Geschäftliche E-Mail-Kompromittierung (BEC): $26 Milliarden bekannte Verluste in den Kontext stellen

In den letzten vier Jahren hat die Informationssicherheitsgemeinschaft viel über geschäftliche E-Mail-Kompromittierung (BEC) und die inneren Abläufe nigerianischer Cyberkriminalitätsringe gelernt, die es zu ihrem Hauptgeschäft gemacht haben.

Wir wissen, dass BEC-Betrug in allen 50 Bundesstaaten und in 177 Ländern weltweit gemeldet wurde. Wir wissen, dass seit Juni 2016 über 26 Milliarden Dollar aufgrund von BEC verloren gegangen sind. Aber wir wissen auch, dass wir selbst auf diesem Niveau möglicherweise nur an der Oberfläche der Schäden kratzen, die die Bedrohungsakteure hinter geschäftlicher E-Mail-Kompromittierung Unternehmen und Einzelpersonen zugefügt haben.

Das liegt daran, dass, wie wir alle gelernt haben, die gleichen Bedrohungsakteure hinter BEC für eine Vielzahl anderer Verbrechen verantwortlich sind, darunter alles von Romantikbetrug, Arbeit-von-Zuhause-Systemen und Lotteriebetrug bis hin zu Drahtbetrug, Kontenübernahmen (ATOs), Gehaltsumleitungs-Betrug, W2-Betrug und vielem mehr.

Beim Verfolgen von BEC und verwandten 419-Schemata (benannt nach Abschnitt 419 des nigerianischen Strafgesetzbuchs) werden häufig verschiedene diskrete bösartige Aktivitäten zusammengefasst. Schließlich sind die Grenzen selten so klar wie bei der Verfolgung von Straftaten, die unter Verwendung einer bestimmten Malware-Familie begangen wurden.

Dennoch sind $26 Milliarden Verluste durch geschäftliche E-Mail-Kompromittierung eine wirklich hohe Zahl, oder? Dennoch ist es wichtig, diese Verluste in den Kontext zu stellen, indem man sie mit anderen Bedrohungen vergleicht, denen die Branche gegenübersteht. Wie Sie gleich sehen werden, ist das, was wir wissen, schon beängstigend genug. Aber es ist das, was wir nicht wissen, was mich wirklich nachts wach hält.

BEC-Verluste: Mehr als doppelt so hoch wie die Schätzungen des Finanzministeriums?

Lassen Sie uns mit den Grundlagen beginnen. Wir haben alle die Daten gesehen, die vom Finanzkriminalitätsdienst (FinCEN) des US-Finanzministeriums stammen, der die Verluste durch BEC im Jahr 2018 auf über 300 Millionen Dollar pro Monat schätzte. Das sind mehr als 3,6 Milliarden Dollar auf Jahresbasis und durchaus alarmierend.

Aber es scheint auch überaus optimistisch zu sein. Wenn wir davon ausgehen, dass 100 % der Verdachtsmeldungen (SARs) sowohl bei FinCEN als auch beim Internet-Betrugsbeschwerdezentrum des FBI synchronisiert sind, zeichnen die Zahlen, die vom IC3 stammen, ein völlig anderes Bild.

Laut IC3 gingen zwischen Juni 2016 und Juli 2019 $26 Milliarden durch BEC-Betrügereien verloren. Wie viel ist das pro Monat?

26 Milliarden US-Dollar / 37 Monate = 702 Millionen US-Dollar an BEC-Verlusten pro Monat

Das sind 23 Millionen Dollar Verlust pro Tag, 975.975,98 Dollar Verlust pro Stunde oder 16.266,27 Dollar Verlust pro Minute durch BEC. Lassen Sie das ruhig einen Moment auf sich wirken – ich warte auf Sie.

Sicherheitsforscher kritisieren Marketingteams gerne dafür, Zahlen zu überhöhen, um das Drama zu verstärken. Aber in diesem Fall sind diese 26 Milliarden Dollar nicht übertrieben. Tatsächlich handelt es sich dabei nicht um Schätzungen. Jeder einzelne Dollar lässt sich auf ein Opfer zurückführen. Und auch wenn ein Teil dieses Geldes erfolgreich rückgängig gemacht worden sein mag, repräsentiert es dennoch die Gesamtbelastung der Geschäftswelt (oder „exponierte Dollar“, wie es im Jargon des IC3 heißt) durch BEC.

26 Milliarden Dollar in den Kontext stellen

26 Milliarden Dollar sind keine Kleinigkeit. Es entspricht einem Fortune-500-Unternehmen – etwa dem Rang von Kraft Heinz auf Platz 115 in der diesjährigen Liste, knapp über Mondelez International und US Bancorp. Wenn es ein Land wäre, würde es unter den 30 größten Volkswirtschaften der Welt nach BIP rangieren.

In der Tat, während Ransomware mehr Schlagzeilen macht, ist BEC jetzt der Haupttreiber für Cyber-Versicherungsansprüche in der EMEA-Region – mit 24 % aller Ansprüche, laut AIG. Aber um Ihnen wirklich einen besseren Kontext dafür zu geben, was das bedeutet, lassen Sie uns die Mathematik betrachten.

Wir wissen, dass BEC mindestens $702 Millionen Verlust pro Monat verursacht. Mit der folgenden Gleichung können wir die Verluste aus anderen Kampagnen im Laufe der Zeit in die Anzahl der Tage umwandeln, die benötigt werden, um den gleichen Schaden wie BEC zu verursachen.

(Verluste in Dollar nach Kampagne/ $702 Millionen) X 30 Tage = Anzahl der Tage

Lassen Sie uns betrachten, wie sich das im Vergleich zu den finanziellen Schäden durch verschiedene Formen von Malware-Angriffen sowie einigen anderen Maßstäben verhält. Wie sich herausstellt, können dramatische Angriffe, die Schlagzeilen machen, Jahre dauern, um den gleichen Betrag an Verlusten zu verursachen, wie erfolgreiche BEC-Betrügereien es in nur wenigen Tagen tun.

Warum das Anerkennen des Unbekannten so beunruhigend ist

Jenseits der finanziellen Verluste durch Cyberkriminalität gibt es den menschlichen Tribut. Ein Ransomware-Angriff auf ein Krankenhaus könnte schwerwiegende Folgen haben, einschließlich des Verlusts von Menschenleben. Aber auch E-Mail-Betrugsringe können tödlich sein. Selbstmord unter Opfern von E-Mail-basiertem Romantikbetrug ist zum Beispiel keineswegs ein isoliertes Ereignis, aufgrund der emotionalen Turbulenzen, die es verursacht – etwas, das wir in unseren eigenen Daten dokumentiert haben. Wir haben persönlich mehrere Fälle gesehen, in denen liebessuchende Personen Opfer von Social Engineering wurden und in finanziellen Ruin gerieten, indem sie ihre Häuser verkaufen mussten, Kinder aus der Schule nahmen und mehr. Alles wegen eines Online-Mr. oder Mrs. Wrong, der die Liebe und Zuneigung anbietet, die in den Leben ihrer Opfer so fehlt.

Hier kommen die Unbekannten ins Spiel. Während im Jahr 2017 insgesamt 15.000 Romantikbetrügereien identifiziert wurden und weitere 18.000 im Jahr 2018, bleiben viele weitere Fälle ungemeldet aufgrund des sozialen Stigmas, das mit dem Hineinfallen in diese Form des Betrugs einhergeht. Wie viele weitere Opfer gibt es?

Ein Betrug, ein Netzwerk von verbundenen Verbrechen

In den letzten vier Jahren haben wir gelernt, dass viele Betrüger Konten nutzen, die durch Romantikbetrügereien gestohlen wurden, um BEC-Angriffe zu starten. Tatsächlich haben wir im Zuge unserer Ermittlungen gegen den BEC-Kriminalring Scattered Canary bisher unbekannte Verbindungen zwischen BEC und unzähligen anderen Cyberkriminalitätsaktivitäten entdeckt. Da bereits 26 Milliarden Dollar an Verlusten eine heiße Unordnung sind, werfen wir mit ein paar weiteren Fragen Benzin auf das Müllcontainerfeuer. Wie viele Opfer von Lotteriebetrug gibt es? Wie viele gefälschte Anmeldeinformationen sind unbemerkt geblieben, bereit für die Ausnutzung in kommenden Vendor Email Compromise (VEC)-Schemata und anderen Angriffen?

Wie viele W2-Betrugsfälle haben BEC-Akteure begangen, die nicht gemeldet oder verfolgt wurden? Wie viele Personen haben gesehen, wie die in diesen und anderen Angriffen gestohlenen Informationen dazu verwendet wurden, ihre E-Mail-Konten zu kapern, um sie in anderen E-Mail-Betrugsspielen zu nutzen? Wie viele Studenten oder hilfsbedürftige Senioren wurden unwissentlich in Arbeit-von-Zuhause-Betrügereien rekrutiert, mit der Aufgabe, gefälschte Schecks an noch mehr Opfer zu senden? Wie viele BEC-Vorfälle wurden vertuscht, als Kosten des Geschäfts abgetan?

Wenn dies nur einige der Fragen sind, die wir stellen können, basierend auf Dingen, die wir wissen, was ist dann mit den Dingen, die wir nicht wissen? Ja, 26 Milliarden Dollar an bekannten BEC-Verlusten sind beängstigend. Aber das, was wir nicht wissen, ist absolut erschreckend.

You might be interested in reading:

Was ist Phishing? Oktober 11, 2023

Was ist E-Mail-Spoofing? Oktober 11, 2023

Zehn DMARC-Mythen, bereit, entlarvt zu werden. September 7, 2023

Was ist Business Email Compromise (BEC)? Oktober 11, 2023