Email-Betrugsmasche: So erkennen Sie CEO Fraud

Die Betrugsmasche CEO Fraud setzen Cyberkriminelle ein, um Mitarbeiter zu Überweisungen vom Firmenkonto zu bewegen. Wie Unternehmen sich schützen:

Mär 10, 2022 - 3 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Die Chefin hat eine Email mit dem Vermerk „Dringend“ geschickt: Schnell müsse es gehen, erklärt sie ihrem Mitarbeiter darin. Eine lukrative Geschäftsbeteiligung im Ausland soll unter Dach und Fach gebracht werden, aber dafür ist eine hohe Transaktion notwendig. Aus strategischen Gründen sei noch absolute Verschwiegenheit vonnöten, bevor die Öffentlichkeit informiert werde. Erst einmal müsse der Mitarbeiter das Geld vom Unternehmenskonto überweisen – schliesslich wisse man, dass man sich auf ihn und seine Diskretion verlassen könne. Und noch einmal, schärft sie ihm zum Schluss ein: Kein Wort zu irgendjemandem, bis sie sich erneut meldet… – Sie ahnen es: Befolgt der Mitarbeiter, was von der vorgeblichen Vorgesetzten angeordnet wurde, wird die überwiesene Summe auf Nimmerwiedersehen verschwinden. Erste Reaktion der meisten Leser: Auf diese Masche kann doch niemand reinfallen! Oder doch?

Die Realität sieht leider anders aus: Das Angriffsverfahren des Identity Spoofing ist bei Kriminellen seit längerem Usus und durchaus erfolgreich – sonst wäre es längst ausgestorben. Kern der Vorgehensweise ist es dabei, sich als Kontakt des Opfers auszugeben und es zur Kooperation zu bewegen. Oft geschieht dies, indem die Kriminellen zur Eile drängen und Druck aufbauen. Mitarbeitende sollen auf diese Weise zu unüberlegten Handlungen gedrängt werden: Das kann die Veranlassung von Geldtransfers sein, aber auch die Herausgabe vertraulicher Informationen, die von den Tätern anschliessend für weitere Betrugsversuche genutzt werden.

Natürlich verfangen ihre Tricks nicht in jedem Fall: Wenn misstrauische Mitarbeitende sich mit Rückfragen an den angeblichen Auftraggeber wenden, fliegt der Betrug schnell auf. Zwar gehen somit viele Angriffe ins Leere – aber bei den hohen Summen, auf die es die Cyberkriminellen abgesehen haben, lohnt schon ein einziger Erfolg, um dutzende vergebliche Versuche wettzumachen. Um dem einen Riegel vorzuschieben, ist vor allem Aufklärung auf allen Hierarchieebenen im Unternehmen wichtig. Mitarbeitende sollten wissen, wie die Täter vorgehen und wie sie sich schützen können.

So gehen Täter beim Identity Spoofing vor

Als Variante des „Social Engineering“ ist Identity Spoofing darauf ausgelegt, die „Schwachstelle Mensch“ auszunutzen. Am Anfang jeder Identity Spoofing-Attacke steht deshalb akribische Recherche: Die Kriminellen bereiten ihre Attacke vor, indem sie auf Firmen-Websites und in Business-Netzwerken wie LinkedIn Details zu den Beschäftigten sammeln – einschliesslich deren unternehmensinterner Kontakte und Geschäftspartner. Als potenzielle Opfer von besonderem Interesse sind dabei Personen, die Transaktionen von Geschäftskonten durchführen können.

Bei der anschliessenden Kontaktaufnahme setzen die Täter üblicherweise auf die Email als für sie risikoärmste Form der Kontaktaufnahme. Ein Hacken echter Email-Konten kommt zwar vor; meistens begnügen sich die Täter aber damit, einen gefälschten Absender zu verwenden, der ohne genauere Prüfung zunächst echt wirkt. Passende Email-Signaturen lassen sich sogar noch einfacher kopieren oder fälschen. Mithilfe dieser Tarnung geben sich die Cyberkriminellen als Vorgesetzte oder Geschäftspartner aus und verstricken ihr Opfer in ein Szenario, in dem vor allem zwei Dinge zählen: Alles muss schnell gehen und niemand sonst soll informiert werden.

Um übliche Sicherheitsmechanismen auszuhebeln, durch die etwa Transaktionen vom Firmenkonto abgesichert werden, können zusätzliche Tricks zum Einsatz kommen: Die Opfer werden beispielsweise aufgefordert, sich unter einer angegebenen Telefonnummer mit einer Anwaltskanzlei oder einem externen Berater in Verbindung zu setzen. Hinter der Nummer verbergen sich die Betrüger, die im persönlichen Gespräch den Druck weiter erhöhen.

Gelingt es den Tätern im weiteren Verlauf, ihr Opfer zu einer Überweisung zu bewegen, geht alles Weitere ganz schnell: die Summe wird vom Empfänger weitertransferiert. Wenn der Betrug schliesslich nach Stunden oder Tagen auffällt, ist der Verbleib des Geldes schon nicht mehr nachvollziehbar.

Identity Spoofing: Wichtige Stichworte

Im Zusammenhang mit Identity Spoofing tauchen immer wieder wichtige Begriffe auf, die man kennen sollte. Hier eine kurze Übersicht: 

  • Was ist CEO Fraud bzw. Fake President Fraud?

Beim CEO Fraud, auch bekannt als Fake President Fraud oder Bogus Boss Email, geben sich die Betrüger als Geschäftsführer oder Vorstand aus (Chief Executive Officer = CEO). Ausgenutzt wird etwa, wenn der Chef auf Reisen im Ausland oder anderweitig schwer erreichbar ist – Informationen, die sich teils aus Posts der Führungskräfte in den sozialen Netzwerken beziehen lassen. Mitarbeitende zögern in solchen Fällen oft, den Vorgesetzten für Nachfragen zu kontaktieren.

  • Was ist ein Business Email Compromise (BEC)?

Email-Anhänge mit Schadprogrammen oder Links, die auf eine präparierte Website führen? Solche grobschlächtigen Angriffsmethoden, die von moderner Security-Software leicht erkannt und herausgefiltert werden, sind für Cyber-Kriminelle nicht unbedingt notwendig. Beim Business Email Compromise (BEC) setzen sie stattdessen auf perfekt gefälschte Absender-Adressen, Email-Signaturen und Disclaimer sowie auf fehlerfrei formulierte Texte, um ihr Opfer unter Druck zu setzen. Weil solche betrügerischen Nachrichten nicht von allen Security-Programmen zuverlässig erkannt werden, sollte die hohe Bedrohung durch Business Email Compromise nicht unterschätzt werden.

So schützen Sie sich vor CEO Fraud

Was können Unternehmen nun also tun, um CEO Fraud, Business Email Compromise und Co. ins Leere laufen zu lassen? Drei Grundregeln gilt es zu beherzigen:

  • Lieber Vorsicht als Nachsicht: Unternehmen sollten Mitarbeitende genau über die Mechanismen des Identity Spoofing aufklären. Auf allen Hierarchieebenen muss gelten: Bei Überweisungsaufträgen muss die Email-Adresse des vorgeblichen Auftraggebers auf Authentizität geprüft werden. Im Zweifel sollten Mitarbeitende lieber einmal mehr als einmal zu wenig nachfragen.
  • Überweisungen sollten nach dem Vieraugenprinzip kontrolliert werden und ausschliesslich mit Kollektivunterschrift erfolgen. Aber Achtung: Ein aktuelles Beispiel aus Bayern zeigt, dass auch eine Zweitunterschrift das Konto nicht schützt, wenn die zweite Person die Transaktion nicht wie vorgesehen prüft.
  • Auf der Unternehmenswebsite und den Social-Media-Accounts von Mitarbeitenden sollten keine Informationen zugänglich sein, die sich für Social-Engineering-Angriffe missbrauchen lassen. Insbesondere Geburtsdatum, Wohnadresse, vollständige Kontaktlisten oder ein Reise-Itinerar sollten nicht von jedem einsehbar sein. In Business-Netzwerken wie LinkedIn lassen sich dazu etwa die Sichtbarkeit geteilter und veröffentlichter Beiträge, des Profilbilds, des Nachnamens und des Geburtsdatums getrennt voneinander einschränken.

Sind die Vorgaben zur Identitätsprüfung bei Überweisungen erst einmal unternehmensintern eingespielt, wird dem Identity Spoofing ein wirksamer Riegel vorgeschoben.

 

Mit (C)IAM Gesetzesänderungen 2022 sicher umsetzen