CEO Fraud ist eine besondere Art des Social Engineerings, bei dem sich Kriminelle per E-Mail oder telefonisch als Geschäftsführer oder Manager ausgeben und die Überweisung von hohen Geldbeträgen veranlassen.
„Das fällt doch auf!“, denken Sie? Nun, nicht immer. Wir berichteten bereits im Januar über einen an uns herangetragenen Fall (siehe hier). In diesem Fall ist der Betrugsversuch aufgeflogen, die Kriminellen bekamen kein Geld. In vielen anderen Fällen hat die Masche aber Erfolg. Aus gegebenem Anlass warnen das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell vor solch gezielten Betrugsversuchen. Laut BKA sind durch diese Form des Social Engineerings allein in den letzten Monaten Schäden in Millionenhöhe entstanden.
Wie erreichen die Kriminellen ihr Ziel?
Durch gute Recherche. Die Täter informieren sich über die Homepage, Online-Karriereportale, in Sozialen Netzwerken, in Handelsregistern, Werbebroschüren, Medienberichte etc. Insbesondere Angaben zu den Mitarbeitern und zu künftigen Investments der Firmen sind wichtig für sie. Dann fordern die Betrüger, z.B. unter Hinweis auf eine angebliche Unternehmensübernahme, den Transfer einer hohen Geldsumme auf Konten im Ausland. China, Hong Kong sowie osteuropäische Staaten sind sehr beliebt.
Handlungsempfehlungen des BSI
Das BSI gibt sechs Handlungsempfehlungen, wie Unternehmen die Gefahr eines CEO Frauds minimieren können:
- Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken
- Unternehmen sollten ihre Mitarbeiter auf die Risiken der Digitalisierung hin sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen
- Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen
- Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
- Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber
- Information der Geschäftsleitung oder des Vorgesetzten
Sprechen Sie mit Ihren Mitarbeitern! Ein offenes Klima und die Gewissheit, den Vorgesetzten im Zweifel immer fragen zu dürfen, ist die halbe Miete. Bei Betrugsversuchen, egal ob erfolgreich oder nicht, informieren Sie ihr zuständiges Landeskriminalamt.