Betrugsmasche CEO-Fraud

September 6, 2017 4:31 pm Veröffentlicht von

Durch Chefbetrug können für  Unternehmen hohe finanzielle Schäden entstehen.

Das BSI warnt deshalb vor dieser immer häufiger angewendeten Betrugsmasche.

 

Was CEO-Fraud ist und wie Sie sich und Ihr Unternehmen schützen können, erfahren Sie in diesem Artikel.

 

Was ist CEO-Fraud?

Beim sogenannten CEO-Fraud oder Chefbetrug geben sich Betrüger als Führungskräfte von Unternehmen aus und kontaktieren gezielt Mitarbeiter aus Buchhaltung, Rechnungs- und Finanzwesen, um diese zu Transaktionen auf Betrügerkonten zu bringen. Besonders Mitarbeiter, die zur Überweisung von hohen Geldsummen berechtigt sind, geraten ins Visier der Angreifer. Um die entsprechenden Mitarbeiter zur Kooperation zu bewegen, werden diese unter Druck gesetzt.

Doch wie genau gehen die Angreifer dabei vor?

 

Recherche im Netz

Um eine für den Betrugsversuch geeignete Zielperson zu finden, suchen die Täter im Netz nach Informationen über Unternehmen und deren Mitarbeiter. Die Strukturen vieler Unternehmen lassen sich im Internet finden und somit ist es für die Angreifer oft nicht schwierig, den entsprechenden Mitarbeiter aus der Buchhaltung zu finden.

Ebenso über soziale Netzwerke lassen sich viele Informationen sammeln: Xing und LinkedIn erweisen sich dabei für die Täter als sehr lukrativ. Auch über Facebook geben Mitarbeiter oft mehr über ihr berufliches Leben preis, als ihnen bewusst ist.

Um sicher zu gehen, ob es sich um die richtige Person handelt, prüfen die Täter nicht selten mit einem zusätzlichen Telefonanruf nach.

 

Insiderwissen

Damit von vorneherein eine gewisse Vertraulichkeit und Glaubwürdigkeit für die Betrugsmasche aufgebaut werden kann, bedienen sich die Täter oft an Schlagwörtern, die in den Unternehmen gerade von aktueller Relevanz sind. Dabei kann es sich um mögliche große Änderungen in der Struktur des Unternehmens handeln, wie beispielsweise Gerüchte über eine Fusionierung oder Übernahme. Solche Informationen finden die Betrüger oftmals im Internet. Bei größeren Unternehmen können die Täter diese Informationen meist auch aus den Medien erhalten.

 



 

Überzeugungsarbeit

Mit ausreichend gesammelten Hintergrundinformationen kontaktieren die Täter dann ihre Zielperson. Das geschieht in der Regel über Email. Um sich zu verschleiern, verwenden die Betrüger meist abgeänderte Emailadressen, in denen z.B. einzelne Buchstaben vertauscht sind, was auf den ersten Blick kaum auffällt. Auf diese Weise getarnt, folgt dann die Aufforderung zur Überweisung von hohen Geldsummen. Überzeugt werden soll die Zielperson dabei auf der einen Seite mit Schmeicheleien, die die bisherig gute Arbeit des Mitarbeiters hervorheben. Auf der anderen Seite wird der Mitarbeiter durch Stress und Zeitdruck zum Handeln bewegt. Dazu kommt stets die Aufforderung zur Geheimhaltung, aufgrund welcher die Kommunikation ausschließlich über Email erfolgen soll. Für Rückfragen geben die Betrüger teilweise zusätzlich die Telefonnummer einer „Anwaltskanzlei“ an, die mit der geplanten Transaktion vertraut sein soll. Am anderen Ende des Hörers warten allerdings die Betrüger.

Da in vielen Unternehmen klar definierte Hierarchien herrschen, hinterfragen die betroffenen Mitarbeiter oft die Forderungen der vermeintlichen Geschäftsführung nicht und tappen somit in die Falle der Angreifer.

Waren in der Vergangenheit die Intentionen der Angreifer noch leicht durchschaubar, etwa durch schlecht formulierte Texte oder fehlerhafte Grammatik, verwenden die Betrüger immer häufiger professionell und glaubwürdig klingende Geschäftssprache. Dazu kommt das genaue Auskundschaften der ins Visier geratenen Betriebe im Netz, wodurch eine glaubwürdige Manipulation ermöglicht wird.

 

Wie können Sie sich schützen?

Auch wenn sich durch technische Sicherheitsmaßnahmen, wie beispielsweise angemessene Spam-Filter, das Risiko eines Angriffs über Email minimiert, ist bei solchen Angriffen der größte Risikofaktor der Mensch, der vor dem Rechner sitzt. Als wichtigste Vorsichtsmaßnahme gilt hier die richtige Aufklärung und Schulung der Mitarbeiter, um diese auf mögliche Social Engineering Angriffe wie den CEO-Fraud vorzubereiten. Achten Sie darauf, was Sie und Ihre Mitarbeiter über Ihr Unternehmen ins Netz stellen. Je weniger relevante Informationen Sie den Angreifern bieten, desto schwieriger ist es für diese, glaubwürdige Betrugsversuche zu unternehmen.

Zum weiteren Schutz empfiehlt es sich, Kontrollmechanismen einzubauen. Diese können z.B. beinhalten, dass einzelne Personen nicht uneingeschränkt hohe Geldsummen überweisen können. Seien Sie zusätzlich besonders vorsichtig bei geänderten Kontodaten, besonders bei Konten, die sich im Ausland befinden. Informieren Sie Ihre Angestellten und Mitarbeiter stets über neue Betrugsmaschen und Social-Engineering-Methoden, damit diese sensibel gegenüber ungewöhnlichen Emails, Telefonanrufen und sonstigen Anfragen werden, hinter denen sich ein Betrugsversuch verbergen könnte.

 

Angemessene IT-Sicherheit

Um rundum gegen Cyberangriffe jeglicher Art abgesichert zu sein, ist neben der Vorbeugung auf menschlicher Ebene auch eine technisch einwandfrei funktionierende und lückenlose IT-Sicherheit nicht zu vernachlässigen.

Haben Sie Fragen zum Thema IT-Sicherheit oder Beratungswünsche? Sie suchen für Ihr Unternehmen die am besten abgestimmte Sicherheitslösung?

Wir beraten Sie gerne und entwickeln für Sie und Ihr Unternehmen den optimalen Schutz. Vereinbaren Sie noch heute einen Beratungstermin.

Rufen Sie uns an ( 0221 / 630 6151 60 ) oder nutzen Sie unser Kontaktformular!