CEO Fraud: BSI warnt vor möglicher Angriffswelle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aus aktuellem Anlass vor der Betrugsmasche CEO Fraud gewarnt. Den Behörden sei bei Ermittlungen gegen die organisierte Kriminalität eine Liste mit rund 5000 potenziellen Zielpersonen in die Hände gefallen. Die Betroffenen wurden über die erhöhte Gefährdung informiert. Das BSI nimmt den Vorfall aber zum Anlass, auch noch einmal allgemeine Handlungsempfehlungen zu geben.

“CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen”, erklärt BSI-Präsident Arne Schönbohm in einer Pressemitteilung. “Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten.” Schönbohm empfiehlt Unternehmen, um ähnliche Betrugsversuche in Zukunft zu unterbinden, alle Mitarbeiter, die Zahlungen durchführen können, auf diese kriminelle Methode hinzuweisen und sie zu erhöhter Aufmerksamkeit anzuhalten.

Beim CEO-Betrug werden, oft nach ausführlicher Recherche in Sozialen Netzwerken oder dem längeren Mitluschen der E-Mail-Konversation in einem Unternehmen, Mitarbeiter, die auch größere Überweisungen auf fremde Konten durchführen können, gezielt angesprochen. Die Täter geben sich dabei als Führungskraft, beispielsweise Geschäftsführer (CEO) des Unternehmens aus. Sie weisen die Zahlungsberechtigten dann telefonisch oder per E-Mail – oft mit gespoofter E-Mail-Adresse zur Überweisung eines hohen Geldbetrags auf ein Konto im Ausland an.

CEO Fraud: Das Vorgehen der Betrüger

Typischerweise werden die Opfer unter Zeitdruck gesetzt und zur Verschwiegenheit gemahnt. Das wird meist damit begründet, dass es sich um ein dringendes Geheimprojekt handle, etwa die Übernahme einer Firma oder ähnliches. Oft werden die Mitarbeiter gezielt dann angegangen, wenn die Führungskraft, für die sich die Betrüger ausgeben oder direkte Vorgesetzte des Angesprochenen nicht erreichbar sind. Diese Information recherchieren die Betrüger oft in Sozialen Netzwerken oder haben sie ebenfalls aus dem zuvor angegriffenen E-Mail-System der Firma.

Das BSI hat Firmen noch einmal eindringlich vor dem seit zwei Jahren zunehmenden, sogenannte “Insider Spoofing”, das auch als “CEO-Betrug” respektive CEO Fraud bekannt ist, gewarnt (Bild: Eset).

Damit ist für CEO Fraud ein hoher Aufwand im Vorfeld erforderlich. Der lohnt sich aber. Laut Bundeskriminalamt konnten Täter auf diese Weise in den vergangenen Monaten “mehrere Millionen Euro” erbeuten. Das FBI legte im Mai Zahlen zu CEO Fraud vor. Demnach wurden von Oktober 2013 bis Dezember 2016 der Behörde weltweit 40.203 derartiger Betrugsversuche bekannt. In den USA seien die Betrüger in über 22.000 Fällen erfolgreich gewesen, im Ausland in etwas über 2000 Fällen. Das FBI fasst in der Statistik dir früher getrennt aufgeführten Betrugsszenarien Business E-Mail Compromise (BEC) und E-Mail Account Compromise (EAC) aufgrund der sich annähernden Vorgehensweise der Betrüger zusammen und konstatiert einen Schaden von insgesamt 5 Milliarden Dollar.

CEO Fraud: Frühere Fahndungserfolge gegen Betrüger

Vor knapp einem Jahr hatte Interpol in Zusammenarbeit mit den IT-Security-Anbietern Trend Micro und Fortinet sowie lokalen Behörden in Nigeria den vermutlichen Anführer eines insgesamt 40 Personen umfassenden Betrügerrings verhaftet. Ihm wurde vorgeworfen, aus Malaysia, Nigeria und Südafrika heraus mit der Masche des CEO-Betrugs über 60 Millionen Dollar ergaunert zu haben.

Das BKA gibt in einem Flyer Informationen über und Handlungsempfehlungen zum Schutz vor CEO Fraud (Bild: Shutterstock/aldorado)

Ins Visier der Angreifer geraten meist Mitarbeiter im Finanz- und Rechnungswesen mittlerer bis großer Unternehmen. Im Zuge von Ermittlungen gegen einen Mann aus Litauen wurde im April bekannt, dass offenbar auch Google und Facebook Opfer einer leicht abgewandelten Form dieser Betrugsmasche geworden sind: Dem Mann wird vorgeworfen, von den Konzernen von 2013 bis 2015 insgesamt rund 100 Millionen Dollar mit gefälschten Rechnungen für Computerkomponenten ergaunert zu haben.

Das BSI empfiehlt Unternehmen zum Schutz vor der Betrugsmasche CEO Fraud, öffentliche Kontaktdaten auf der Firmenwebseite möglichst auf allgemeine Kontaktadressen zu beschränken. Vor der Durchführung ungewöhnlicher Zahlungsanweisungen sollten zudem Kontrollmechanismen greifen. Weitere Informationen und Handlungsempfehlungen gibt das BKA in einem zum Download bereitstehenden Flyer (PDF).

CEO Fraud nimmt seit 2015 stark zu

Die Betrugsmasche wird seit 2015 immer häufiger beobachtet. Damals wurden in einem Fall sogar 5 Millionen Euro überwiesen. Dazu rief eine Person, die sich als Buchhalter eines deutschen Konzerns ausgab, in der französischen Zweigniederlassung an und erklärte in Englisch mit deutschem Akzent, dass das Projekt strengster Geheimhaltung unterliege. Eine von der französischen Buchhalterin eingeforderte Unterschrift wurde prompt per Fax nachgeliefert. Auch eine weitere Unterschrift des Chefs der Buchhaltung wurde so zur Verfügung gestellt. Die Betrüger hatten sich also vorher genauestens über die Abläufe in der Firma informiert und vorbereitet.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Der Versicherer Euler Hermes informiert seitdem auf einer eigenen Seite über das Phänomen: “Häufig werden gezielt Mitarbeiter in ausländischen Niederlassungen des Unternehmens angesprochen. Das erschwert den Mitarbeitern die persönliche Kontaktaufnahme mit den verantwortlichen Organen im Unternehmen, von denen die vermeintlichen Anweisungen kommen”, heißt es dort.

Der Versicherer rät, klare Prozesse und Zuständigkeiten und bei größeren Beträgen – falls möglich – ein Vieraugenprinzip einzuführen. Beim Rückruf oder der Rückversicherung per Mail sollten die Kontaktdaten nicht aus der vermeintlich vom Chef abgesendeten, verdächtigen Mail entnommen werden.

Auch die Unternehmensberatung Deloitte informiert schon länger zu dem Thema. Demnach geben sich die Betrüger auch als Rechtsanwälte oder Berater aus.


In einem Video bei Youtube erklärt Trend Micro die Betrugsmasche CEO Fraud, die auch als Business E-Mail Compromise (BEC) bezeichnet wird.

[mit Material von Bernd Kling, ZDNet.de]

Redaktion

View Comments

  • Wie? Was? Angriff? "Liefern" die jetzt den Bundestrojaner zwangsweise aus? Ist jetzt ELSTER verseucht und Sachen vom BSI?

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago