Der Social Hack mit Millionenschäden
„Sehr geehrte Frau Meier, ich stecke in einem wichtigen Meeting fest. Sie müssen für mich diese Überweisung an den Zulieferer erledigen. Es eilt.“ E-Mails mit einem ähnlichen Wortlaut – scheinbar von der E-Mail-Adresse des CEO – haben weltweit zu hohen Überweisungen an Internetbetrüger geführt.
Trickdiebstahl ist ein altes Geschäft, welches in den letzten Jahren durch die fortschreitende Digitalisierung beängstigende Dimensionen angenommen hat. Die virtuellen Angriffe unterliegen einer hohen Dynamik, weil Cyberkriminelle permanent auf der Suche nach neuen Wegen sind, um große Geldsummen zu erschwindeln. Das Ausnutzen der „Schwachstelle“ Mensch ist in dieser Hinsicht eine willkommene Option für die Täter. Die sogenannte „Chef-Masche“, die Kompromittierung geschäftlicher E-Mails, gewinnt im Cybercrime kontinuierlich an Beliebtheit.
Was kennzeichnet die Chef-Masche?
CEO-Fraud ist ein Betrugsversuch, bei dem sich Angreifer einem Firmenmitarbeiter gegenüber als CEO oder Führungskraft ausgeben. Ihr Ziel ist es, Überweisungen auf das eigene Konto zu veranlassen. Mittels dieser Art Überweisungsbetrug werden überwiegend hohe Geldbeträge telefonisch und per E-Mail angefordert.
Im Gegensatz zu anderen Formen von Internetkriminalität ist die Betrugsmasche kein Massenangriff, sondern eine gezielte Aktion. Alternative Bezeichnungen für diese Art von Cybercrime sind beispielsweise BEC (Business E-Mail Compromise) und FPF (Fake President Fraud).
Welche Zielgruppe ist am meisten von CEO-Fraud betroffen?
Klein- und Mittelbetriebe, aber auch große Unternehmen werden zur Zielscheibe für den Überweisungsbetrug (vgl. dazu https://weser-ems-wirtschaft.de/index.php/2019/08/15/chef-masche-ceo-fraud/ ). Die Angreifer haben beispielsweise Mitarbeiter des Finanzwesens im Visier, weil diese größere Überweisungen auf (Auslands-)Konten autorisieren. In den meisten Fällen sind die Opfer Mitarbeiter der Personalabteilung, der Buchhaltung und der IT-Abteilung. CFO’s und Manager stehen ebenso im Fokus der Attacken.
Warum funktioniert die Chef-Masche?
Die Täter haben sich gründlich vorbereitet, ausführlich recherchiert und treten professionell auf. CEO-Fraud beruht zu einem großen Anteil auf Social Engineering und psychologischen Tricks. Die Angreifer stellen im Vorfeld umfangreiche Nachforschungen auf der Unternehmenswebseite und in Social Media Accounts an. Über LinkedIn, Xing und Facebook bringen sie die Hobbys und Aktivitäten der Führungskräfte und Mitarbeiter in Erfahrung. Dieses Wissen nutzen sie in der Kommunikation mit dem Opfer und schaffen mittels Smalltalk eine Vertrauensbasis.
Social Engineering ist schwer abzuwehren, weil die Täter positive menschliche Eigenschaften zu ihrem eigenen Vorteil ausnutzen. Der Wunsch, einem Vorgesetzten oder wichtigen Kunden in einer finanziellen Notlage unbürokratisch zu helfen, hat in diesem Fall gravierende Konsequenzen.
Gelingt der CEO-Fraud nicht auf Anhieb, üben die Täter subtilen und direkten Druck auf ihre Opfer aus. Sie erfinden Gründe – zum Beispiel eine wichtige Firmenübernahme – um Zeitdruck aufzubauen. Eine Kontaktaufnahme zu Kollegen verhindern die Täter, indem sie an die Verschwiegenheit und Zuverlässigkeit des Mitarbeiters appellieren.
Wer steckt hinter dem Cybercrime?
Hinter der Chef-Masche stecken Angreifer, die strukturiert und geplant vorgehen. Regelmäßigunternehmen die Cyberkriminellen im Vorfeld Phishing-Versuche, um an Passwörter und andere Informationen zu gelangen. Sie wählen ihr potenzielles Ziel sorgfältig aus und ermitteln Basisinformationen. Im Folgenden analysieren die Angreifer das Umfeld des Opfers, mögliche Geschäftspartner und die Unternehmensstruktur.
Eine Information aus einem beliebigen Social Media Kanal – wie beispielsweise, dass der Chef sich momentan im Ausland aufhält- ermöglicht den Start der Cyberattacke.
Wie Sie sich wirkungsvoll vor Überweisungsbetrug schützen
Auf Unternehmensseite gibt es effektive Maßnahmen, um sich gegen Überweisungsbetrug zuschützen. Vor allem ein gesundes Betriebsklima ist eine wirksame Prävention. Treten Sieregelmäßig in den Dialog mit Ihren Mitarbeitern. Informieren Sie diese, dass Sie Rückversicherungen im Hinblick auf eine Überweisung wertschätzend aufnehmen.
Melden Sie sich ausschließlich über Ihre Firmenadresse bei Ihren Mitarbeitern und nutzen Sie bei Bedarf eine digitale Signatur. Die Sensibilisierung Ihrer Angestellten für Cybercrime ist essenziell.
Identifizieren Sie potenzielle Opfer und verteilen Sie Checklisten zum Thema CEO-Fraud.
Etablieren Sie darüber hinaus zuverlässige Authentifizierungsmethoden und Kontrollmechanismen für große Überweisungen. Beschränken Sie öffentliche Kontaktdaten auf der Firmenwebseite und in den sozialen Medien idealerweise auf die nötigen Kanäle.
Für Sie als Mitarbeiter gilt: Achten Sie in E-Mails auf ungewöhnliche Rechtschreibfehler und eine übertrieben formelle Ansprache. Verifizieren Sie die Absenderadresse und werfen Sie im Zweifel einen Blick auf den E-Mail-Header. Bewerten Sie zunächst die Plausibilität einer finanziellen Anfrage. Je nachdem, in welcher Firma Sie beschäftigt sind, erfragen Sie für jede Überweisung die Kostenstelle und das spezifische Projekt. Zögern Sie nicht, hinsichtlich hoher Geldforderungen telefonisch Ihren Vorgesetzten zu kontaktieren und nutzen Sie das Vier-Augen-Prinzip.
Den meisten Menschen fällt es schwer, in einer Stresssituation einen klaren Kopf zu behalten.
Sollten Sie bemerken, dass Ihre Kontaktperson psychologischen Druck ausübt, erbitten Sie sich eine kurze Bedenkzeit. Unterbrechen Sie das Gespräch. Denken Sie daran, dass die wenigsten Überweisungen im regulären Geschäftsalltag innerhalb von 10 Minuten erledigt sein müssen.
Werden Sie hellhörig, falls sich angebliche Kunden und Geschäftspartner telefonisch nach Überweisungen erkundigen. Geben Sie in diesem Fall keine Informationen heraus. Haben Sie einen begründeten Verdacht, fragen Sie beispielsweise die Kontaktperson nach einem nicht existenten Kollegen. Auf diese Art enttarnen Sie schlecht informierte Angreifer.
Falls Sie eine unberechtigte Überweisung veranlasst haben, stornieren Sie diese unverzüglich und erstatten Anzeige bei der Polizei. Darüber hinaus ist es empfehlenswert, auch jeden nicht erfolgreichen Versuch eines CEO-Frauds polizeilich zu melden. Auf diese Art schützen Sie das potenzielle nächste Opfer.
Kurz gesagt: Werden Sie zur menschlichen Firewall gegen Cybercrime.
Mithilfe der Chef-Masche haben Cyberkriminelle in den letzten Jahren viele Millionen Euro ergaunert. In vielen Fällen scheiterte der Überweisungsbetrug jedoch daran, dass die Mitarbeiter aufmerksam waren und nicht auf die Betrugsmasche hereinfielen
Foto: Roman Stetsyk – Fotolia.com