Das können Unternehmen gegen CEO Fraud tun

Der sogenannte CEO Fraud hat 2021 mehr finanziellen Schaden verursacht als jede andere Form von Cyberkriminalität. CEO Fraud ist eine Variante von Social Engineering, bei der sich der Bösewicht per Mail als Chef eines Unternehmens ausgibt, um eine vermeintlich dringende und streng vertrauliche Überweisung zu veranlassen.

In solchen und ähnlichen Fällen geben sich die Kriminellen allerdings nicht immer als CEO aus, sondern mitunter auch als Finanzchefin, Abteilungs- oder Teamleiter, oder auch als wichtige Kundin. Dementsprechend bezeichnet man den CEO Fraud im Allgemeinen als Business Email Compromise – kurz BEC.

Geschäftsmail-Betrug am kostspieligsten, aber nicht am häufigsten

Mit solchen Betrugsmaschen erbeuteten Kriminelle im vergangenen Jahr 2,4 Milliarden US-Dollar, wie der slowakische IT-Security-Anbieter Eset unter Berufung auf Zahlen der US-Bundespolizei FBI mitteilt. An zweiter Stelle der kostspieligsten Online-Betrugsmaschen steht der Anlagebetrug mit einer Schadenssumme von 1,5 Milliarden Dollar.

Und an dritter Stelle folgen sogenannte Romance Scams. Fälle von digitalem Liebes- oder Heiratsschwindel verursachten gemäss dem FBI einen Finanzschaden von knapp 1 Milliarde Dollar. Solche Betrugsmaschen finden häufig über Dating-Portale statt – neuerdings nutzen Kriminelle zu diesem Zweck allerdings auch gerne Business-Portale wie Xing oder Linkedin.

Geschäftsmail-Betrug ist den FBI-Zahlen zufolge zwar die kostspieligste, aber längst nicht die häufigste Form von Onlinebetrug. Im FBI-Ranking der Fälle von Cyberkriminalität (nach Anzahl gemeldeter Opfer) rangiert BEC auf Platz 9, wie aus dem Internet Crime Report 2021 (PDF) der US-Bundespolizei hervorgeht. In diesem Bericht weist das FBI jene Fälle aus, die über das Internet Crime Complaint Center der Bundesbehörde gemeldet wurden. 2021 registrierte das FBI knapp 20'000 gemeldete Fälle von BEC.

Die häufigsten Cybercrime-Meldungen gegenüber dem FBI

• Auf Platz eins im FBI-Ranking stehen verschiedene Varianten von Phishing. Die Bundesbehörde verzeichnete im vergangenen Jahr 323'972 entsprechende Meldungen.

• An zweiter Stelle folgt Betrug im Onlinehandel, bei dem Kundinnen und Kunden die Ware bestellen und von vornherein wissen, dass sie diese nicht bezahlen können. 2021 gingen beim FBI 82'478 entsprechende Berichte ein.

• Am dritthäufigsten sind Meldungen bezüglich Datendiebstahl und Datenmissbrauch, gefolgt von Identitätsdiebstahl – für beide Deliktformen verzeichnete das FBI jeweils knapp 52'000 entsprechende Mitteilungen.

Warum BEC so häufig funktioniert

Für die Betrügerinnen und Betrüger ist der CEO Fraud respektive BEC eine besonders lukrative Form von Cyberkriminalität. Denn so unglaubwürdig die in den gefälschten Mails präsentierten Anweisungen auch sein mögen: Die Masche funktioniert oftmals trotzdem, weil die Absender mit einer vorgegaukelten Autorität ihre potenziellen Opfer unter Zeitdruck setzen, an ihre Hilfsbereitschaft appellieren und Geheimhaltung einfordern. Solche manipulativen psychologischen Methoden sind typisch für Social Engineering im Allgemeinen, wie Sascha Pult von der Kalaidos Fachhochschule in seinem Fachbeitrag schreibt.

In manchen Fällen verschaffen sich Cyberkriminelle aber auch Zugriff auf den Posteingang eines Unternehmens. Auf diese Weise gelangen sie an Informationen wie beispielsweise Rechnungslayouts, Lieferanten oder Zahlungspläne, womit sie in der Lage sind, sich im richtigen Moment bei der richtigen Person mit einer gefälschten, aber glaubwürdig wirkenden Rechnung einzuschalten.

Die Masche mit dem virtuellen Meeting und Deepfakes

Noch ausgeklügelter sind Angriffe mit vorgetäuschten virtuellen Meetings, wie Eset mitteilt. Bei diesen Meetings nutzen die Betrüger ein Standbild des Geschäftsführers ohne Ton oder verwenden eine gefälschte Tonspur mittels Deepfake. Anschliessend behaupten die Betrüger, dass die Ton- oder Videoübertragung nicht richtig funktionieren würde.

Die Kriminellen nutzen dann die virtuellen Meeting-Plattformen, um Mitarbeitende direkt anzuweisen, Überweisungen zu veranlassen, oder sie benutzen das kompromittierte E-Mail-Konto des Geschäftsführers, um Überweisungsaufträge gleich selbst zu erteilen. Deepfake-Audio sei bereits in zwei aufsehenerregenden Fällen mit verheerender Wirkung eingesetzt worden, schreibt Eset weiter. Mehr über Deepfakes lesen Sie hier.

Zahlungsprozesse absichern und Angestellte schulen

Eset empfiehlt fünf Massnahmen, mit denen sich Unternehmen gegen Geschäftsmail-Betrug und CEO Fraud wappnen können:

• Investieren Sie in fortschrittliche E-Mail-Scanner, die künstliche Intelligenz nutzen, um verdächtige E-Mail-Muster und den Schreibstil des Absenders zu erkennen.

• Aktualisieren Sie die Zahlungsprozesse, sodass grosse Überweisungen von zwei Mitarbeitenden abgezeichnet werden müssen.

• Überprüfen Sie alle Zahlungsaufforderungen noch einmal mit der Person, die die Aufforderung angeblich gestellt hat – am besten telefonisch.

• Binden Sie BEC in die Awareness-Schulungen der Mitarbeiter ein, zum Beispiel in Phishing-Simulationen.

• Informieren Sie sich regelmässig zu den neuesten BEC-Trends und aktualisieren Sie Ihre Schulungskurse und Abwehrmassnahmen entsprechend.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.