Meldung

CEO-Fraud: Wenig bekannte Betrugsmasche

CEO-Fraud ist ein großes Problem in Unternehmen. Immer wieder gelingt es Angreifern, unbedarfte Mitarbeiter einer Firma davon zu überzeugen, größere Geldsummen auf externe Bankkonten zu transferieren. Die Anweisung dazu stammt scheinbar vom Geschäftsführer. Doch trotz der teils enormen Schäden ist die Betrugsmasche offenbar nur wenigen bekannt.
KnowBe4 [1], Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, veröffentlicht die Ergebnisse einer CEO-Fraud-Umfrage, an der 153 Verbraucher aus Deutschland teilgenommen haben. Unter den Befragten hatten die wenigsten bereits vorher von CEO Fraud gehört. Dieser Betrug ist auch unter "Business E-Mail Compromise" bekannt.

Viele Mitarbeiter mit einem E-Mail-Account wissen nicht, dass CEO-Fraud – also "Chef-Betrug" – eine gängige Angriffstechnik ist. Bei dieser Methode gibt ein Cyberkrimineller sich als Chef aus und meldet sich per E-Mail sowie in einigen Fällen auch per verzerrter Stimme per Telefon und verlangt, dass schnellstmöglich bestimmte Aktionen vollzogen werden sollen. Der gängige Vorgang ist die Einleitung einer Transaktion auf ein bestimmtes, in der E-Mail angegebenes Konto im Ausland. Über weitere Konten in anderen Ländern wird das gestohlene Geld in empfindlicher Höhe weiter verbucht, bis es für das betroffene Unternehmen nicht mehr nachzuverfolgen ist.

CEO-Fraud weitgehend unbekannt
Die Ergebnisse der Umfrage machen deutlich, dass die meisten Teilnehmer vor Beantwortung der Befragung nicht wussten, was CEO-Fraud ist, 61 Prozent erfuhren davon durch die Umfrage, 34 Prozent haben bereits in den Medien darüber gelesen und 5 Prozent haben einen solchen Betrugsversuch selbst schon erlebt. Das Internet Crime Compliant Center des FBI hat eine weltweite Rankingliste veröffentlicht, darin findet man Deutschland auf Platz 8 der am meisten betroffenen Länder durch Cyberangriffe.

Ebenfalls untersucht wurde, was die Menschen sich unter CEO-Fraud vorstellen. Dabei gaben 71 Prozent die richtige Antwort an, nämlich Betrug durch eine gefälschte E-Mail oder einem Telefonanruf, der vermeintlich vom CEO kommt. 14 Prozent meinten, es sei ein eher unbekanntes EU-Projekt und sogar 12 Prozent der Befragten hielten CEO Fraud für einen neuen TikTok-Trend. Knapp 3 Prozent gaben an, CEO-Fraud wäre ein beliebtes Videospiel.

Außerdem wurde abgefragt, wie CEO-Fraud funktioniert. Bei dieser Frage konnten die Teilnehmer mehrere Antworten auswählen. 60 Prozent lagen mit der Annahme richtig, dass es sich um eine Phishing-E-Mail handelt, die vom E-Mail-Account des Chefs oder der Chefin zu kommen scheint. Ungefähr 41 Prozent hatten auch mit ihrer Antwort recht, dass es sich auch um einen fingierten Telefonanruf handelt, bei dem sich der vermeintliche Chef selbst meldet. 29 Prozent meinten zusätzlich, dass es sich um eine an den Chef gerichtete Spam-Nachricht handelt. Fast 10 Prozent glaubten, der Chef eines Unternehmens würde sich auf Kosten der Firma einen Ferrari leisten.

Gesunde Skepsis angesagt
Darüber hinaus wurde abgefragt, durch welche Schutzmaßnahmen sich die Befragten absichern könnten und was im Notfall zu tun wäre. Auch hier konnten die Befragten mehrere Antworten angeben. Knapp 61 Prozent würden die E-Mail an die IT-Abteilung weiterleiten und nicht auf die Forderungen eingehen. Fast 16 Prozent würden den Anweisungen der gefälschten E-Mail Folge leisten, was fatale Folgen für das Unternehmen hätte. 31 Prozent meinten, sie würden sich vor ihrer Antwort mit einem Kollegen besprechen. Nur 51 Prozent gaben an, dass sie ihren Chef zurückrufen und ihn mit seiner E-Mail oder seinem Anruf konfrontieren würden.

Die Angriffe werden dabei immer raffinierter, Arbeitnehmer – gerade auch im Home Office – sind folglich laufend komplexer werdenden Manipulationstechniken durch Social Engineering ausgesetzt und reagieren möglicherweise unvorsichtig auf E-Mails und Anrufe, die vom Chef zu kommen scheinen. Schulungen in diesem Bereich sind deshalb eine wichtige Maßnahme, um dieses Einfallstor zu schließen.
28.05.2021/dr

Tipps & Tools

Studie: IT-Teams gehen gestärkt aus dem Pandemiejahr hervor [15.06.2021]

Sophos hat in einer Studie die Auswirkungen des vom Pandemiegeschehen dominierten Jahrs 2020 auf IT-Teams beleuchtet: Als Ergebnis haben deutlich gestiegene Anforderungen auch positive Konsequenzen. So hat eine Mehrheit der Befragten eine gestiegene Security-Kompetenz ihrer IT-Abteilung beobachtet und viele Entscheider berichten von einer höheren Team-Moral. [mehr]

Aktuelle Cyberthreats-Informationen [12.06.2021]

Sie wollen sich über aktuelle Cyberbedrohungen möglichst umgehend informieren, statt erst im Nachgang Schadensstatistiken von Malware studieren zu können? Dann sollten Sie das kostenlos nutzbare Webportal AV-Atlas evaluieren, das die gegenwärtige Bedrohungslage rund um gefährliche URLs, Spam-Mails und Software-Downloads laut Anbieter AV-TEST Institut mit topaktuellen, in Echtzeit präsentierten Daten abbildet. [mehr]

Fachartikel

Das gilt es bei Managed Security Services zu beachten [9.06.2021]

Mit immer neuer Schadsoftware und ausgefeilteren Angriffen attackieren Cyberkriminelle Unternehmen über das Internet. Einer Studie zufolge verzeichnete im vergangenen Jahr ein Fünftel aller Unternehmen in Deutschland mindestens einen gravierenden Sicherheitsvorfall. Managed Security Services können die IT-Infrastrukturen vor solchen Bedrohungen schützen. Wir geben einen Überblick, welche Vorteile die Dienste bieten, welche Modelle möglich sind und wie IT-Verantwortliche den richtigen Anbieter finden. [mehr]

Buchbesprechung

Noch analog oder lebst du schon?

von Rolf Drechsler und Jannis Stoppe

Anzeigen