Das Ziel von „Business Email Compromise“, auch Chefmasche genannt, ist es, ein E-Mail-Konto zu hacken oder einen Mitarbeiter so auszutricksen, dass dieser Geld auf das Konto eines Cyberkriminellen überweist. Im Visier haben die die Betrüger Finanzabteilungen weltweit, wobei mehrere Aspekte die Angriffe so attraktiv machen:
Da ist zum einen die unkomplizierte Handhabung: Für einen Angriff muss lediglich der jeweils beste Weg ausgekundschaftet werden, um eine für das Opfer glaubhafte E-Mail zu erstellen. Häufig lässt sich dies mithilfe einer ausgeklügelten Suchabfrage bewerkstelligen.
Die Angriffe sind außerdem kostengünstig, weil es keiner komplizierten Infrastruktur bedarf. Der durchschnittliche Verdienst bei einem erfolgreichen BEC-Angriff beträgt 140.000 US-Dollar, der geschätzte Gesamtschaden in den vergangenen zwei Jahren belief sich auf drei Milliarden US-Dollar. Zum Vergleich: Der durchschnittliche Verdienst bei Ransomware-Angriffen beträgt 722 US-Dollar (derzeit 1 Bitcoin) und kann bis auf 30.000 US-Dollar steigen, wenn ein Unternehmensnetzwerk betroffen ist.
Der schnelle Profit wird die Beliebtheit dieser Erpressungsmethode weiter steigern. Zumal sie sehr schwer zu entdecken ist, weil ja eben kein Schadcode enthalten ist und weil die Mühlen der grenzübergreifenden Gerichtsbarkeit langsam mahlen. Bis beispielsweise ein Nigerianer, der seit 2014 mehrere Unternehmen betrogen hatte, festgenommen wurde, dauerte es über zwei Jahre.
