Was ist eigentlich ein CEO-Fraud?

Theoretisches

Grob geht es bei der CEO-Masche, auch Chef-Betrug genannt, darum, große Geldmengen unter einem Vorwand von Unternehmen zu erbeuten. Wie der Name bereits andeutet, gibt sich der Täter hier meistens als Chef oder Entscheider eines Unternehmens aus und versucht die Mitarbeiter so zu beeinflussen, dass sie ihm eine oder mehrere Geldmengen überweisen. Größtenteils auf Konten im Ausland.
Auffällig bei dieser Art des Angriffes ist, dass die Täter sehr gut vorbereitet sind und ein ganz bestimmtes Ziel im Auge haben. Es handelt sich in den meisten Fällen nicht um einen spontanen Versuch, sondern um einen Angriff dem eine längere Planung vorausging.

Der Ablauf ist meistens ähnlich:

Die Täter kundschaften ihr Ziel im Vornherein genau aus. Über Soziale Medien, wie Xing, LinkedIn, Facebook und Co. lassen sich besonders gut personenbezogene Daten herausfinden. So wissen Täter ganz genau, wen sie am besten kontaktieren, um die größten Chancen auf eine schnelle Überweisung zu haben. Es lassen sich aber beispielsweise auch eventuell ganz andere Dinge herausfinden. Ist ein Mitglied der Geschäftsleitung gerade im Urlaub und postet fleißig Bilder davon auf Facebook? Das erhöht die Chancen, dass eine Überweisung veranlasst wird, ohne dass der richtige Entscheider noch eingreifen kann.

Aus Informationsquellen wie Nachrichten oder Pressemitteilungen lassen sich leicht auch aktuelle Themen der einzelnen Unternehmen herausfinden, beispielsweise Übernahmeverhandlungen, die als Aufhänger für das Anliegen genutzt werden können.

Haben die Täter die richtige Person und das richtige Thema gefunden, ist psychologisches Geschick gefragt. Häufig wird mit vorhanden Hierarchie-Ebenen und Zeitdruck gearbeitet.
Der Angreifer gibt sich als Mitglied der Geschäftsführung aus und fordert uneingeschränkte Mitarbeit ein. Kommen Anweisungen „von oben“ werden sie weniger häufig in Frage stellt.  Alles muss ganz schnell und vor allem geheim von statten gehen, und bei Frau Müller ging das ja sowieso auch immer.

Häufig wird nicht mit Telefonaten, sondern auch mit gefälschten Mails gearbeitet, deren Absender täuschend echt aussieht. Einen passenden Beitrag über Homoglyphen hat mein Kollege bereits geschrieben.

Beispiele erfolgreicher CEO-Frauds

Den CEO-Fraud gibt es übrigens schon seit einiger Zeit, eine ähnliche Art von Hack hat Kevin Mitnick bereits im Jahr 1992 angewandt, um sich einen Source Code von Motorola zu beschaffen.

Ein aktuelleres und sehr bekanntes Beispiel für einen erfolgreichen CEO-Fraud liefert die Firma Leonie. 40 Millionen Euro erbeuteten sich die Täter in diesem Fall, laut Pressemitteilung der Firma über „elektronische Kommunikationswege“. Die Zahlungen wurden auf Zielkonten im Ausland transferiert. Die Polizei wurde eingeschalten, ebenso wurde öffentlich berichtet, da es sich bei der Leonie AG um ein börsennotiertes Unternehmen handelte.

Wie kann ich mich schützen?

Die CEO-Masche ist eine Art des Social Engineerings. Und da gilt: der beste Schutz ist die Schulung der eigenen Mitarbeiter. Auch eine offene Unternehmenskultur und klare Regeln für kritische Prozesse, wie Überweisungen ab einer bestimmten Höhe, können den Erfolg eines CEO-Fraud verhindern.