CEO-Fraud: Wenn sich Betrüger als Chef ausgeben

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: , .


CEO-Fraud: Wenn sich Betrüger als Chef ausgeben

Gerhard Walter, Redaktion, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Es gibt Cyberangriffe, die mit Software alleine nicht verhindert oder gestoppt werden können. Etwa der CEO Fraud. Bei dieser Betrugsmasche werden Mitarbeiter durch Vorspiegelung einer falschen Chef-Identität manipuliert. Diese Form der Internetkriminalität macht sich die menschliche Psyche zunutze und lässt Beschäftigte gezielt in die Falle tappen.

Amateure hacken Systeme, Profis hacken Menschen – gerade jetzt in der Coronakrise weiten Cyberkriminelle eine neuartige Betrugsmasche aus: den sogenannten CEO-Fraud oder Fake-President-Angriff. Dabei geben sich die Täter gegenüber Firmenangestellten per Telefon oder E-Mail als Mitglied der Geschäftsleitung aus und drängen sie dazu, Zahlungen auf bestimmte externe Konten vorzunehmen. Dabei geben die Cybergangster vor, der Auftrag käme direkt vom Chef des Unternehmens (Geschäftsführer oder Vorstand = Chief Executive Officer = CEO) persönlich. Ein angeblicher Berater oder eine angebliche Anwaltskanzlei sind ebenfalls oft Teil des Szenarios. Die Begründungen für die Zahlung sind unterschiedlich, meist muss das Geld sofort überwiesen werden. Die Angreifer wissen offensichtlich ganz genau, wie sie Druck auf die betreffende Mitarbeiterin oder den betreffenden Mitarbeiter ausüben müssen, damit sie oder er die Zahlung vornimmt.

In schlechtem Deutsch formulierte und vor Rechtschreibfehlern strotzende E-Mails, die Nutzer zur Passworteingabe auffordern und leicht zu enttarnen sind, werden von den Kriminellen kaum noch verschickt. Vielmehr sind es täuschend echte Mitteilungen, womöglich noch mit der E-Mail-Adresse des eigenen Chefs, die Mitarbeiter kaum an der Echtheit der Mail zweifeln lassen und so jeglichen gesunden Zweifel wegwischen.

Schon der US-amerikanische IT-Sicherheitsexperte Bruce Schneier wusste zur Jahrtausendwende, dass der Faktor Mensch das schwächste Glied in der digitalen Sicherheitskette von Unternehmen ist. Diese Tatsache machen sich auch heute, 20 Jahre später, Cyberkriminelle zunutze und versuchen sich im sogenannten Social Engineering, erklärt das Webportal internetx.com des gleichnamigen Internet-Service-Providers. Auch der CEO-Fraud ist eine Variante des Social Engineerings, bei dem die „Schwachstelle Mensch“ ausgenutzt wird. Denn: Für Cyber-Kriminelle gestaltet es sich aufgrund der immer besser werdenden technischen Abwehr von Unternehmen immer schwieriger, sich erfolgreich und vor allem unbemerkt in fremde Systeme zu hacken. Die Manipulation eines Mitarbeiters dagegen erscheint da deutlich einfacher. So können Cybergangster mithilfe von Social Engineering versuchen, neben Geld auch vertrauliche Unternehmensdaten oder Patente zu stehlen und Malware in Umlauf bringen.

Social Engineering: Soziale Netzwerke sind eine echte Fundgrube

Beim CEO-Fraud nutzen die Täter vor allem Informationen, die Unternehmen in Geschäftsberichten, im Handelsregister, auf der Homepage oder in analogen und digitalen Medien sowie in Werbebroschüren veröffentlicht haben. Aber auch die sozialen Netzwerke sind für Cyberkriminelle eine wahre Fundgrube. Dort gibt es neben Informationen über das Unternehmen auch ausführliche Hinweise auf geschäftliche Beziehungen oder die Identität und Funktion der Mitarbeiter. Zu den gesuchten Daten gehören vor allem die Mailadressen der Mitarbeiter, die am Ende die Zahlungen für die Betrüger vornehmen oder vertrauliche Daten verschicken sollen. Mit den Angaben aus diesen Erstkontakten werden dann gezielte E-Mails mit für das jeweilige Unternehmen plausiblen Angaben verschickt. Für den Versand von E-Mails, die auf den ersten Blick täuschend echt scheinen, verwenden die Cyberkriminellen dann unternehmensähnliche Domainnamen. Mit E-Mail-Adressen von diesen Domains wollen die Betrüger den Empfängern vortäuschen, es mit dem echten Unternehmen zu tun zu haben.

Mitarbeiter sensibilisieren und Kontrollprozesse für Überweisungen definieren

Momentan nutzen die Täter aus, dass viele Mitarbeiter aufgrund der Corona-Pandemie im Homeoffice sitzen und sich wegen der angespannte Lage der Wirtschaft oft Sorgen machen – und deshalb auch eher auf die Tricks der Cyberbetrüger reinfallen, heißt es in einer aktuellen Studie der Wirtschaftsprüfungsgesellschaft KPMG. Noch dazu habe sich gezeigt, dass angesichts der Corona-Notlage Unternehmen von ihren üblichen Regeln und Kontrollprozessen abgewichen seien, so das Handelsblatt in seiner Online-Ausgabe vom 17. August. Der Kreditversicherer Euler Hermes geht davon aus, dass allein durch den CEO Fraud bei deutschen Unternehmen seit 2014 Schäden in Höhe von rund 190 Millionen Euro entstanden sind, ergänzt das Handelsblatt in seiner Ausgabe vom 24. August.

Der Versand von Betrugs-E-Mails kann kaum verhindert werden. Die wichtigste Empfehlung zur Vorbeugung ist deshalb die Sensibilisierung der Mitarbeiter für solche Attacken. Laut dem Nationalen Zentrum für Cybersicherheit der Schweiz NCSC sollte dabei folgendes beachtet werden:

  • Bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Information (dazu gehören auch Passwörter oder die Erlaubnis, dass der Anrufer via RemoteSupport Tools auf den Rechner zuzugreifen kann) herausgeben und keine Anweisungen befolgen, auch wenn Druck aufgebaut wird.
  • Unternehmen sollen kontrollieren, welche Informationen über die eigene Firma und deren Mitarbeiter online zugänglich sind.
  • Es sollten Prozesse definiert werden, die alle Beschäftigten jederzeit zu befolgen haben. Bei Überweisungen wird beispielsweise ein Vieraugenprinzip mit Kollektivunterschrift empfohlen.

Die Polizei NRW rät auf ihrer Website zudem, bei ungewöhnlichen Zahlungsanweisungen die E-Mail genau auf Absenderadresse und korrekte Schreibweise zu überprüfen, die Zahlungsaufforderung beim vermeintlichen Auftraggeber durch einen Rückruf oder eine schriftliche Rückfrage zu verifizieren und die Geschäftsleitung beziehungsweise den Vorgesetzten zu informieren. Sollte es bereits zu einer Transaktion gekommen sein, ist schnelles Handeln erforderlich. Geldinstitut und Polizei müssen sofort informiert werden.

Die HypoVereinsbank hat auf ihrer Website zusammengetragen, was Vorgesetze und Mitarbeiter über den CEO-Fraud wissen sollten:

Der Täter…

  • . . . gibt vor, dass es sich um eine streng geheime und vertrauliche Angelegenheit handelt, von der die Zukunft des Unternehmens abhängt
  • . . . gibt sich als Führungskraft aus (Vorstand, Geschäftsführer, Inhaber)
  • . . . besitzt genaue Kenntnisse sowohl von der Firmen- und Führungsstruktur als auch von den handelnden Personen im Finanzbereich
  • . . . veranlasst einen dazu berechtigten Mitarbeiter, eine dringende Überweisung auszuführen
  • . . . gibt vor, direkt im Auftrag des CEO zu handeln
  • . . . fordert den Transfer hoher Geldbeträge ins Ausland

 

Das Opfer im Unternehmen . . .

  • . . . fühlt sich aufgrund der höchsten Geheimhaltungsstufe an die Weisung gebunden
  • . . . erhält vom CEO Zahlungsaufträge, etwa für eine streng geheime Akquisition
  • . . . ist eine Person mit Handlungs-/Zeichnungsberechtigung; deren direkte Ansprache wirkt als Vertrauensbeweis, vermittelt Dringlichkeit und verhindert Rückfragen
  • . . . schöpft keine Verdacht, da der CEO Interna kennt und diese geschickt im Gespräch einsetzt
  • . . . wird per Telefon/E-Mail kontaktiert

Welche weiteren Betrügereien sich hinter Social Engineering verbergen und welche Maßnahmen es dagegen gibt – dazu in diesem Blog nächste Woche mehr.