Quelle: Pixabay
Online-Betrugsmaschen entwickeln sich stetig weiter und werden immer hinterhältiger. In einigen Fällen kann es extrem schwer sein, den Betrug zu erkennen. Dabei scheint eine bestimmte Betrugsmethode in den letzten Jahren immer beliebter zu werden und vor allem immer größere Schäden anzurichten: der CEO Fraud. In diesem Beitrag erklären wir euch, wie diese Methode genau funktioniert und wie ihr euch davor schützen könnt.
Was ist CEO Fraud?
Ein CEO Fraud ist eine Betrugsmethode, bei der sich Täter*innen als CEO, Chef*in oder Manager*in ausgeben. Bei dieser Betrugsmasche werden Mitarbeitende meist dazu aufgefordert, für das Unternehmen sensible Daten und Unternehmensgeheimnisse preiszugeben oder große Geldmengen zu überweisen. Der Schwindel wird von den Mitarbeitenden häufig nicht erkannt. Sie befolgen die Aufforderungen in dem Glauben, dass sie von ihren Vorgesetzten stammen.
Welche Arten von CEO Fraud gibt es?
Der Angriff kann über verschiedene Kommunikationsmittel erfolgen. Die wohl bekannteste Methode ist die Kontaktaufnahme per E-Mail. Dazu verwenden die Betrüger*innen oft täuschend echt nachgebildete E-Mails oder übernehmen sogar die E-Mail-Konten von Geschäftsführer*innen. Doch auch hinter einem vermeintlichen Anruf von Vorgesetzten kann sich in Wirklichkeit ein Betrugsversuch verbergen. Sogenannte „Deepfake Anrufe“ sind inzwischen keine Seltenheit mehr und richten erhebliche Schäden an. Bei einem Deepfake Anruf wird nicht nur die Telefonnummer gefälscht oder verschleiert, sondern die echte Stimme der Vorgesetzten durch eine künstliche Intelligenz imitiert.
Wie ist der typische Ablauf eines CEO Fraud?
Bei einem CEO Fraud sind die Täter*innen üblicherweise sehr gut vorbereitet. Sie bereiten ihre Tat vor, indem sie eine große Menge an Daten über ihr Angriffsziel sammeln. Diese Informationen können sie beispielsweise der Firmenwebsite, sozialen Medien, Wirtschaftsberichten oder Broschüren entnehmen. Häufig treten Betrüger*innen auch direkt in Kontakt mit Mitarbeitenden, beispielsweise indem sie sie direkt anrufen. Während dieses vermeintlich harmlosen Telefongesprächs versuchen die Täter*innen weitere Informationen, wie zum Beispiel über die Firmenstruktur, Mitarbeitende oder Arbeitszeiten zu erhalten. Auf den ersten Blick können diese Informationen trivial erscheinen, doch häufig sind es gerade diese Details, die dazu führen, dass der Betrug nicht als solcher wahrgenommen wird.
Wenn genügend Informationen gesammelt wurden, erfolgt die Kontaktaufnahme mit dem Opfer. Dabei schildert die Täter*innen, getarnt als Vorgesetzte, das Anliegen und fordern das Opfer auf, eine bestimmte Handlung vorzunehmen. Psychologische Manipulation, emotionale Erpressung und Druckaufbau führen dann letztendlich zum gewünschten Ziel. Die Folgen für das Unternehmen können fatal sein.
Konkretes Beispiel eines CEO Fraud
Ein*e Mitarbeitende*r erhält eine E-Mail von der Geschäftsführung:
Hallo D.,
Ich habe heute einen sehr vollen Terminplan. Ich bin gerade in einer Telefonkonferenz mit einem neuen Investor/Partner. Ich brauche unbedingt Ihre Hilfe beim Kauf von Gutscheinkarten im Wert von 5x je 100€. Es ist wirklich dringend. Die Geschenkkarten können Sie in einem beliebigen Geschäft in Ihrer Nähe kaufen. Ich befinde mich in einer Online-Konferenz, weshalb ich Sie per E-Mail kontaktiere. Ich hätte Sie eigentlich angerufen, doch während der Konferenz sind Anrufe nicht gestattet. Ich weiß leider nicht, wann die Sitzung zu Ende ist. Ich werde Ihnen das Geld zurückerstatten, sobald ich mit der Konferenz fertig bin.
Bitte lassen Sie mich kurz wissen, ob Sie das für mich erledigen können.
Mit freundlichen Grüßen
Name der Geschäftsführung
In diesem Beispiel erklärt die/der Täter*in mehrmals, dass das Anliegen dringend ist und warum man sich nicht selbst darum kümmern kann bzw. sich nicht telefonisch bei dem Mitarbeitenden melden kann. Zusätzlich wird das Opfer durch die Dringlichkeit und die Position der Geschäftsführung unter Druck gesetzt. Der Mitarbeitende hat dadurch große Hemmungen, der Geschäftsführung persönlich anzurufen, um sich rückzuversichern. Die/der Täter*in würde ihn dann anschließend bitten, ihm die Gutscheinkartencodes zukommen zu lassen.
Mit einer ähnlichen Vorgehensweise können Cyberkriminelle zum Beispiel auch die Buchhaltung eines Unternehmens kontaktieren und Überweisungen großer Geldbeträge anordnen. Je mehr Insiderinformationen die Täter*innen haben, desto glaubwürdiger erscheinen sie dem Mitarbeitenden.
Wie kann ich mich vor dieser Betrugsmethode schützen?
Wie bei jeder anderen Betrugsform ist es zunächst von höchster Notwendigkeit, die Mitarbeitenden zu schulen und zu sensibilisieren. Die Mitarbeitenden sollten ein Gespür und Verständnis für potenzielle betrügerische Aktivitäten entwickeln und sich stets der Risiken eines möglichen Betrugsversuchs bewusst sein.
Aus Unternehmenssicht kann es zudem von Vorteil sein, eine offene Unternehmenskultur zu pflegen und einen autoritären Führungsstil zu vermeiden. Mitarbeitende neigen bei einem autoritären Führungsstil eher dazu, den Anweisungen eines Vorgesetzten zu folgen, ohne Fragen zu stellen, besonders wenn sie unter Druck gesetzt werden. Spezielle Absicherungs- und Freigabeprozesse für Finanztransaktionen können ebenfalls verhindern, dass Geldmengen überwiesen werden.
Bei E-Mails und Telefongesprächen sollten Mitarbeitende immer ein gesundes Maß an Skepsis aufweisen. Sie sollten auch immer die Möglichkeit in Erwägung ziehen, ihren Vorgesetzen persönlich zu kontaktieren, um sich rückzuversichern, bevor sie Aufforderungen nachkommen. Sonderbar erscheinende E-Mails oder Telefongespräche sollten zur Sicherheit immer gemeldet werden.
Wie ihr euch vor weitere Betrugsmethoden schützen könnt, erfahrt ihr in diesem Blog ebenfalls unter dem Tag IT-Sicherheit.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.
