CEO Fraud: Gefährliche E-Mail vom falschen Chef
Vorsicht bei ungewöhnlichen Zahlungsanweisungen!
Die Anweisung kam direkt vom Chef. Und sie war eilig. Der neue Mitarbeiter war offensichtlich beeindruckt. Und er stand unter Druck. Denn der Chef gab eindeutige Anweisungen. Eine Überweisung sei zu tätigen, die Angelegenheit sei vertraulich und sie sei eilig. Der Angestellte folgte der Aufforderung und überwies rund eine Million Euro auf ein Bankkonto in China.
CEO Fraud ist keine neue Betrugsart, aber sie funktioniert immer wieder. Unternehmen werden von Cyberkriminellen ausspioniert und Mitarbeiter durch gefälschte E-Mails oder fingierte Anrufe dazu gebracht, Überweisungen zu tätigen.
Dabei gehen die Täter sehr geschickt und vielfältig vor und nutzen bewusst menschliche Eigenschaften wie zum Beispiel Hilfsbereitschaft, Empathie, Vertrauen sowie Angst vor Autoritäten bewusst aus. Nur so ist es möglich, Mitarbeiter so zu manipulieren, dass sie gutgläubig handeln und dabei ihrem Arbeitgeber unbewusst großen Schaden zufügen.
Auch die hohe Mitteilungsbereitschaft in sozialen Netzwerken wird von den Kriminellen genutzt. Im oben genannten Fall hatte der Mitarbeiter auf Facebook über sein neues Arbeitsverhältnis berichtet. Nur mit Hilfe dieser Information war es dem Täter möglich, sich sogar am Telefon gegenüber dem neuen Mitarbeiter als „Chef" auszugeben.
Die Täter sind geschickt und kreativ
Neben der „Chef-Masche" gibt es unter dem Oberbegriff „Social Engineering" noch zahlreiche andere Vorgehensweisen, sich betrügerisch zu bereichern. So werden im Namen vermeintlicher Geschäftspartner mit gefälschten E-Mails bestehende Kontoverbindungen „aktualisiert", sodass die künftigen Rechnungen auf dem Konto der Betrüger landen. Beliebt sind auch gefälschte Rechnungen mit Leistungen, die nie erbracht wurden oder die Forderung einer Rücküberweisung nach der Übermittlung eines „versehentlich" zu hoch ausgestellten Schecks, der sich dann später als nicht gedeckt erweist.
Wie kann man sich schützen?
Das Bundeskriminalamt rät bei ungewöhnlichen Zahlungsanweisungen grundsätzlich zur persönlichen Rücksprache mit der Geschäftsleitung. Eine offene Unternehmenskultur, die Rückfragen bis in die Führungsebene problemlos ermöglicht, sollte aktiv gefördert werden. Oft lassen sich Betrüger auch durch auffallende Schreibfehler und außergewöhnliche E-Mail-Adressen erkennen.
Im Umfeld ihrer IT-Sicherheit sollten Unternehmen alle Prozesse zur Zahlungseingabe und Zahlungsfreigabe auf mögliche Einfallstore für Betrugsversuche prüfen. Auch Stammdatenänderungen (Kontoverbindungen, Versandadressen) sollten über gezielte Kontrollen abgesichert sein. Der beste und wirksamste Schutz ist aber nach wie vor eine gute Mischung aus gesundem Menschenverstand und einer hohen Aufmerksamkeit gegenüber ungewöhnlichen Anweisungen und Transaktionen.
Schauen Sie sich zum Verständnis gerne das aktuelle Video von WISO an: https://www.zdf.de/verbraucher/wiso/videos/ceo-fraud-der-chef-betrug-100.html oder laden Sie sich den Flyer des Bankenverbands mit nützlichen Informationen herunter.
