CEO-Fraud – CEO-Betrug

Beim CEO-Fraud (CEO-Betrug) geht es um eine Variation des Social-Engineerings: Hier versuchen Täter, zielgerichtet entscheidungsbefugte Personen in einem Unternehmen zu manipulieren, insbesondere mit dem Ziel dass diese hohe Geldbeträge ins Ausland überweisen. Man besorgt sich vorher umfangreiche und umfassende Informationen über das Unternehmen, um die Vorspiegelung geschickt wirken zu lassen, am Erfolg versprechendsten sind Unternehmen mit zahlreichen Mitarbeitern. Mir sind aber auch Fälle in kleinen Unternehmen bekannt, in denen dann angeblich veränderte Zahlungsmodalitäten eines Geschäftspartners unter psychischem Druck am Ende zu Zahlungen führten.

Grundsätzlich gilt: Bei ungewöhnlichen Zahlungsanweisungen sollen vor Veranlassung der Zahlung Kontrollen greifen. So sollten Sie eine mit Zahlungsanweisungen eingegangene E-Mail genau auf Absenderadresse und korrekte Schreibweise prüfen. Wichtiger wäre es aus meiner Sicht, bei plötzlich geänderten Zahlungsmodalitäten (wie insbesondere bei geänderten Bankverbindungen) die Zahlungsaufforderung beim vermeintlichen Auftraggeber durch einen Rückruf oder eine schriftliche Rückfrage (nicht per Antwort auf die Mail!) zu kontrollieren.

Infografik des BKA zum CEO-Fraud

Dazu auch: Beitrag bei Haufe zum CEO-Fraud

BKA-Warnung

Im Juli 2017 etwa warnte das BKA vor einer Betrugsmasche wie folgt:

“Mit einer neuen Masche des CEO-Betrugs gehen Betrüger derzeit in Deutschland vor. Sie kommunizieren dabei fast ausschließlich per E-Mail.

Die Täter nutzen die Domain @ceopvtmail.com.

Von dieser Domain versenden sie die betrügerischen E-Mails mit folgender Systematik:

vornameCEO.nachnameCEO@ceopvtmail.com
und versuchen, die Empfänger der E-Mail unter Vorspiegelung falscher Tatsachen dazu zu bringen, hohe Zahlungen zu leisten.

Das BKA warnt ausdrücklich vor E-Mails mit dieser Adresse.

Der dem BKA bekannte Schaden in diesen Fällen beläuft sich bisher auf mindestens 5,6 Millionen Euro. Opfer wurden Unternehmen aber auch Berufs- und Wohlfahrtsverbände sowie Stiftungen.

Werden Sie kein Betrugsopfer:

Verifizieren Sie Zahlungsaufforderungen, die über diese Absenderadresse an Ihr Unternehmen gerichtet werden, unbedingt beim Auftraggeber und nehmen Sie bei Unstimmigkeiten direkt und unmittelbar mit der Geschäftsleitung oder Ihrem Vorgesetzten Kontakt auf. Lassen Sie sich von den Betrügern nicht zu vorschnellen Zahlungen bringen.”

Pressemitteilung des BSI: BSI warnt Unternehmen gezielt vor akutem Risiko durch CEO Fraud

Mittels einer Betrugsmasche namens „CEO Fraud“ versuchen kriminelle Täter derzeit, Entscheidungsträger in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen. Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung und weist auf die Risiken des CEO Fraud hin.

CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin ggf. Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten,” erklärt BSI-Präsident Arne Schönbohm.

Beim CEO Fraud werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen. Diese Mitarbeiter werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden.

Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender werden häufig durch öffentlich verfügbare Informationen auf der Webseite des Unternehmens, in Online-Karriereportalen, in Sozialen Netzwerken, in Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im Unternehmen glaubwürdig nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu überweisen.

Handlungsempfehlungen des BSI:

  • Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken
  • Unternehmen sollten ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen
  • Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen
  • Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
  • Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber
  • Information der Geschäftsleitung oder des Vorgesetzten