In den letzten vier Jahren hat die Informationssicherheits-Community viel über die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) und das Innenleben der nigerianischen Cybercrime-Ringe gelernt, die dies zu ihrem Hauptgeschäft gemacht haben.

Wir wissen, dass BEC-Betrug in allen 50 Bundesstaaten und in 177 Ländern weltweit gemeldet wurde. Wir wissen, dass seit Juni 2016 mehr als 26 Milliarden US-Dollar durch BEC-Betrug verloren gegangen sind. Aber wir wissen auch, dass wir selbst auf diesem Niveau nur an der Oberfläche des Schadens kratzen, den die Täter, die hinter der Kompromittierung von Geschäfts-E-Mails stecken, Unternehmen und Privatpersonen zugefügt haben.

Das liegt daran, dass, wie wir alle gelernt haben, dieselben Bedrohungsakteure, die hinter BEC stecken, auch für unzählige andere Verbrechen verantwortlich sind, darunter alles von Liebesschwindel, Work-from-Home-Schemata und Lotteriebetrug bis hin zu Überweisungsbetrug, Kontoübernahmen (ATOs), Lohnabzweigungsbetrug, W2-Betrug und (viel) mehr.

Bei der Verfolgung von BEC und verwandten 419-Schemata (benannt nach Abschnitt 419 des nigerianischen Strafgesetzbuchs) werden oft eine Vielzahl unterschiedlicher, diskreter bösartiger Aktivitäten in einen Topf geworfen. Schließlich sind die Grenzen selten so klar wie bei der Verfolgung von Verbrechen, die mit einer bestimmten Malware-Familie begangen werden.

Dennoch sind 26 Milliarden Dollar an Verlusten durch die Kompromittierung von Geschäfts-E-Mails eine wirklich große Zahl, oder? Dennoch ist es wichtig, diese Verluste in den richtigen Kontext zu setzen, indem man sie mit anderen Bedrohungen vergleicht, denen die Branche ausgesetzt ist. Wie Sie gleich sehen werden, ist das, was wir wissen, erschreckend genug. Aber es ist das, was wir nicht wissen, was mich wirklich nachts wach hält.

BEC-Verluste: Mehr als das Doppelte der Schätzungen des Finanzministeriums?

Beginnen wir mit den Grundlagen. Wir alle kennen die Daten des Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums, das die Verluste durch BEC im Jahr 2018 auf über 300 Millionen US-Dollar pro Monat schätzt. Das sind auf Jahresbasis mehr als 3,6 Milliarden Dollar und ein guter Grund zur Sorge.

Aber es scheint auch sehr optimistisch zu sein. Wenn man davon ausgeht, dass 100 % der Verdachtsmeldungen (Suspicious Activity Reports, SARs) sowohl mit dem FinCEN als auch mit dem Internet Crime Complaint Center des FBI abgeglichen werden, zeichnen die Zahlen des IC3 ein völlig anderes Bild.

Nach Angaben von IC3 wurden zwischen Juni 2016 und Juli 2019 26 Milliarden Dollar durch BEC-Betrug verloren. Wie viel ist das also pro Monat?

26 Milliarden Dollar / 37 Monate = 702 Millionen Dollar an BEC-Verlusten pro Monat 

Das sind 23 Millionen Dollar pro Tag, 975.975,98 Dollar pro Stunde oder 16.266,27 Dollar pro Minute, die durch BEC verloren gehen. Lassen Sie das ruhig einen Moment auf sich wirken - ich warte auf Sie.

Sicherheitsforscher schimpfen gerne über Marketing-Teams, die Zahlen aufblähen, um die Dramatik zu verstärken. Aber in diesem Fall sind diese 26 Milliarden Dollar nicht übertrieben. Tatsächlich sind es überhaupt keine Schätzungen. Jeder einzelne Dollar geht auf ein Opfer zurück. Und auch wenn ein Teil dieses Geldes erfolgreich zurückgezogen wurde, so stellt dies doch die gesamte Exposition der Geschäftswelt gegenüber BEC dar (oder die "exponierten Dollar" in der IC3-Sprache).

26 Milliarden Dollar im Kontext

26 Milliarden Dollar sind kein Pappenstiel. Es entspricht einem Fortune-500-Unternehmen, das auf der diesjährigen Liste auf Platz 115 liegt, gleichauf mit Kraft Heinz, knapp vor Mondelez International und US Bancorp. Wäre es ein Land, so würde es gemessen am BIP zu den 30 größten Volkswirtschaften der Welt gehören.

Auch wenn Ransomware mehr Schlagzeilen macht, ist BEC laut AIG inzwischen der Hauptgrund für Cyberversicherungsschäden in der EMEA-Region, die 24 % aller Schäden ausmachen. Aber um Ihnen einen besseren Kontext zu geben, was dies bedeutet, lassen Sie uns einen Blick auf die Mathematik werfen.

Wir wissen, dass BEC pro Monat mindestens 702 Millionen Dollar an Verlusten verursacht. Anhand der folgenden Gleichung können wir die Verluste aus anderen Kampagnen im Laufe der Zeit in die Anzahl der Tage umrechnen, die BEC benötigt, um denselben Schaden zu verursachen.

(Verluste in Dollar pro Kampagne / 702 Millionen Dollar) X 30 Tage = Anzahl der Tage

Schauen wir uns an, wie das im Vergleich zu den finanziellen Schäden aussieht, die durch verschiedene Formen von Malware-Angriffen verursacht werden, sowie einige andere Benchmarks. Es stellt sich heraus, dass dramatische Angriffe, die für Schlagzeilen sorgen, Jahre dauern können, um dieselbe Menge an Verlusten zu verursachen, die durch erfolgreiche BEC-Betrügereien in nur wenigen Tagen entstehen.

Warum das Anerkennen von Unbekanntem so nervtötend ist

Neben den finanziellen Verlusten durch Cyberkriminalität gibt es auch einen menschlichen Tribut. Ein Ransomware-Angriff auf ein Krankenhaus kann schwerwiegende Folgen haben, einschließlich des Verlusts von Menschenleben. Aber E-Mail-Betrugsringe können ebenso tödlich sein. Selbstmord unter den Opfern von E-Mail-Betrug im Bereich der Liebesbeziehungen ist zum Beispiel kein Einzelfall, dank der emotionalen Erschütterungen, die er verursacht - etwas, das wir in unseren eigenen Daten dokumentiert haben. Wir haben persönlich mehrere Fälle gesehen, in denen verliebte Suchende Opfer von Social Engineering wurden und in den finanziellen Ruin gerieten, ihre Häuser verkaufen mussten, ihre Kinder aus der Schule nahmen und vieles mehr. Und das alles nur, weil ein Mr. oder eine Mrs. Wrong im Internet die Liebe und Zuneigung anbietet, die im Leben ihrer Opfer so sehr fehlt.

Hier kommen die Unbekannten ins Spiel. Während im Jahr 2017 insgesamt 15.000 Betrugsfälle im Bereich der Liebesbeziehungen aufgedeckt wurden und weitere 18.000 im Jahr 2018, bleiben viele weitere Fälle aufgrund des sozialen Stigmas, das mit dieser Form des Betrugs einhergeht, unerkannt. Wie viele Opfer gibt es noch?

Ein Betrug, ein Netz verwandter Straftaten

In den letzten vier Jahren haben wir gelernt, dass viele Betrüger die durch Liebesbetrug gestohlenen Konten nutzen, um BEC-Angriffe zu starten. Bei unseren Ermittlungen gegen den BEC-Verbrecherring Scattered Canary entdeckten wir sogar bisher unbekannte Verbindungen zwischen BEC und zahllosen anderen cyberkriminellen Aktivitäten. 26 Milliarden Dollar Verlust sind schon ein heißes Pflaster, also gießen wir mit ein paar weiteren Fragen Benzin auf den Müllhaufen. Wie viele Lotteriebetrugsopfer gibt es? Wie viele gefälschte Anmeldedaten sind unbemerkt geblieben und stehen für kommende Vendor Email Compromise (VEC)-Programme und andere Angriffe zur Verfügung?

Wie viele W2-Betrügereien haben BEC-Akteure begangen, die nicht gemeldet oder nicht aufgespürt wurden? Wie viele Menschen haben erlebt, dass die bei diesen und anderen Angriffen gestohlenen Informationen dazu verwendet wurden, ihre E-Mail-Konten zu kapern und für andere E-Mail-Betrügereien zu nutzen? Wie viele Studenten oder sich abmühende ältere Menschen wurden unwissentlich für Work-from-Home-Betrügereien rekrutiert und damit beauftragt, gefälschte Schecks an weitere Opfer zu senden? Wie viele BEC-Vorfälle wurden vertuscht und als Kosten für die Geschäftstätigkeit abgetan?

Wenn dies nur einige der Fragen sind, die wir aufgrund der Dinge, die wir wissen, stellen können, was ist dann mit den Dingen, die wir nicht wissen? Ja, 26 Milliarden Dollar an bekannten BEC-Verlusten sind erschreckend. Aber was wir nicht wissen, ist absolut erschreckend.