht die APWG seit 2004 vierteljährliche Berichte über den Stand der Phishing-Aktivitäten. Die meisten dieser Berichte konzentrierten sich in der Regel auf Phishing-Angriffe per E-Mail, die sich auf den Diebstahl von Anmeldedaten und die Verbreitung von Malware fokussieren. Seit Mitte der 2010er Jahre nimmt der BEC-Betrug jedoch langsam immer mehr Platz in den Berichten der APWG ein, da BEC-Betrug heute zum wichtigsten Trend der Cyberkriminalität geworden ist.

BEC-Betrug beginnt in der Regel mit Phishing, d. h. mit einer E-Mail, die an einen Mitarbeiter eines Unternehmens gesendet wird. Das Endziel besteht darin, den Mitarbeiter zu täuschen, indem er gefälschte Rechnungen bezahlt oder Geld auf ein von den Angreifern kontrolliertes Konto überweist.

Im Laufe der letzten Jahre hat es mehrere kriminelle Gruppen gegeben, die sich an BEC-Betrügereien beteiligt haben. Einige Gruppen zielten auf riesige Auszahlungen in der Größenordnung von Hunderten von Millionen Dollar ab, um dann verhaftet und strafrechtlich verfolgt zu werden, aber die weitaus meisten Gruppen operieren gewöhnlich unter dem Radar, an einem „Sweet Spot“, an einem Punkt, an dem die Summen niedrig genug sind, um Unternehmen davon abzubringen, Untersuchungen und rechtliche Schritte einzuleiten, aber immer noch groß genug, um den Gruppen einen Gewinn zu verschaffen.

Aber laut Agari, einer Cyber-Sicherheitsfirma, die Mitglied der APWG ist, sieht die BEC-Bedrohungslandschaft im 2. Quartal 2020 wieder einmal eine andere große Gang, die es auf große Auszahlungen abgesehen hat – nämlich eine neu entdeckte russische BEC-Gruppe namens Cosmic Lynx.

Laut einem Bericht von Agari Anfang dieses Jahres ist diese Gruppe seit Juli 2019 aktiv und hat in mehr als 200 verschiedenen Kampagnen 46 Entitäten auf sechs Kontinenten ins Visier genommen. Die Gruppe ist nicht nur deshalb einzigartig, weil sie von Russland aus operiert und damit  außerhalb Westafrikas, wo sich die meisten BEC-Banden befinden, sondern auch wegen der Ebene und des Umfangs, auf der sie operiert.

„Die durchschnittliche Summe, die Cosmic Lynx bei seinen Angriffen fordert, beträgt erstaunliche 1,27 Millionen Dollar“, sagte Agari im APWG-Bericht.

Damit unterscheidet sich Cosmic Lynx von der überwiegenden Mehrheit der anderen heute aktiven BEC-Betrügergruppen, die sich mehr als damit begnügen, magere Gewinne von nur ein paar Zehntausend US-Dollar zu erzielen, solange es ihnen erlaubt, unter dem Radar der Strafverfolgungsbehörden durchzukommen.

Cosmic Lynx scheint aber keine Angst vor Strafverfolgung zu haben, oder zumindest vor der Strafverfolgung in westlichen Ländern, und versucht dreist, Unternehmen zu täuschen, damit sie riesige Zahlungen überweisen.

Crane Hassold, Senior-Direktor für Bedrohungsforschung bei Agari, glaubt, dass in Russland in Zukunft noch mehr BEC-Betrügergruppen auftauchen werden, weil die russischen Behörden Cyberkriminellengruppen vor Strafverfolgung in westlichen Staaten abschirmen.

Darüber hinaus sind auch die Vorteile für russische Cyberkriminellengruppen sehr spürbar, da „die Kapitalrendite für grundlegende Social-Engineering-Angriffe viel höher ist als für komplexere (und teurere) Malware-basierte Angriffe“, so Hassold.

BEC-Angriffe sind heutzutage ein recht lukratives Geschäft. Das FBI berichtet, dass die Hälfte der im Jahr 2019 gemeldeten Verluste aus der Cyberkriminalität auf BEC-Betrügereien zurückzuführen ist, nämlich satte 1,77 Milliarden Dollar von den insgesamt 3,5 Milliarden Dollar.