Phishing-Angriffe gibt es schon seit Jahrzehnten, und Cyberkriminelle suchen nach immer raffinierteren Wegen, um gezielte Angriffe zu entwickeln. CEO-Betrug ist eine Art von Phishing-Betrug, die immer weiter zunimmt. Laut einem Bericht aus dem Jahr 2020 hat der CEO-E-Mail-Betrug im zweiten Quartal 2020 um 48 % zugenommen.
Diese auf CEOs abzielenden Straftaten können Unternehmen Milliarden von Dollar an Verlusten kosten oder sogar ihren Ruf ruinieren. Das heißt, Unternehmen müssen sich dieser Verbrechen bewusst sein, bevor sie in der Lage sind, Maßnahmen zur Verhinderung von CEO-Betrug zu ergreifen.
Dieser Artikel befasst sich mit den Arten von CEO-E-Mail-Betrug und wie man ihn verhindern kann.
Doch zunächst einmal: Was ist CEO-Betrug?
Was ist CEO-Betrug?
Ein anderer Name für CEO-Betrug ist Whaling. Dabei handelt es sich um eine Art von Business Email Compromise (BEC), bei der Angreifer die E-Mail-Adresse und die Anmeldedaten des CEO oder einer anderen hochrangigen Führungskraft des Unternehmens verwenden. Bei diesem gezielten Phishing-Angriff werden ausgeklügelte Social-Engineering-Techniken eingesetzt, um Mitarbeiter zu betrügerischen Handlungen zu bewegen.
In den Phishing Activity Trends aus dem Jahr 2021 berichtet die Anti-Phishing Working Group, dass Business Email Compromise-Angriffe für Unternehmen immer kostspieliger werden. Bei erfolgreichen Angriffen stieg die durchschnittliche Überweisung von 48.000 US-Dollar auf 106.000 US-Dollar – mehr als doppelt so viel wie im Vorjahr. Angesichts dieser Zahlen überrascht es nicht, dass das FBI BEC als einen 26 Milliarden Dollar schweren Betrug bezeichnet hat. Diese Betrüger haben es auf hochrangige Mitarbeiter von Unternehmen abgesehen, da sie die Befugnis haben, große Überweisungen oder vertrauliche Daten von Mitarbeitern zu verlangen.
Beispiele für CEO-E-Mail-Betrug
Wenn Sie sich mit einigen Beispielen für CEO-E-Mail-Betrug vertraut machen, können Sie den Betrug und seine negativen Auswirkungen auf Unternehmen besser verstehen.
Im Jahr 2019 wurde die japanische Toyota Boshoku Corporation Opfer eines BEC-Angriffs, der 37 Millionen Dollar kostete. Der CEO-Betrüger überzeugte einen Toyota-Mitarbeiter, 37 Millionen Dollar von der europäischen Tochtergesellschaft auf ein ausländisches Konto zu überweisen.
BEC-Angriffe sind auf dem Vormarsch, und dieser Betrug war der dritte erkannte Angriff auf Toyota in diesem Jahr. Sicherheitsexperten sagten, dass Toyota auf derartige Betrügereien hätte achten müssen.
Ein weiteres Beispiel für einen CEO-E-Mail-Betrug ist der BEC-Angriff von Obinwanne Okeke im Februar 2021, der seinen Opfern einen Schaden von mindestens 11 Millionen Dollar zufügte. Der Betrüger nutzte Phishing-E-Mails, um sich die Anmeldedaten von hochrangigen Unternehmensvertretern zu verschaffen, darunter der CEO von Unatrac Holdings Limited, dem Export-Vertriebsbüro für schwere Industrie- und Landmaschinen von Caterpillar.
Anfang 2020 wurde die Regierung von Puerto Rico Opfer eines BEC-Betrugs, bei dem mehr als 2,6 Millionen Dollar erbeutet wurden. Der Geschäftsführer des Unternehmens suspendierte drei Mitarbeiter mit der Begründung, sie hätten sich nicht an die strengen Verfahren gehalten.
Anzeichen und Taktiken von CEO-E-Mail-Betrug
Cyberkriminelle wenden verschiedene Taktiken an, um CEO-E-Mail-Betrug durchzuführen. Unternehmen müssen unbedingt die Anzeichen erkennen, damit sie Gegenmaßnahmen ergreifen können, um solche Angriffe zu verhindern.
Achten Sie auf die Anzeichen
Aufgrund der negativen Auswirkungen auf die Geschäftskontinuität müssen Unternehmen die Anzeichen erkennen, um CEO-Betrug zu stoppen. Bei diesen Angriffen setzen die Betrüger fortgeschrittene Social-Engineering-Techniken ein, um die Opfer unter Druck zu setzen und sie glauben zu lassen, dass die Anfrage dringend ist.
Der Betrüger kann auch E-Mails von einem mobilen Gerät aus verschicken, um den Angestellten vorzugaukeln, der CEO sei nicht im Büro. Sie sollten auch auf Rechtschreibfehler, schlechte Sätze und Grammatik achten.
Taktiken beim CEO-E-Mail-Betrug
CEO-Betrug beginnt damit, dass ein Betrüger die echte E-Mail-Adresse fälscht und Phishing-E-Mails vom CEO an die Mitarbeiter sendet. Wenn die Person den Köder schluckt, kann sie Geld an den Hacker senden, Unternehmensinformationen preisgeben oder unbefugten Zugriff auf Unternehmensvermögen gewähren.
Die Betrüger nehmen sich in der Regel Zeit, um die Organisationsstruktur zu verstehen, damit sie legitim erscheinen, wenn sie sich als CEO des Unternehmens ausgeben.
In einigen Fällen verwenden BEC-Betrüger Malware, um das Netzwerk eines Unternehmens zu infiltrieren und auf legitime E-Mail-Korrespondenz zu Rechnungen und Abrechnungen zuzugreifen. Diese Informationen werden verwendet, um Phishing-E-Mails vom CEO an die Finanzabteilung zu senden, um die dubiose Anfrage legitim erscheinen zu lassen.
Prävention von CEO-Betrug
Wie andere Phishing-Angriffe ist auch der CEO-E-Mail-Betrug schwer zu erkennen. Aber mit dem richtigen Cyber-Bewusstsein und Sicherheitsmaßnahmen können Sie die Vermögenswerte Ihres Unternehmens vor BEC-Betrug schützen.
Im Folgenden finden Sie einige Tipps zur Prävention von CEO-Betrug, um Ihr Unternehmen vor BEC- und anderen Phishing-Angriffen zu schützen.
1. Schützen Sie Ihre E-Mail-Infrastruktur mit DMARC
Die erste Schwachstelle in den meisten Unternehmen ist die Unkenntnis von einfachen E-Mail-Sicherheitslösungen. Die DMARC-Implementierung schließt die Tür zur größten Schwachstelle, die zum CEO-Betrug führen kann – dem Spoofing. Sobald Sie DMARC eingeführt haben, erhalten Sie Berichte, überwachen die Quellen und sperren unzulässige Absender von Ihrer Domain.
2. Erkennen Sie die E-Mail-Adresse des Absenders?
Wenn Sie eine E-Mail erhalten, ist die erste Frage, die Sie sich stellen sollten: „Kenne ich die E-Mail-Adresse des Absenders?“ Angreifer nutzen die Taktik der Domain-Imitation, um Sie glauben zu lassen, die E-Mail sei echt.
Wenn Ihr Domain-Name abcbank.com lautet, können Angreifer abdbank.com verwenden. Ein Mitarbeiter, der nicht geduldig oder aufmerksam ist, wird denken, dass die beiden E-Mail-Adressen identisch sind. Deshalb ist es wichtig, dass Sie und Ihre Mitarbeiter die E-Mail-Adresse zweimal überprüfen, um ihre Echtheit zu bestätigen.
3. Enthält die E-Mail irgendetwas Ungewöhnliches oder Dringendes?
CEO-E-Mail-Betrüger nutzen Social-Engineering-Taktiken, um ein Gefühl der Dringlichkeit zu erzeugen. Enthält die E-Mail ungewöhnliche Aufforderungen wie dringende Geldüberweisungen oder Informationen über Unternehmensvermögen und Kunden? Wenn das der Fall ist, müssen Sie die Quelle hinterfragen. Es ist auch sehr wichtig, die E-Mail auf bösartige URLs zu überprüfen. Wenn Sie sich nicht sicher sind, ob die enthaltene URL bösartig ist oder nicht, können Sie sie mit einem beliebigen Prüfprogramm für bösartige URLs untersuchen.
4. Haben Sie die Anfrage telefonisch oder persönlich verifiziert?
Wenn Sie eine ungewöhnliche oder dringende Überweisungsanfrage per E-Mail erhalten, ist es am besten, die Anfrage telefonisch oder persönlich zu überprüfen. Angenommen, die E-Mail stammt vom E-Mail-Konto des Geschäftsführers, gehen Sie in dessen Büro oder rufen Sie ihn an, um die Anfrage zu bestätigen, bevor Sie etwas unternehmen.
5. Sind Ihre Mitarbeiter für die Erkennung von Betrug geschult?
Sind Ihre Mitarbeiter technisch ausreichend geschult, um Bedrohungen der Cybersicherheit zu erkennen? Das ist eine Frage, die jedes Unternehmen beantworten muss. Für die Sicherheit ist jeder verantwortlich. Gehen Sie also nicht davon aus, dass Ihr Netzwerk sicher ist, nur weil Sie über die besten Tools verfügen.
Der Mensch ist das schwächste Glied und kann leicht manipuliert werden. CEO-Betrug wird immer raffinierter, so dass Unternehmen ihre Mitarbeiter darin schulen müssen, wie sie diese Betrügereien erkennen und was sie tun müssen, wenn sie sie entdecken.
6. Haben Sie eine Anti-Betrugs-Software installiert?
Neben der Schulung der Mitarbeiter sollten Unternehmen einen Defense-In-Depth-Ansatz (DID) für die Cybersicherheit umsetzen. Dadurch werden die Risiken dieser Angriffe verringert. Wir empfehlen die Installation und regelmäßige Aktualisierung von Software zur Betrugsbekämpfung. Sie hilft bei der Risikobewertung und der Aufdeckung von Betrug und verringert so das Risiko von Cyberangriffen.
Fazit
CEO-E-Mail-Betrug und andere Phishing-Betrügereien werden immer raffinierter, und die Auswirkungen auf Unternehmen können verheerend sein. Dieser Betrugsangriff ist in Unternehmen mit einer starren Managementstruktur erfolgreicher, die vor der Genehmigung von Finanzanträgen keine angemessenen Kontrollen durchführt.
Die Umsetzung der besten Cybersicherheitspraktiken kann Ihnen helfen, diese Angriffe zu verhindern. Unternehmen sollten außerdem regelmäßig Programme zur Sensibilisierung für Cybersicherheit durchführen, um ihre Mitarbeiter über neue Taktiken zu schulen, die Angreifer bei der Ausführung ihrer Pläne einsetzen.