Ein kleines Rollenspiel: Es ist 16:15 Uhr, Sie sind noch im Büro als Sie eine Mail vom Finanzvorstand der Firma erhalten. Er bittet Sie um eine dringend notwendige Überweisung, damit eine Vertragsvereinbarung mit einem wichtigen Partner eingegangen werden kann. Die Überweisung muss bis zum Ende des Tages getätigt werden. Wie reagieren Sie?
In diesem Artikel geht es um eine immer beliebtere Betrugsmasche, den sogenannten CEO-Betrug (auch CEO-Fraud)
Was ist CEO-Betrug?
CEO-Betrug ist eine Form von Spearphishing-Angriff, der sich gegen Mitarbeiter von Finanz- oder Buchhaltungsabteilungen eines Unternehmens richtet. Während Cyberkriminelle bei einem Whaling-Angriff die Geschäftsleitung ins Visier nehmen, versuchen sie beim CEO-Betrug, sich als Führungskräfte auszugeben und die Adressaten per E-Mail davon zu überzeugen, schnell Geld für eine vermeintlich sehr wichtige geschäftliche Vereinbarung zu überweisen. Das Geld landet dabei jedoch auf den Konten der Kriminellen und ist für das Unternehmen verloren.
Wenn man dies liest, ist es nur schwer vorstellbar, dass man selbst auf so eine Masche hereinfallen würde. Schließlich kennen Sie Ihre Vorgesetzten gut und können ihre E-Mail-Adressen oder Telefonnummern leicht erkennen. Trotzdem ist die Masche in den letzten Jahren sehr erfolgreich gewesen. Nach Schätzungen des FBI entstanden durch die auch als Business Email Compromise (BEC) bekannte Betrugsform in den Jahren 2016 bis 2019 Verluste in Höhe von 26 Milliarden US-Dollar für Unternehmen.
Die kanadische Stadt Ottawa traf es 2018. Die Stadtkämmererin Marian Simulik erhielt eine Betrugs-E-Mail und überwies daraufhin Betrügern über 100.000 Kanadische Dollar. Einige Tage später erhielt sie eine weitere Nachricht mit der nochmaligen Bitte, weitere 150.000 Dollar zu überweisen. Glücklicherweise befand sich Simulik in diesem Moment im selben Raum wie City Manager Steve Kanellakos, der vermeintliche Absender der Nachricht. Sie fragte ihn, was es damit auf sich hatte, und erkannte so den Betrugsversuch.
Tricks und Vorbereitungen
Um ihre Opfer reinzulegen zu überzeugen, haben die Betrüger verschiedene Vorgehensweisen. Ein wichtiger Bestandteil ist Social Engineering, also das gezielte Manipulieren von Personen, um eine gewünschte Verhaltensweise zu erreichen. Die Kriminellen erzeugen bewusst ein Gefühl von Dringlichkeit bei ihrem Opfer, um es zu schnellem Handeln zu bewegen und das eigene Tun möglichst wenig zu hinterfragen. Darüber hinaus wird die vermeintliche Aufmerksamkeit eines leitenden Angestellten auf einen Mitarbeiter dazu genutzt, um ein Gefühl von Stolz und Wichtigkeit beim Opfer zu erzeugen. Denn wer möchte das Risiko eingehen, eine Führungskraft zu enttäuschen, die einem vertraut?
Um ihren Erfolg sicherzustellen leisten die Cyberkriminellen beim CEO-Betrug einiges an Vorarbeit, um die erforderliche Identität Führungskraft zu stehlen. Das Finden der Namen der leitenden Angestellten des Unternehmens braucht es meist nur eine einfache Online-Suche, häufig auf der Website des Unternehmens. Namensdiebstahl erhöht somit die Glaubwürdigkeit ihres Versuchs.
Im nächsten Schritt wird die E-Mail-Adresse imitiert oder gefälscht. Die einfache Methode besteht darin, eine gefälschte E-Mail-Adresse zu erstellen, die der legitimen Adresse sehr ähnlichsieht. Beispielsweise könnte aus janet.brown.ceo@yourbusiness.com die Adresse janet.brown.ceo@youbusiness.com werden (ohne das "r" in "your"). Oder man setzt auf E-Mail-Spoofing oder E-Mail-Adress-Spoofing. In diesem Fall wird die Absender-E-Mail-Adresse in der Nachricht als janet.brown.ceo@yourbusiness.com angezeigt, doch lautet tatsächlich anders. In beiden Fällen wird durch Klicken auf "Antworten" die E-Mail direkt an den Betrüger und nicht an den legitimen Empfänger (oder eine ähnliche E-Mail) gesendet.
Wie Sie ihr Unternehmen schützen können
Der erste Schritt zum Schutz vor solchen Betrugsmaschen sind klare und manipulationssichere Regeln für Finanztransaktionen. Beispielsweise kann es eine Voraussetzung sein, dass eine Transaktion immer von mindestens zwei autorisierten Personen genehmigt werden muss. Es lässt sich auch festlegen, welche Arten von Überweisungen überhaupt gestattet sind.
Wie allgemein bei der Betrugsprävention üblich, helfen auch in diesem Fall Awareness-Trainings für die Mitarbeiter dabei, die Wachsamkeit und Sensibilisierung für das Problem zu erhöhen. Da diese Betrugsmasche auf bestimmte Unternehmensabteilungen abzielt, gilt es dort einen besonderen Fokus zu setzen.
Daneben zählen auch bei CEO-Betrug die grundlegenden Maßnahmen zur Erkennung von Phishing-Versuchen. Erliegen Sie nicht dem Druck und dem Gefühl der Dringlichkeit in diesen Mails. Prüfen Sie Details wie Namen, Quelladressen und Unterschriften stets sorgfältig.
Auch die Implementierung von Verhaltensweisen für Mitarbeiter, wie beispielsweise direkte Antworten auf verdächtige E-Mails zu unterlassen und sich stattdessen direkt telefonisch zu melden - unter Verwendung der offiziellen Nummer anstelle der Nummer in der Nachrichtensignatur - kann ebenfalls Schäden verhindern. Im obigen Beispiel könnte Frau Brown in einem kurzen Telefonanruf ihrem Mitarbeiter bestätigen, dass es sich um einen Betrugsversuch handelt und nicht um eine Aufforderung von ihrer Seite.
Unabhängig davon, ob es 9:10 Uhr oder 16:15 Uhr ist: Es gibt keinen schlechten Zeitpunkt, um die eigenen Mitarbeiter an Maßnahmen und Regeln zur Betrugsprävention zu erinnern. Und, es ist stets der richtige Zeitpunkt diese umzusetzen. Wie das Sprichwort sagt: "Vorbeugung ist die beste Medizin."