Betrugsmasche erkennen und Unternehmen schützen
Was ist CEO-Fraud (Chef-Betrug)?
CEO-Fraud ist ein ausgeklügelter E-Mail-Betrug, mit dem Cyberkriminelle Angestellte dazu bringen, ihnen Geld zu überweisen oder vertrauliche Unternehmensdaten zu übermitteln.
Cyberkriminelle versenden raffinierte E-Mails, in denen sie sich als CEO oder andere Führungskräfte des Unternehmens ausgeben und Mitarbeiter, in der Regel aus der Personal- oder Buchhaltungsabteilung, auffordern, ihnen mit einer Überweisung zu helfen. Bei dieser oft als Business Email Compromise (BEC) bezeichneten Cyberkriminalität werden gefälschte oder kompromittierte E-Mail-Konten verwendet, um E-Mail-Empfänger zum Handeln zu bewegen.
CEO-Betrug ist eine Social-Engineering-Technik, die darauf beruht, das Vertrauen des E-Mail-Empfängers zu gewinnen. Die Cyberkriminellen, die hinter dem CEO-Betrug stecken, wissen, dass die meisten Menschen sich E-Mail-Adressen nicht sehr genau ansehen oder kleine Unterschiede in der Schreibweise nicht bemerken.
In diesen E-Mails wird eine vertraute, aber dringende Sprache verwendet, und es wird deutlich gemacht, dass der Empfänger dem Absender einen großen Gefallen tut, indem er ihm hilft. Cyberkriminelle nutzen den Wunsch aus, anderen helfen zu wollen.
CEO-Betrugsangriffe beginnen mit Phishing, Spear-Phishing, BEC und Executive Whaling, um sich als Führungskräfte des Unternehmens auszugeben.
Die Mitarbeiter müssen verstehen, wie wichtig es ist, E-Mails sorgfältig zu lesen und die Adresse und den Namen des Absenders zu überprüfen. Schulungen zu Cybersicherheit sind nötig, um das Bewusstsein der Mitarbeiter im Umgang mit E-Mails und dem Posteingang zu schärfen.
Wie kommt es zu CEO-Betrug?
Cyberkriminelle wenden vier Haupttaktiken an, um CEO-Betrug zu begehen:
Phishing
Phishing ist eine Cyberkriminalität, bei der betrügerische E-Mails, Websites und Textnachrichten eingesetzt werden, um Login-Daten oder andere vertrauliche Informationen zu stehlen. Je nach Phishing-Technik erlangen die Kriminellen dann Zugang zum E-Mail-Konto, zur Kontaktliste oder zu vertraulichen Informationen des Geschäftsführers, die dann zum Versenden gezielter CEO-Betrugs-E-Mails an ahnungslose Empfänger verwendet werden können.
Spear-Phishing
Spear-Phishing-Angriffe richten sich mit sehr gezielten E-Mails gegen Privatpersonen und Unternehmen. Eine Spear-Phishing-E-Mail enthält einen persönlichen Bezug zum. Die Empfänger vertrauen dem Absender der E-Mail und der Anfrage, weil sie von einem Unternehmen stammt, mit dem sie geschäftlich zu tun haben. Der Empfänger wird dann dazu verleitet bestimmte Informationen zur Verfügung zu stellen, die dann für weitere Cyberstraftaten, einschließlich CEO-Betrug, verwendet werden.
Social Engineering
Social Engineering nutzt den menschlichen Instinkt des Vertrauens aus, um Menschen zur Preisgabe vertraulicher Informationen zu bewegen. Mit sorgfältig verfassten E-Mails, Textnachrichten oder Anrufen gewinnt der Cyberkriminelle das Vertrauen des Opfers und überzeugt es, die angeforderten Informationen zur Verfügung zu stellen oder ihm beispielsweise eine Überweisung zu schicken. Um erfolgreich zu sein, braucht Social Engineering nur eines: das Vertrauen des Opfers.
Executive Whaling
Executive Whaling ist eine ausgeklügelte Form der Cyberkriminalität, bei der sich Kriminelle als CEOs, CFOs und andere Führungskräfte ausgeben, in der Hoffnung, die Opfer zum Handeln zu bewegen. Ziel ist es, die Autorität oder den Status der Führungskraft auszunutzen, um den Empfänger zu überzeugen, schnell zu reagieren, ohne die Anfrage mit einem anderen Kollegen zu überprüfen. Die Opfer haben das Gefühl, etwas Gutes zu tun, weil sie ihrem CEO und ihrem Unternehmen helfen, indem sie vertrauliche Daten auf einen privaten Server hochladen.
Diese CEO-Betrugstechniken beruhen alle auf einem Schlüsselelement – dass die Menschen beschäftigt sind und E-Mails, Website-URLs, Textnachrichten oder Voicemail-Details nicht die volle Aufmerksamkeit schenken. Ein Schreibfehler oder eine leicht abweichende E-Mail-Adresse genügen, und schon hat der Cyberkriminelle gewonnen.
Es ist wichtig, die Mitarbeiter eines Unternehmens in Sachen Sicherheit zu schulen und ihnen beizubringen, wie wichtig es ist, auf E-Mail-Adressen, Firmennamen und Anfragen zu achten, die auch nur den Hauch eines Verdachts erwecken.
1. Klären Sie Ihre Mitarbeiter über die vier CEO-Betrugstaktiken auf. Nutzen Sie Phishing-Simulationstools, um das Risiko von Phishing, Social Engineering und CEO-Betrug zu erkennen und zu schulen.
2. Nutzen Sie bewährte Sicherheitstrainings und Phishing-Simulationsplattformen, um den Mitarbeitern die Risiken von CEO-Betrugsangriffen vor Augen zu führen. Schaffen Sie interne Cybersicherheitshelden, die sich für die Cybersicherheit Ihres Unternehmens einsetzen.
3. Erinnern Sie Ihre Sicherheitsverantwortlichen und Cybersicherheitshelden daran, das Bewusstsein der Mitarbeiter für Cybersicherheit und Betrug regelmäßig mit Phishing-Simulationstools zu überprüfen.
4. Bieten Sie kontinuierliche Kommunikation und Kampagnen über Cybersicherheit, CEO-Betrug und Social Engineering an. Dazu gehört die Einführung von Zwei-Faktor-Authentifizierung und die Erinnerung der Mitarbeiter an die Risiken, die in Form von E-Mails, URLs und Anhängen auftreten können.
5. Legen Sie Regeln für den Netzwerkzugang fest, die die Verwendung persönlicher Geräte und die gemeinsame Nutzung von Informationen außerhalb des Unternehmensnetzwerks einschränken.
6. Stellen Sie sicher, dass alle Anwendungen, Betriebssysteme, Netzwerk-Tools und interne Software aktuell und sicher sind. Installieren Sie Malware-Schutz und Anti-Spam-Software.
7. Integrieren Sie Kampagnen zur Sensibilisierung für Cybersicherheit, Schulungen, Support, Ausbildung und Projektmanagement in Ihre Unternehmenskultur.