Betrugsmasche CEO-Fraud
23.12.2020, 17:04 Uhr
Wenn der Fake-Chef Millionen kostet
Mit dem CEO-Fraud ergaunern sich Cyberkriminelle jedes Jahr nach wie vor sehr viel Geld. Denn die Masche wird immer schwieriger zu erkennen – besonders, wenn sich Betrüger von künstlicher Intelligenz helfen lassen.
Die Drahtzieher beim CEO-Fraud sind meist nur schwer zu ermitteln. Um ihre Spuren zu verwischen, lassen sie sich die Beträge meist auf ausländische Konten überweisen und verteilen sie dann schnell weiter
(Quelle: Shutterstock / Gorodenkoff)
CEO-Fraud – auch bekannt als Business E-Mail Compromise (BEC) Fraud oder Fake President Fraud – ist zwar bereits eine etwas ältere Betrugsmasche. Aber sie scheint nach wie vor sehr effektiv zu sein. Cyberkriminellen gelingt es so, jedes Jahr sehr viel Geld zu erbeuten.
Die klassische Vorgehensweise sieht dabei folgendermassen aus: Die Täter weisen beispielsweise im Namen des Firmen- oder Finanzchefs die Buchhaltungsabteilung an, eine Zahlung an ein externes Konto – typischerweise im Ausland – vorzunehmen. Die entsprechende Anweisung verschicken sie von einer gefälschten E-Mail-Adresse aus. Diese ist in der Regel fast oder gar nicht von der echten zu unterscheiden, sodass der Betrugsversuch in der Hektik leicht zu übersehen ist. Oftmals kommen hier auch unternehmensähnliche Domainnamen zum Einsatz. Unter dem Vorwand von geheimen Firmenkäufen oder auch neuen Bankverbindungen werden die Opfer von den Cyberkriminellen angewiesen, die Zahlung im Geheimen möglichst rasch auszuführen. Dabei üben die Betrüger gezielt Druck aus, damit die Person etwa Prozessvorgaben ignoriert oder keine anderen Mitarbeitenden einweiht. Erfundene Berater oder Anwaltskanzleien können hierbei ebenfalls Teil des Szenarios sein, um die Opfer zusätzlich unter Druck zu setzen. Ist die Zahlung schliesslich ausgeführt und das Geld auf dem Empfängerkonto angelangt, wird es in der Regel rasch weiterverteilt, um Spuren zu verwischen.
Akute Gefahr
Dass Kriminelle mit dieser Betrugsmasche schnell und verhältnismässig einfach viel Geld erbeuten, zeigt beispielsweise eine Auswertung vom Internet Crime Complaint Center des FBI. Dessen letzter Internet Crime Report zeigt, dass Cyberkriminalität im Jahr 2019 in den USA einen geschätzten Schaden von rund 3,5 Milliarden US-Dollar verursachte. Der CEO-Fraud war mit knapp 1,8 Milliarden Dollar für mehr als die Hälfte davon verantwortlich.
Laut Max Klaus, dem stellvertretenden Leiter Operative Sicherheit OCS im Nationalen Zentrum für Cybersicherheit NCSC, gingen beim NCSC von Anfang 2020 bis zum Zeitpunkt, als dieser Artikel verfasst wurde, insgesamt 5003 Meldungen bezüglich Betrugsversuchen ein. In 180 Fällen habe es sich dabei um CEO-Fraud gehandelt. «Zu beachten ist, dass es in der Schweiz aktuell keine Meldepflicht für Cybervorfälle gibt und die Dunkelziffer dementsprechend hoch sein kann», gibt Klaus zu bedenken. Hier will der Bundesrat allerdings in Zukunft Anpassungen vornehmen. Er sprach sich jüngst für eine generelle Meldepflicht bei Cyberangriffen aus, gelten soll diese dereinst für Betreiber von kritischen Infrastrukturen (mehr Infos, vgl. Kasten). Wie Klaus weiter ausführt, kann es grundsätzlich fast jede Firma treffen: «Unsere Erfahrung zeigt, dass alle Unternehmen, egal welcher Grösse und aus welcher Branche, von CEO-Fraud betroffen sein können.»
“Unsere Erfahrung zeigt, dass alle Unternehmen, egal welcher Grösse und aus welcher Branche, von CEO-Fraud betroffen sein können„
Max Klaus, Nationales Zentrum für Cybersicherheit (NCSC)
Auch Sonja Meindl, Country Manager Schweiz und Österreich bei der IT-Security-Firma Check Point, zeigt sich überzeugt, dass die Gefahr, einem CEO-Fraud zum Opfer zu fallen, präsent ist und auch zunimmt. «Die Schweizist davon genauso betroffen wie alle anderen Länder – eventuell sogar noch mehr, weil die Wirtschaftskraft im Vergleich sehr hoch ist.»
Grundsatzentscheid
Bundesrat will Meldepflicht einführen
Eine generelle Meldepflicht für Cybervorfälle existiert in der Schweiz derzeit noch nicht. Das soll sich aus Sicht des Bundesrats in Zukunft ändern – zumindest für Betreiber von kritischen Infrastrukturen. Hierzu beauftragte der Bundesrat das Finanzdepartement kürzlich, bis Ende 2021 eine entsprechende Vernehmlassungsvorlage auszuarbeiten. Darin soll geregelt werden, wer innerhalb welcher Frist welche Vorfälle melden muss. Zudem will der Bundesrat eine zentrale Meldestelle schaffen. Die Daten sollen schliesslich genutzt werden, um Frühwarnungen abzusetzen. Informationen über betroffene Firmen sollen allerdings unter Verschluss bleiben.
Informationssuche im Netz
Das Gemeine an der Sache ist, dass Kriminelle viele Informationen über ihre Opfer oder eine spezifische Firma ganz einfach im Internet finden. Soziale Netzwerke wie LinkedIn, auf denen Informationen zu Geschäftsbeziehungen oder auch zur Funktion von Mitarbeitenden zu finden sind, werden laut dem NCSC von Kriminellen besonders gerne genutzt. Das Handelsregister, Beschaffungsplattformen, Jahresberichte oder Firmenwebsites würden ebenfalls dazu dienen, das Lügenkonstrukt aufzubauen. Anhand der Informationen prüften die Täter auch, bei welchen Unternehmen es sich besonders lohnt zuzuschlagen. «Typischerweise informieren sich die Angreifer im Vorfeld von CEO-Fraud eingehend über die finanziellen Möglichkeiten der potenziellen Opfer», sagt Klaus vom NCSC. Und weiter: «Dementsprechend können die Deliktsummen durchaus sehr hoch ausfallen.» Besonders gesucht sind aber natürlich auch die E-Mail-Adressen der Angestellten, die schliesslich die Zahlungen ausführen sollen.
Sind die Daten im Web nicht auffindbar, schrecken die Betrüger nicht davor zurück, die Firmen direkt zu kontaktieren. Das NCSC weiss von Fällen, wo man sich im Namen öffentlicher Verwaltungen an sie wandte. Täter treten gemäss der Bundesstelle manchmal auch direkt in Kontakt mit den Unternehmen, wenn beispielsweise der Chef tatsächlich ausser Haus ist, um glaubwürdiger zu wirken. Hier sei es oftmals nicht einfach herauszufinden, wie sie an diese Informationen gelangten. Möglich sei dies etwa mithilfe von Social-Engineering-Techniken wie Anrufen oder Mails an Mitarbeitende, um die Anwesenheit des Geschäftsleiters abzuklären. Hinweise darauf würden aber auch automatische E-Mail-Antworten liefern.
Kriminelle betreiben mehr Aufwand
Weil es Kriminellen mit diesem Vorgehen regelmässig gelingt, hohe Geldsummen zu erbeuten, schrecken sie auch nicht davor zurück, mehr Aufwand zu betreiben, um ihre Betrugsversuche so gut wie möglich zu tarnen. So berichtet das NCSC, dass teilweise E-Mail-Accounts von Mitarbeitenden oder Führungspersonen gehackt werden. Einerseits kann das kompromittierte Konto eines Mitarbeiters den Tätern zum Sammeln von Informationen dienen, andererseits können vom Account des CEOs schliesslich Nachrichtendirekt an die Person geschickt werden, welche die Zahlung an das Konto der Betrüger ausführen soll.
“Unsere Partner waren aufmerksam und haben zur Sicherheit bei uns nachgefragt„
Marcel Mock, Totemo
Das Vorgehen der Betrüger entspricht allerdings nicht immer dem Drehbuch des «klassischen» CEO-Fraud, bei dem der Fake-Chef eine bestimmte Zahlung veranlasst. Marcel Mock, Chief Technology Officer des E-Mail-Security-Anbieters Totemo, erzählt von einem Fall, bei dem im Namen von Totemo E-Mails an die Vertriebspartner des Unternehmens versendet wurden. Sie seien in diesen über eine angebliche Kontoänderung informiert und angewiesen worden, Zahlungen umzuleiten. «Es war allerdings relativ einfach gemacht, zudem waren unsere Partner aufmerksam und haben zur Sicherheit bei uns nachgefragt», sagt Mock zu diesem Vorfall.
Teure Schäden
Nicht immer fliegen die Betrugsversuche jedoch rechtzeitig auf. Wie die Zuger Polizei beispielsweise im September mitteilte, ist ein dort ansässiges Unternehmen im August mehrmals von Betrügern kontaktiert worden. Im Namen des Geschäftsinhabers forderten sie eine Angestellte dazu auf, Zahlungsaufträge und Rechnungen zu begleichen, was diese schliesslich auch tat. Laut den Schilderungen nahm die Mitarbeiterin insgesamt zwölf Zahlungen an verschiedene Banken im Ausland vor. Den Tätern gelang es so, über 900'000 Franken zu erbeuten.
Ein spektakulärer Vorfall ereignete sich 2018 in den Niederlanden. Damals liessen sich der Chef und der CFO der dortigen Niederlassung der Filmkette Pathé von Betrügern täuschen. Und zwar flatterte beim Geschäftsleiter eine E-Mail ins Postfach, angeblich verschickt vom CEO der Holdinggesellschaft. Unter dem Vorwand eines vertraulichen Prozesses zur Übernahme einer Firma aus Dubai wurde er aufgefordert, die Akquisitionssumme in Tranchen zu überweisen. Nachdem er zunächst noch unsicher war und den CFO um Rat fragte, beschlossen die beiden dann doch, die Beträge zu bezahlen. Dem Vernehmen nach betrug die erste Tranche 900'000 US-Dollar, die zweite dann schon 2,5 Millionen Dollar. Obwohl die Beträge immer höher wurden, leisteten sie den Aufforderungen Folge. Bis jemand Verdacht schöpfte und der Betrug aufflog, hatte man schon 21 Millionen Dollar an die Täter überwiesen. Die beiden Manager wurden daraufhin beurlaubt und schliesslich entlassen.
Deepfakes erschweren die Erkennung
Noch schwieriger, solche Betrugsversuche zu erkennen, wird es für Unternehmen, wenn sich Cyberkriminelle von künstlicher Intelligenz helfen lassen. Mit frei verfügbarer KI-Software lassen sich mittlerweile täuschend echte Fälschungen von Video- und Tonaufnahmen herstellen – auch bekannt als Deepfakes. So kann die Technik beispielsweise eingesetzt werden, um am Telefon die Stimme eines CEOs oder eines Vorstandsmitglieds zu imitieren. «Deepfakes sind eine besondere Herausforderung», sagt deshalb auch Meindl von Check Point. Sie fügt an: «Gerade gefälschte Sprach- oder Videoaufnahmen sind für die Mitarbeiter nur schwer zu erkennen.»
“Deepfakes sind eine besondere Herausforderung„
Sonja Meindl, Check Point
Im Jahr 2019 gelang es Betrügern mit dieser Methode, den CEO einer britischen Firma aus dem Energiesektor in die Irre zu führen. Sie vermittelten ihm in einem Telefonat den Eindruck, dass er sich gerade mit seinem Chef unterhält, dem Geschäftsführer des deutschen Mutterhauses. Die Täter leisteten ganze Arbeit. Später hiess es, dass der britische CEO gar den leichten Akzent des deutschen Managers sowie dessen Stimmmelodie erkennen konnte. Mithilfe der Technik konnten sie dem Energieunternehmen 220'000 Euro abknöpfen.
Wie lässt sich CEO-Fraud verhindern?
Die Attacken und Vorgehensweisen von Cyberkriminellen werden also immer ausgefeilter. Auf seiner Website liefert das NCSC einige Vorschläge, wie man seine Firma auf diese vorbereiten kann (vgl. Kasten). Meindl von Check Point empfiehlt Unternehmen einerseits, die gesamte Belegschaft regelmässig zu schulen, die Möglichkeiten der Hacker aufzuzeigen und die Sensibilität der Mitarbeitenden zu schärfen. Andererseits rät sie zum Einsatz von Cybersecurity-Lösungen. «Es gibt leider immer noch sehr viele Unternehmen, die nur einen sehr kleinen Teil der zur Verfügung stehenden Technologien einsetzen», sagt sie. Das mache es Hackern besonders einfach. In Bezug auf Deepfakes soll gemäss der Country Managerin ein genau definierter Prozess im Cybersecurity-Konzept integriert werden, der unter anderem festlegt:
- Wann von welcher Person welche Aktionen durchgeführt werden dürfen;
- ob eine bestimmte Summe aufgrund des Anrufs eines Vorstands überwiesen werden darf;
- oder ob kritische Daten herausgegeben werden dürfen, weil es dazu eine Videobotschaft des Chefs gibt
Aufmerksamkeit, kritisches Hinterfragen und auch der Einsatz praktischer Sicherheitstechnologien lohnt sich. Denn nur selten werden die Drahtzieher von Betrugsmaschen wie dem CEO-Fraud ausfindig gemacht. Doch manchmal gelingt den Ermittlern trotzdem ein Schlag gegen die Internetkriminalität. Ende November vermeldete Interpol, dass im Rahmen der «Operation Falcon» drei mutmassliche Mitglieder einer Gang verhaftet werden konnten. Ihnen soll es gelungen sein, seit 2017 Bundesstellen sowie private Organisationen aus mehr als 150 Ländern zu kompromittieren. Den Verdächtigen wird die Verbreitung von Malware, Phishing-Kampagnen und eben auch umfangreicher CEO-Fraud vorgeworfen.
Tipps
Drei Massnahmen gegen CEO-Fraud
Laut den Spezialistinnen und Spezialisten des NCSC ist es kaum möglich, den Versand von Betrugs-E-Mails zu verhindern. So liegt es an den Firmen selbst, sich zu schützen und das Personal in exponierten Abteilungen wie der Buchhaltung zu sensibilisieren. Grundsätzlich empfiehlt die Bundesstelle folgende drei Massnahmen:
- Bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Informationen herausgeben und keine Anweisungen befolgen, auch wenn man unter Druck gesetzt wird.
- Unternehmen sollen kontrollieren, welche Informationen über die eigene Firma online zugänglich sind.
- Es sollten Prozesse definiert werden, die alle jederzeit zu befolgen haben. Bei Überweisungen wird beispielsweise ein Vieraugenprinzip mit Kollektivunterschrift empfohlen.