Haben Sie kürzlich eine E-Mail von Ihrem „CEO“ erhalten, in der Sie gebeten werden, Geld an einen „Verkäufer“ zu überweisen? Tu es nicht! Es ist ein CEO-Betrug, den ich im Detail erklären werde.
Beginnen wir mit einer kleinen Hintergrundgeschichte.
CEO Fraud passierte mir fast zwei Monate, nachdem ich als Vollzeitautor zu wdzwdz kam.
Es war nicht sofort ersichtlich, da der Betrüger einen renommierten Domainnamen von Virgin Media ([email protected]), und ich dachte, mein CEO sei irgendwie mit diesem Telekommunikationsunternehmen verbunden, da beide im Vereinigten Königreich ansässig sind.
Also antwortete ich auf das anfängliche ‚Ich würde Ihnen gerne eine Aufgabe zuweisen, haben Sie Zeit?‘ positiv. Als Nächstes beschrieb der Absender eine Aufgabe, die eine Überweisung von 24.610 INR (ca.
Aber das machte mich ein wenig misstrauisch, und ich bat den Absender, seine Identität nachzuweisen, bevor ich etwas übertragen konnte. Ein paar E-Mails später rief der Betrüger auf und ich schickte das Gespräch an meinen eigentlichen CEO und die IT-Zelle von Virgin Media.
Obwohl ich keine vorherige Ausbildung hatte, um mit dieser Art von Betrug umzugehen, hatte ich das Glück, nicht in diese Falle zu tappen.
Aber wir sollten uns nicht auf reines Glück verlassen; wissen Sie dies stattdessen im Voraus und informieren Sie andere.
Inhaltsverzeichnis
CEO Fraud, auch bekannt als Executive Phishing
Dies fällt unter Spear-Phishing, ein Angriff, der auf eine bestimmte Organisation oder einige ihrer Mitarbeiter abzielt. Es wird als Whaling-Phishing-Angriff bezeichnet, wenn das Ziel ein hochkarätiger Mitarbeiter (wie eine C-Suite) einer Institution ist.
Das Federal Bureau of Investigation, USA, ordnet diese Betrügereien der Business Email Compromise (BEC) oder Email Account Compromise (EAC) zu, die laut diesem Bericht über Internetkriminalität im Jahr 2021 Verluste in Höhe von fast 2,4 Milliarden US-Dollar verursachten.
Geographisch gesehen ist Nigeria das Land Nummer eins, in dem 46 % der CEO-Betrügereien stattfinden, gefolgt von den USA (27 %) und Großbritannien (15 %).
Wie funktioniert das?
Insbesondere erfordert CEO-Fraud keine technischen Fähigkeiten oder kriminelles Know-how. Alles, was Sie erhalten, ist eine zufällige E-Mail und Social Engineering, um Sie dazu zu bringen, Geld zu senden oder vertrauliche Details für weitere illegale Aktionen preiszugeben.
Schauen wir uns ein paar Möglichkeiten an, wie schlechte Schauspieler dies „derzeit“ tun.
Typ 1
Eine zufällige E-Mail-Adresse, die sich als CEO ausgibt und um etwas Geld bittet, ist die einfachste Form solcher Tricksereien. Und dieser ist leicht zu erkennen. Alles, wonach Sie suchen müssen, ist die E-Mail-Adresse (und nicht der Name).
Im Allgemeinen ist der Domainname ([email protected]) verrät Betrug. Die E-Mail-Adresse kann jedoch auf eine renommierte Organisation hinweisen (wie in meinem Fall).
Diese Auszeichnungen haben dem Betrug, der einen uninformierten Fachmann zum Opfer fallen kann, mehr Legitimität verliehen. Darüber hinaus kann die E-Mail-Adresse echt aussehen, aber mit geringfügigen, nicht wahrnehmbaren Änderungen, wie z. B. @gmial.com anstelle von @gmail.com.
Schließlich kann es von einer legitimen, aber kompromittierten E-Mail-Adresse stammen, was es extrem schwierig macht, den Betrug zu erkennen.
Typ 2
Eine andere ausgefeiltere Technik verwendet Videoanrufe. Dazu gehört eine „verwaltete“ E-Mail-Adresse eines hochrangigen Beamten, der „dringende“ Online-Meeting-Anfragen an seine Mitarbeiter sendet, hauptsächlich in der Finanzabteilung.
Als nächstes sehen die Teilnehmer ein Bild ohne Audio (oder mit Deepfake-Audio) mit der Behauptung, dass die Verbindung nicht wie erwartet funktioniert.
Anschließend bittet der „Geschäftsführer“ darum, eine Überweisung auf unbekannte Bankkonten zu initiieren, von wo das Geld nach einem erfolgreichen Betrug über andere Kanäle (sprich Kryptowährungen) abgezweigt wird.
Typ 3
Dieser ist eine Variation von Typ 1, zielt aber auf Geschäftspartner und nicht auf Mitarbeiter ab und erhält einen Namens-Rechnungsbetrug, der besser zu seinem Modus Operandi passt.
In diesem Fall erhält der Kunde einer Organisation eine E-Mail, um eine Rechnung dringend auf bestimmte Bankkonten zu zahlen.
Quelle: CBC-Nachrichten
Dieser hat die höchste Erfolgsquote, da er normalerweise mit einer gehackten Firmen-E-Mail-Adresse durchgeführt wird. Und da E-Mail die Art und Weise ist, wie manchmal ausschließlich Fachleute kommunizieren, führt dies zu enormen finanziellen und Reputationsverlusten für die Zielorganisation.
Wie kann man CEO-Fraud überprüfen?
Als Angestellter ist es schwierig, eine Anfrage des eigenen CEO abzulehnen. Diese Psyche ist die Hauptursache dafür, dass Täter mit nur einer zufälligen E-Mail leicht Erfolg haben.
Neben dem Hinterfragen finanzieller Anfragen ist es am besten, vor einer „Kooperation“ um ein Video-Meeting zu bitten.
Darüber hinaus müssen Sie in den meisten Fällen nur die E-Mail-Adresse sorgfältig überprüfen. Dieser gehört möglicherweise nicht Ihrer Organisation oder enthält falsch geschriebene Versionen des Firmennamens.
Außerdem kann eine Institution nicht alle Domainendungen registrieren. Sie müssen sich also davor hüten, eine E-Mail von zu erhalten [email protected] wann die offizielle Adresse sein soll [email protected]
Zu guter Letzt erhalten Sie möglicherweise E-Mails von einer Firmenadresse, die von „extern“ betrieben wird, oder von einem betrügerischen internen Mitglied. Der Schlüssel zu einer solchen Situation ist die mündliche Bestätigung oder das Halten mehrerer Führungskräfte auf dem Laufenden, bevor Zahlungen getätigt werden.
Und der effektivste Weg, Ihr Unternehmen zu schützen, wenn Sie eines führen, ist die Einbeziehung von Phishing-Simulationen in die routinemäßige Mitarbeiterschulung. Denn diese Betrüger entwickeln sich ständig weiter. Eine einzige, einmalige Warnung wird Ihren Mitarbeitern also nicht viel helfen.
Abschluss!
Leider sind wir stark von geschäftlichen E-Mails abhängig, was große Lücken hinterlässt, die Kriminelle oft ausnutzen.
Obwohl es für diese Form der Kommunikation noch keinen Ersatz gibt, können wir Geschäftspartner in Anwendungen wie Slack oder sogar WhatsApp hinzufügen. Dies hilft, schnell zu bestätigen, ob etwas verdächtig erscheint, und solche Rückschläge zu vermeiden.
PS: Wenn ich Sie wäre, würde ich diesen Artikel nicht verpassen, der Arten von Cyberkriminalität für zusätzliche Internetkompetenz abdeckt.