CEO Fraud – Was ist CEO Fraud?

Was ist CEO Fraud? Wie gehen die Angreifer vor und welche Ziele verfolgen sie?
Bild_CEO-Fraud_Was-ist-CEO-Fraud

Lesezeit: etwa 2 Minuten

Was ist CEO Fraud?

Beim CEO Fraud werden Anweisung des Chefs oder einer vergleichbaren Instanz gefälscht. Hierbei sollen, in der Regel mittels gefälschten E-Mails, Zahlungen an den Betrüger provoziert werden. Zwei der entscheidenden Faktoren die zum Gelingen dieser Methode beitragen, ist zum einen zeitlicher Druck, der aufgebaut wird, zum anderen das Vortäuschen einer absoluten Vertraulichkeit des Themas betreffend. Dass ein solches Vorgehen tatsächlich zum Erfolg führen kann, liegt an der Kombination einer überzeugenden Phishing E-Mail mit teils persönlichen Informationen, die im Vorfeld oft mittels Social Engineering in Erfahrung gebracht wurden.

CEO Fraud – Vorgehensweise

Es ist die E-Mail vom Chef, einer anderen Person aus der C-Ebene, eine Nachricht von einem Geschäftspartner oder Lieferanten. Selbst ein Anruf aus dem Kanzleramt war laut BKA schon dabei. Das grundlegende Vorgehen des CEO Fraud ähnelt sich bei allen Methoden.

  • Die E-Mail, in diesem Fall natürlich eine Phishing Mail, besitzt einen realen Absender
  • Die Ansprache des Betrugsopfers ist korrekt
  • Sogar das Anliegen passt zu einem aktuellen Auftrag.

Die Betrüger hinter dem CEO Fraud nutzen die Informationen, die sich im Internet – auf der Firmenwebseite, im Handelsregister oder sozialen / beruflichen Netzwerken – finden lassen um die Täuschung zu perfektionieren. Diese dort aufgeführten Informationen ermöglichen es den Betrügern korrekte Namen und Stellenbezeichnungen zu verwenden, Briefköpfe und Corporate Identity originalgetreu nachzubilden. Die Fälschungen sind meist so gut gemacht, dass diese auf den ersten und meist sogar auf den zweiten Blick nicht als Fälschung identifiziert werden können.

In der Nachricht des vermeintlichen Chefs an seinen Mitarbeiter wird meist eine Zahlung auf ein ausländisches Konto verlangt, absolutes Stillschweigen gefordert sowie höchste Eile und sofortiges Handeln verlangt. Um den Druck auf den entsprechenden Mitarbeiter zu erhöhen wird das Scheitern eines wichtigen Projektes, bei Untätigkeit, vorhergesagt.

Sollten Nachfragen aufkommen, wird meist darum gebeten, nur auf die E-Mail des vermeintlichen Chefs zu antworten. Damit will der Betrüger sicherstellen, dass die E-Mail des Betrugsopfers garantiert an ihn gesendet wird und der eigentliche Verfasser der E-Mail nicht über den Vorfall informiert wird. Es wird teilweise auch eine Telefonnummer angegeben, die eine vertraute Vorwahl besitzt.

Am anderen Ende sitzen dennoch jedesmal die Angreifer!

Schutz vor CEO Fraud

Dass die Masche immer wieder zielführend ist, zeigen beachtliche Zahlen des BKA zu den entstandenen Schäden. Eine Phishing Mail kann durch geschickte Verschleierung täuschend echt wirken. Das Social Engineering sorgt für den stimmigen Inhalt.

Bei Zweifeln sollte zunächst ein genauer Blick auf die E-Mail-Adresse geworfen werden. Ausgetauschte Zeichen, zusätzliche oder fehlende Bindestriche in der E-Mail-Adresse werden nicht sofort bemerkt. Die Aufforderung zur Zahlung wird häufig unverdächtig sein, weil ausschließlich Mitarbeiter angeschrieben werden, die ohnehin für Buchungen zuständig sind.

Bestehen Gründe, an der Echtheit der erhaltenen Phishing Mail zu zweifeln, sollte die Nachfrage nicht über den geforderten Weg, sondern mittels einer neuen und von selbst adressierten E-Mail geschehen. Im Falle einer telefonischen Rückfrage sollte die Telefonnummer aus dem Unternehmensverzeichnis und nicht die aus der Betrugs E-Mail gewählt werden

Wichtig ist eine Sensibilisierung der verantwortlichen Personen hinsichtlich dieser Vorgehensweisen. Auch der Austausch in öffentlich einsehbaren Foren und Netzwerken über Interna ist nicht ungefährlich. Solche Informationen eignen sich besonders gut, Zweifel an der Echtheit von betrügerischen E-Mails gar nicht erst aufkommen zu lassen.

Erfolg beim CEO Fraud versprechen auch bestimmte Firmenstrukturen. Wenn Anweisungen der Vorgesetzten auch unter ungewöhnlichen Umständen ohne Nachfrage akzeptiert werden und Druck als probates Mittel der Motivation eingesetzt wird, fällt eine gut gemachte Phishing Mail auf fruchtbaren Boden. So können besonders strenge Hierarchien zu einer erhöhten Anfälligkeit für die Masche mit dem falschen Chef führen.

Mit Layer8 werden Ihre Mitarbeiter für das Thema Social Engineering sensibilisiert. Durch Awareness Videos und Phishing Simulationen steigern Sie das IT-Sicherheitsniveau in Ihrem Unternehmen.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 4,75 von 5 Sternen, basierend auf 4 Bewertungen.
Loading...

Kategorisiert in: ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*