Blogs & News-Artikel

Es ist an der Zeit, sich gegen CEO-Fraud zu wappnen

Kürzlich wurde ein Finanzdienstleister Opfer von CEO-Fraud. Mehr als eineinhalb Millionen Euro wurden gestohlen. Der Geschäftsführer hat es gemeldet, aber wird das Unternehmen das Geld jemals wiedersehen? Wahrscheinlich nicht.

Ein Mitarbeiter des Unternehmens erhielt eine E-Mail, die scheinbar von dem Geschäftsführer stammte und in der er gebeten wurde, eine Kontonummer zu ändern, auf die Geld, das für die Aktionäre bestimmt war, überwiesen werden sollte. Ein klassischer Fall von CEO-Betrug.

Es ist an der Zeit, sich gegen diese raffinierte Form der Cyberkriminalität zu wappnen. Was ist CEO-Fraud, warum ist er so effektiv und was können wir dagegen tun? Das können Sie in diesem Blog nachlesen.

01 Jun CEO-Betrug verhindern


Was ist CEO-Fraud?

Beim CEO-Fraud, auch bekannt als Whaling, sendet der Betrüger im Namen einer hochrangigen Person in einem Unternehmen (oft als CEO oder CFO) eine E-Mail an einen Mitarbeiter mit einer betrügerischen Zahlungsanweisung oder einer Aufforderung zur Änderung einer Kontonummer. Der Betrüger erweckt den Eindruck von Dringlichkeit und Notwendigkeit, wie z. B. eine bevorstehende Akquisition oder eine Auszahlung an einen wichtigen Kunden. Aus diesem Grund bitten sie darum, von der regulären Vorgehensweise abzuweichen.

Kriminelle nutzen oft E-Mail-Spoofing, sie verwenden sehr ähnliche E-Mail-Adressen oder sie haben Zugriff auf das E-Mail-Konto, indem sie sich z. B. durch Phishing Anmeldedaten verschaffen.

CEO-Fraud ist eine Form von Business Email Compromise (BEC). Business Email Compromise umfasst unter anderem auch Gehaltsbetrug und Lieferantenbetrug:

  • Gehaltsbetrug: Beim Gehaltsbetrug sendet ein Krimineller eine betrügerische E-Mail an die Personalabteilung oder die Lohnbuchhaltung mit der Aufforderung, die Zahlungsdaten zu ändern oder zu aktualisieren. Auf diese Weise wird das Gehalt nicht auf ein legitimes Bankkonto überwiesen, sondern auf das Konto des Betrügers.
  • Lieferantenbetrug: Beim Lieferantenbetrug gibt sich ein Krimineller als Lieferant aus, mit dem ein Unternehmen regelmäßig Geschäfte tätigt. Der Kriminelle sendet eine Aufforderung zur Aktualisierung der Bankdaten, um ausstehende Rechnungen zu bezahlen. Kürzlich wurde bekannt, dass der holländische Online-Betreiber Bol.com Ende 2019 etwa 750.000 Euro an Betrüger überwiesen hat, die sich in das System des Lieferanten Brabantia gehackt hatten. Die Betrüger schickten eine E-Mail vom E-Mail-Konto von Brabantia und forderten dazu auf, die Bankkontonummern zu ändern. Pikantes Detail: Die E-Mail war voll von Rechtschreibfehlern. Bol.com war der Meinung, dass seine Mitarbeiter ausreichend Grund zu der Annahme hatten, dass die Änderungen der Kontonummern korrekt waren. Das Gericht hat nun aber entschieden, dass Bol.com als Geschädigter doch an Brabantia zahlen muss.

Sehen Sie sich unser Video an, um zu erfahren, wie CEO-Betrug funktioniert. Dieses Video ist Teil eines Trainingsmoduls aus unserer Plattform für IT-Security Awareness.


Einfache Aktion, großer Schaden

Bei CEO-Betrug und vor allem bei Lieferantenbetrug geht es oft um Tausende oder gar Millionen von Euro. Das bekannteste Beispiel aus jüngster Zeit ist das der niederländischen Kinokette Pathé, wo 19 Millionen Euro erbeutet wurden. Das Schmerzlichste daran ist, dass der CFO des niederländischen Managements von Pathé das Ziel war. Die Kriminellen gaben sich als Direktoren der französischen Zentrale aus und schickten wiederholt E-Mails an die niederländischen Direktoren, in denen sie diese aufforderten, Geld für Anschaffungen zu überweisen. Die niederländischen Top-Manager wurden nach der Entdeckung dieses Fehlers entlassen.

Ein weiterer berüchtigter Fall ereignete sich 2014 beim niederländischen Fussballverein Feyenoord. In diesem Jahr verkaufte Feyenoord den Verteidiger Stefan de Vrij an den italienischen Verein Lazio Rom. Die Vereine einigten sich darauf, die Ablösesumme in vier Teilen zu zahlen. In der letzten Phase der Zahlung ging die Sache schief. Im Jahr 2018 erhielt Lazio eine E-Mail, in der sie aufgefordert wurden, die letzte Rate von 2 Millionen Euro an den Rotterdamer Verein zu überweisen. Das angegebene Konto befand sich jedoch in den Händen von Cyberkriminellen. Feyenoord hat den Betrag der letzten Rate also nie erhalten.

Warum ist CEO-Fraud so effektiv?

Wie bei allen Formen des Social Engineering nutzen Kriminelle auch beim CEO-Fraud menschliche Anfälligkeitsfaktoren aus. CEO-Fraud ist an folgenden Faktoren zu erkennen:

  • Zeitdruck und Dringlichkeit: Das Geld muss schnell überwiesen werden, da sonst ein wichtiges Geschäft nicht zustande kommt. Diese Anfragen werden oft am Ende des Tages verschickt, um die Dringlichkeit zu verstärken.
  • Betonung von Autorität und Befugnis: Der (Zahlungs-)Auftrag wird als Befehl erteilt und kommt von jemandem aus dem höheren Management. Dem zu widersprechen, wäre unangemessen.
  • Betonung der Vertraulichkeit: Es ist wichtig, den Auftrag vertraulich zu behandeln. Andere Kollegen sollten noch nicht informiert werden.
  • Der Absender ist schwer zu erreichen: Es wird betont, dass eine Kommunikation nur per E-Mail möglich ist. Die Person ist wegen anderer wichtiger Angelegenheiten telefonisch nicht zu erreichen.
  • Der Mitarbeiter wird wichtig gemacht: Die Zielperson wurde wegen ihrer außergewöhnlichen Qualitäten für den Auftrag ausgewählt. Ohne ihn/sie wird es nicht funktionieren.

Leider liegt es in unserer Natur, (zu) hilfreich sein zu wollen. Selbst wenn es Zweifel gibt, bringt uns die Kombination der oben genannten Faktoren dazu, helfen zu wollen und uns zu beweisen.

Wie wappnen Sie sich als Unternehmen gegen CEO-Fraud?

Kontinuierliche Schulung

Glücklicherweise ist es eher die Regel als die Ausnahme, aber kontinuierliche Schulungen zum Sicherheitsbewusstsein sind unerlässlich, um Mitarbeiter darin zu schulen, CEO-Fraud und andere Social-Engineering-Angriffe zu erkennen und abzuwehren. Ein effektiver und skalierbarer Weg ist es, regelmäßig Online-Schulungen anzubieten. Auf diese Weise machen Sie die Mitarbeiter auf die Signale aufmerksam und sensibilisieren sie dafür, dass solche Anfragen immer auf anderem Wege als per E-Mail überprüft werden sollten.

Technische Maßnahmen

Machen Sie E-Mail-Spoofing unmöglich, indem Sie den E-Mail-Dienst Ihres Unternehmens richtig konfigurieren. Das schließt natürlich nicht alle Angriffe aus, aber es schränkt die Möglichkeiten für Kriminelle ein.

Sorgen Sie für klare Abläufe

Stellen Sie sicher, dass Verfahren rund um Zahlungen und die Änderung von Zahlungsdaten erstellt werden und jederzeit für alle gelten. Kommunizieren Sie diese Verfahren klar und deutlich. Stellen Sie außerdem sicher, dass solche Anfragen niemals nur per E-Mail gestellt werden können.

Schaffen Sie eine Meldekultur

Eine offene Kultur, in der Vorfälle schnell gemeldet werden, ist für eine gute Prävention und Handhabung unerlässlich. Richten Sie eine zentrale Meldestelle ein, schulen Sie die Mitarbeiter darin, was und an wen zu melden ist, wie zu melden ist, was mit dem Bericht gemacht werden soll und belohnen Sie den Meldenden.

Für weitergehende Informationen über Training und Prävention wenden Sie sich bitte an Rolf Dörr, r.doerr@awaretrain.com

+49-6035-970 151 info@awaretrain.de

Entdecken Sie DIE Online-Plattform für Sicherheitsbewusstsein

Kostenlose Demo

Lesen Sie mehr

Sehen Sie sich unsere anderen Blogs und News-Artikel an.

Sicher Reisen 06 Nov
Sicheres Arbeiten außerhalb des Büros: Vermeiden Sie zusätzliche Risiken Lesen Sie mehr
27 Aug
Unsere neue Benutzeroberfläche ist da! Lesen Sie mehr
ceo fraud 07 Aug
CEO-Fraud: Was ist das und wie kann man ihn verhindern? Lesen Sie mehr
Blog Archiv