Vorsicht, Cheftrick: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer besonders konkreten Bedrohung durch CEO Fraud.
Der Bundesbehörde liegt nach eigenen Angaben eine Liste mit rund 5000 potenziellen Zielpersonen vor. Kriminelle Täter könnten versuchen, diese und andere Entscheidungsträger in Unternehmen so zu manipulieren, dass sie – vermeintlich im Auftrag des Top-Managements – Überweisungen von hohen Geldbeträgen veranlassen.
Leser des Retarus Corporate Blogs sind über CEO Fraud alias Cheftrick a.k.a. “Fake-President”-Trick bereits seit geraumer Zeit im Bilde. Bei der Masche werden vorrangig Mitarbeiter aus Buchhaltung oder Rechnungswesen angeschrieben, die Finanztransaktionen für ihre Firma abwickeln dürfen. Diese Mitarbeiter werden vermeintlich von einer ranghöheren Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen mit der Begründung, es handele sich um ein geheimes oder vertrauliches Projekt.
Die Kontaktdaten der Zielpersonen und vorgetäuschten Absender gewinnen die Kriminellen laut BSI oftmals durch frei zugängliche Informationen auf der Webseite der Firma, in Karriereportalen, Sozialen Netzwerken und Handelsregistereinträgen sowie durch direkte Anrufe im Unternehmen. Die Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im Unternehmen täuschend echt nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu überweisen.
Als technische Vorkehrung zum Schutz gegen CEO Fraud sollten Unternehmen möglichst auf Standards zurückgreifen, mit denen sich die Echtheit des Absenders überprüfen lässt. Zu nennen sind hier insbesondere Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM). Eine E-Mail-Security-Lösung kann zusätzliche Sicherheit bieten – auch wenn derartige Angriffe durch ihre individuell auf das Opfer zugeschnittenen Nachrichten nur schwer von legitimen Mails zu unterscheiden sind.
Auch beim CEO Fraud bleibt letztlich immer der „Unsicherheitsfaktor Mensch“. Unternehmen sollten daher ihre Belegschaft regelmäßig für derartige Angriffe sensibilisieren. Neben erhöhter Wachsamkeit helfen klare, transparente Regeln, im Fall von CEO Fraud beispielsweise grundsätzliche Höchstgrenzen für Überweisungen sowie klar definierte Kontroll- und Freigabeprozesse.