Begriffsdefinitionen:
CEO = Chief Executive Officer (Geschäftsführer oder Vorstand)
Fraud = Betrug, Schwindel
Der CEO Fraud ist eine moderne Betrugsmasche, die weltweit Anwendung findet. Dabei gibt sich ein Täter als Geschäftsführer eines Unternehmens aus und fordert einen der entscheidungsbefugten Mitarbeiter dazu auf, einen bestimmten Geldbetrag unter falschem Vorwand an ein genanntes Konto im Ausland zu überweisen. Das Geld wird von diesem Konto dann auf weitere Konten verteilt oder bar abgehoben.
Erstmals wurde der CEO Fraud im Jahr 2005 angewendet, bei dem geschätzte 12 Millionen US-Dollar von circa 30 Banken und Unternehmen auf betrügerische Weise an ein fremdes Konto überwiesen wurden. Mittlerweile wurde die Methode weiterentwickelt und tritt immer häufiger in unterschiedlichen Verfahrensmustern auf.
CEO Frauds können in unterschiedlicher Art und Weise vorkommen. So nehmen einige Betrüger durch E-Mails Kontakt zu dem anvisierten Opfer auf, andere arbeiten mit telefonischen Deepfakes oder Angriffsvektoren. Ein Angriffsvektor ist der Schlüsselbegriff für alle Möglichkeiten, die ein Hacker nutzt, um sich Zugriff auf ein anderes Betriebssystem zu verschaffen. Darunter zählen unter anderem Viren, E-Mail-Anhänge und Chat-Räume. Deepfakes sind Medieninhalte wie Audios oder Videos, bei denen die Originalaufnahme durch moderne künstliche Intelligenz (KI) zu realistisch wirkenden Neuvertonungen verfälscht worden ist. Die KI ahmt die menschliche Stimme nach und hört sich besonders authentisch an.
Begriffsdefinitionen:
CEO = Chief Executive Officer (Geschäftsführer oder Vorstand)
Fraud = Betrug, Schwindel
Werden E-Mails als Kommunikationsmittel vom Angreifer genutzt, handelt es sich um eine Form von Business E-Mail Compromise (BEC). Diese Art von CEO Fraud ist die am häufigsten verwendete Betrugsmethode.
Es gibt zwei Arten von CEO-Fraud-E-Mails:
CEO Frauds und BECs sind streng genommen nicht das Gleiche. Ein CEO Fraud wird zwar oftmals in Form von BEC ausgeführt, jedoch gibt es auch noch andere Angriffsmöglichkeiten, beispielsweise durch telefonische Deepfakes.
Die Täter sind in ihren Betrugsmaschen meist sehr routiniert und wissen genau, worauf sie achten müssen, um nicht aufzufliegen. Ist einem Mitarbeiter eine solche Betrugsmethode nicht bekannt, ist die Gefahr hoch, dass dieser auf Masche hereinfällt. Es gibt jedoch Faktoren, die auf ein CEO Fraud hinweisen und über die jeder Mitarbeiter informiert werden sollte. Schulen Sie daher Ihre Angestellten entsprechend, sodass diese aufmerksam und hellhörig sind, Mails gründlich prüfen und bei Telefonaten genau hinhören. Folgende Indizien lassen auf einen Betrug schließen:
CEO Fraud Betrüger handeln sehr geschickt und verfolgen einen detaillierten Plan. Oftmals steckt nicht ein Einzeltäter hinter dem CEO Fraud, sondern Personengruppen und Netzwerke, die bestens organisiert sind und sehr systematisch vorgehen.
Zur Vorbereitung des CEO Frauds sammelt der Betrüger Informationen über das Unternehmen, um die Strukturen und Strategien der Firma kennenzulernen. Dafür nutzt er Social-Media-Kanäle, die Homepage, das Handelsregister sowie verschiedene Wirtschaftsberichte und Werbebroschüren. Besonders interessant für den Täter sind zum einen Einzelheiten über den Geschäftsführer und den Vorstand des Betriebs, zum anderen Informationen über die internen Kommunikationswege und zukünftig geplante Investitionen. Je mehr Informationen der Betrüger über Ihr Unternehmen sammeln kann, desto höher ist die Erfolgsaussicht eines CEO Frauds.
Auf Basis der Recherche kontaktiert der Täter einen entscheidungsbefugten Mitarbeiter im Finanzbereich, hauptsächlich geschieht dies über den E-Mail-Verkehr. Der Betrüger gibt sich entweder als Geschäftsführer, als Partner oder als übergestellter Manager aus. Dabei fordert er Ihren Mitarbeiter auf, einen hohen Geldbetrag auf ein ausländisches Konto zu überweisen – und das höchst vertraulich und dringlich. Durch psychologische Manipulation baut der Betrüger Druck auf.
Wenn eine ungewöhnliche Zahlungsanweisung veranlasst wurde und Sie als Mitarbeiter die Vermutung haben, dass ein Betrüger Sie kontaktiert hat, haben Sie sofort zu handeln. Führen Sie folgende Punkte durch:
Wenn eine ungewöhnliche Zahlungsanweisung veranlasst wurde und Sie als Mitarbeiter die Vermutung haben, dass ein Betrüger Sie kontaktiert hat, haben Sie sofort zu handeln. Führen Sie folgende Punkte durch:
Wir von Datenzeit können Sie und Ihr Unternehmen vor CEO Fraud schützen. Als Spezialisten für IT-Sicherheit und Datenschutz bereiten wir Ihre Mitarbeiter auf Situationen wie Hacker-Angriffe und CEO-Frauds vor und entwickeln einen Maßnahmenkatalog, der im Falle einer solchen Betrugsmethode greift.
Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den IT- und Datenschutz in Ihrem Unternehmen.
CEO Fraud bedeutet auf Deutsch Chef-Betrug. Die Betrugsmasche läuft wie folgt ab: Ein Betrüger gibt sich als Chef oder führender Manager eines Unternehmens aus und kontaktiert einen Mitarbeiter, der für finanzielle Angelegenheiten zuständig ist. Dieser wird gebeten, unter Geheimhaltung und höchster Dringlichkeit einen hohen Geldbetrag an ein angegebenes Konto zu überweisen.
Wichtig ist, die Mitarbeiter über solche Betrugsmaschen aufzuklären und ihr Sicherheitsbewusstsein zu stärken. Sie sollten aufmerksam arbeiten und bei Verdachtsfällen sofort handeln. Führen Sie Sicherheitsvorkehrungen ein und gehen Sie sicher, dass Ihre Kommunikationswege geschützt sind. Gegebenenfalls lohnt es sich, diese stetig zu ändern oder bei einem Verdachtsfall zur Absicherung eine alternative Kommunikationsart zu wählen.
Auf den ersten Blick lässt sich ein CEO Fraud meistens nicht direkt erkennen. Daher sollten Sie aufmerksam werden, sobald es sich um E-Mails handelt, die Transaktionen mit hohen Geldsummen betreffen. Die E-Mail-Adresse ähnelt der des Chefs häufig sehr. Es wird auf Dringlichkeit und strengste Vertraulichkeit plädiert und das angegebene Konto weicht von den sonst für Transaktionen bekannten Konten ab. Besonders tückisch ist dabei, dass die Betrüger ein umfangreiches Wissen über das Unternehmen und die Mitarbeiter haben, was den Glauben bestärkt, dass es sich tatsächlich um den eigenen Chef handelt.
Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de
Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de