Vorsicht vor dem CEO-Betrug: So schützen Sie sich
Haben Sie kürzlich eine E-Mail erhalten, die scheinbar von Ihrem Geschäftsführer stammt, in der Sie aufgefordert werden, Geld an einen unbekannten „Lieferanten“ zu überweisen? Vorsicht! Es könnte sich um einen CEO-Betrug handeln. Ich möchte Ihnen im Detail erklären, worauf Sie achten müssen.
Beginnen wir mit einer kurzen Anekdote.
Ich selbst war fast Opfer eines CEO-Betrugs, nur zwei Monate nachdem ich meine Tätigkeit als Vollzeitautor bei wdzwdz aufgenommen hatte.
Der Betrug war nicht sofort erkennbar, da der Absender eine seriös klingende Domain von Virgin Media verwendete ([email protected]). Ich nahm an, dass mein CEO möglicherweise eine Verbindung zu diesem Telekommunikationsunternehmen hatte, da beide ihren Sitz in Großbritannien haben.
Auf die erste E-Mail mit der Frage „Ich möchte Ihnen eine Aufgabe zuweisen, haben Sie Zeit?“ antwortete ich positiv. Daraufhin schilderte der Absender eine Aufgabe, die eine Überweisung von 24.610 INR (etwa
Doch dann wurde ich misstrauisch und bat den Absender, seine Identität zu bestätigen, bevor ich eine Überweisung tätigen würde. Nach ein paar weiteren E-Mails rief der Betrüger an. Ich leitete das Gespräch an meinen tatsächlichen CEO und die IT-Abteilung von Virgin Media weiter.
Obwohl ich keinerlei Schulung im Umgang mit solchen Betrugsmaschen hatte, hatte ich Glück und bin nicht darauf hereingefallen.
Wir sollten uns aber nicht auf Glück verlassen. Es ist wichtig, diese Betrugsversuche im Voraus zu erkennen und andere zu informieren.
CEO-Betrug, auch bekannt als Executive Phishing
Dieser Betrug fällt unter die Kategorie des Spear-Phishings, einer Angriffsform, die auf eine bestimmte Organisation oder einzelne Mitarbeiter abzielt. Wenn es sich bei dem Ziel um eine Führungskraft handelt, wird dies auch als Whaling-Phishing bezeichnet.
Das Federal Bureau of Investigation (FBI) in den USA ordnet solche Betrügereien der Kategorie Business Email Compromise (BEC) oder Email Account Compromise (EAC) zu. Laut einem Bericht über Internetkriminalität verursachten diese im Jahr 2021 Verluste in Höhe von fast 2,4 Milliarden US-Dollar.
Geografisch gesehen liegt Nigeria mit 46 % an erster Stelle der Länder, in denen CEO-Betrug stattfindet, gefolgt von den USA (27 %) und Großbritannien (15 %).
Wie funktioniert der CEO-Betrug?
Für CEO-Betrug sind keine besonderen technischen Fähigkeiten oder kriminelles Know-how erforderlich. Alles, was benötigt wird, ist eine gefälschte E-Mail und Social Engineering, um Sie dazu zu bringen, Geld zu überweisen oder sensible Daten preiszugeben, die für weitere illegale Machenschaften verwendet werden können.
Sehen wir uns nun einige gängige Methoden an, die von Betrügern verwendet werden.
Typ 1
Eine zufällige E-Mail, die scheinbar von Ihrem Geschäftsführer stammt und in der um eine Geldüberweisung gebeten wird, ist die einfachste Form des Betrugs. Diese Art ist meist leicht zu erkennen. Sie müssen lediglich die E-Mail-Adresse (und nicht den Namen) prüfen.
In der Regel deutet ein verdächtiger Domainname ([email protected]) auf Betrug hin. Die E-Mail-Adresse kann jedoch auch von einer seriösen Organisation stammen (wie in meinem Fall).
Solche Details können den Betrug legitim erscheinen lassen und zu unachtsamen Opfern führen. Darüber hinaus kann die E-Mail-Adresse auf den ersten Blick echt aussehen, aber mit geringfügigen, kaum wahrnehmbaren Änderungen versehen sein, wie z. B. @gmial.com anstelle von @gmail.com.
Schließlich kann die E-Mail auch von einem legitimierten, aber kompromittierten E-Mail-Konto stammen, was es äußerst schwierig macht, den Betrug zu erkennen.
Typ 2
Eine andere ausgeklügelte Methode nutzt Videoanrufe. Dabei wird eine gefälschte E-Mail-Adresse eines hochrangigen Mitarbeiters verwendet, der „dringende“ Online-Meeting-Anfragen an seine Mitarbeiter sendet, insbesondere aus der Finanzabteilung.
Die Teilnehmer sehen dann ein Bild ohne Ton (oder mit Deepfake-Audio), und es wird behauptet, dass die Verbindung nicht wie erwartet funktioniert.
Anschließend fordert der „Geschäftsführer“ die Überweisung von Geldbeträgen auf unbekannte Bankkonten an, von wo aus das Geld nach einem erfolgreichen Betrug über andere Kanäle (z. B. Kryptowährungen) weitergeleitet wird.
Typ 3
Diese Variante ähnelt Typ 1, zielt jedoch auf Geschäftspartner statt auf Mitarbeiter ab und wird daher als Namens-Rechnungsbetrug bezeichnet, was dem Vorgehen besser entspricht.
In diesem Fall erhält ein Kunde einer Organisation eine E-Mail, in der er dringend zur Zahlung einer Rechnung auf bestimmte Bankkonten aufgefordert wird.
Quelle: CBC-Nachrichten
Diese Methode hat eine hohe Erfolgsquote, da sie in der Regel mit einer gehackten Firmen-E-Mail-Adresse durchgeführt wird. Da E-Mails in einigen Fällen die einzige Kommunikationsform darstellen, führt dies zu erheblichen finanziellen und Reputationsverlusten für die Zielorganisation.
Wie können Sie CEO-Betrug erkennen?
Es ist nicht einfach, eine Anfrage des eigenen CEO abzulehnen. Diese psychologische Hürde ist der Hauptgrund dafür, dass Betrüger mit einer einfachen E-Mail erfolgreich sind.
Neben der Hinterfragung von Finanzanfragen ist es ratsam, vor einer „Zusammenarbeit“ ein Videomeeting zu verlangen.
In den meisten Fällen ist es bereits ausreichend, die E-Mail-Adresse genau zu überprüfen. Sie gehört möglicherweise nicht zu Ihrer Organisation oder enthält falsch geschriebene Versionen des Firmennamens.
Zudem kann eine Organisation nicht alle Domainendungen registrieren. Seien Sie daher vorsichtig, wenn Sie eine E-Mail von erhalten [email protected], während die offizielle Adresse lautet [email protected].
Schließlich können Sie E-Mails von einer Firmenadresse erhalten, die „extern“ betrieben wird, oder von einem betrügerischen internen Mitarbeiter. In solchen Fällen ist es ratsam, die Anfrage mündlich zu bestätigen oder mehrere Führungskräfte zu informieren, bevor Zahlungen getätigt werden.
Der beste Weg, Ihr Unternehmen zu schützen, ist die Durchführung regelmäßiger Phishing-Simulationen im Rahmen der Mitarbeiterschulungen. Diese Betrugsmethoden entwickeln sich ständig weiter, daher reicht eine einmalige Warnung nicht aus, um Ihre Mitarbeiter nachhaltig zu sensibilisieren.
Fazit
Leider sind wir in der Geschäftswelt stark von E-Mails abhängig, was große Sicherheitslücken schafft, die Kriminelle häufig ausnutzen.
Obwohl es bisher keinen adäquaten Ersatz für diese Kommunikationsform gibt, können wir Geschäftspartner auch über Anwendungen wie Slack oder WhatsApp kontaktieren. Dies ermöglicht eine schnelle Bestätigung, wenn etwas verdächtig erscheint, und kann solche Rückschläge verhindern.
PS: Ich würde Ihnen empfehlen, diesen Artikel über verschiedene Arten von Cyberkriminalität zu lesen, um Ihre Internetkompetenz zu erweitern.