Defaults.Exposed

Defaults.ExposedGlossary › Business Email Compromise (BEC)

Business Email Compromise (BEC)

Also known as: BEC, Chef-Masche, CEO-Betrug, Rechnungsbetrug, Zahlungsumleitung

BEC ist ein Betrug, bei dem Kriminelle per E-Mail-Identitätsmissbrauch Ihre Mitarbeiter oder Kunden dazu bringen, Geld zu überweisen oder Bankdaten zu ändern — und das Verschärfen Ihrer Domain-E-Mail-Einstellungen schaltet einen ihrer wichtigsten Hebel ab.

Was es ist

Business Email Compromise ist ein Betrug, der auf dem Vertrauen in E-Mails aufbaut. Ein Krimineller gibt sich als jemand aus, dem das Opfer vertraut — die Inhaberin, die Person aus der Buchhaltung, ein bekannter Lieferant — und nutzt diese Tarnung, um Geld umleiten oder Bankdaten ändern zu lassen. Es gibt keinen Überfall; es beruht auf einer überzeugenden Nachricht, die im richtigen Moment eintrifft.

Häufige Formen: eine gefälschte „dringende Zahlungsaufforderung”, die scheinbar vom Chef kommt, oder eine gefälschte Rechnung „von einem Lieferanten” mit neuen Bankdaten, die in Wahrheit dem Kriminellen gehören.

Warum es für Ihr Geschäft wichtig ist

BEC zählt zu den teuersten Betrugsmaschen überhaupt, gerade weil es ganz normales geschäftliches Verhalten ausnutzt: Menschen, die Rechnungen bezahlen und Anweisungen ihres Vorgesetzten befolgen. Ein einziger erfolgreicher Fall kann eine echte Zahlung direkt zu einem Kriminellen leiten — und das Geld ist oft für immer verloren.

Kleine und mittlere Unternehmen trifft es besonders hart — bei Ihnen fließt echtes Geld, aber meist gibt es kein großes Sicherheitsteam, das jede Anfrage doppelt prüft. Wenn die E-Mail tatsächlich von Ihrer eigenen Domain zu kommen scheint, gehen selbst vorsichtige Mitarbeiter in die Falle.

Woran Sie es erkennen / was zu tun ist

Gier lässt sich nicht abschalten, aber Sie können dem Kriminellen eines seiner besten Werkzeuge nehmen — die Fähigkeit, E-Mails zu versenden, die wirklich von Ihrer Domain zu stammen scheinen. DMARC zu verriegeln (auf „reject” gestellt), zusammen mit SPF und DKIM, hindert Angreifer daran, exakt Ihre Adresse zu fälschen. Ergänzen Sie das durch eine einfache Regel: Bestätigen Sie jede Zahlung oder Änderung von Bankdaten telefonisch, unter einer Nummer, die Sie bereits haben. Prüfen Sie Ihre Domain kostenlos; die E-Mail-Korrekturen sind kostenlos. Beginnen Sie mit der DMARC-Anleitung.

Want to fix this on your own domain? See the free guide →