Was ist CEO-Fraud?

CEO-Fraud (zu Deutsch: CEO-Betrug) fällt unter Phishing, aber anstatt eine populäre Website zu imitieren, geben sich Angreifer als der CEO der Zielorganisation (oder eine andere hochrangige Führungskraft) aus. Manchmal beinhaltet CEO-Betrug auch Social Engineering, aber die meisten Angriffe bestehen aus einer Sammlung an verschiedenen Angriffen statt nur einer einzigen Phishing-Methode. Das Ziel von CEO-Fraud ist es, einen Angestellten davon zu überzeugen, dem Angreifer Geld oder vertrauliche Informationen wie beispielsweise geistiges Eigentum oder Zugangsdaten zu schicken.

Die Phishing-Industrie allein ist schon milliardenschwer, und CEO-Betrug ist ebenfalls ein Scam, der hohe Gewinne abwirft. Das FBI schätzt, dass Business-E-Mail-Compromise (BEC) 26 Milliarden Dollar wert ist und weiter an Popularität gewinnt. Darüber hinaus meldet der FBI-Bericht, dass BEC-Scams inkl. CEO-Fraud zwischen 2018 und 2019 um 100% zugenommen haben.

Bei den Unternehmen, die ins Visier der Angreifer kommen, kann es sich um kleine, mittlere oder große Unternehmen handeln. Die zwei Orte, die am meisten für betrügerische Banktransfers genutzt werden, sind dabei Hong Kong und andere Gebiete Chinas. CEO-Fraud hat es auf Unternehmen in mehreren Ländern abgesehen: Das FBI meldet Opfer in 177 Ländern und die Banken, über die die Scams abgewickelt wurden, kamen aus ungefähr 140 Ländern.

Das Spoofen von E-Mail-Adressen und Phishing sind die zwei hauptsächlichen Angriffsmethoden bei CEO-Fraud, aber um größere Zahlungen zu erreichen, wird oft auch Social Engineering angewendet. Das Auskundschaften von Unternehmenswebseiten und LinkedIn gibt Angreifern eine Menge an Informationen über die Organisation, ihre Angestellten, die Namen und E-Mail-Adressen von Führungskräften und erlvhrd Rechnungssystem sie nutzt. Typischerweise geht die Phishing-E-Mail an Angestellte in spezifischen Abteilungen wie HR oder Finanzabrechnung.

Zum Beispiel kann ein Angreifer einen Domain-Namen mit einer leicht anderen Schreibweise als die offizielle Unternehmensdomain registrieren. Dann schickt der Angreifer eine E-Mail mit dem Namen des CEOs an einen Angestellten, der mit der Abrechnung betraut ist, und bringt ihn dazu, Geld an ein vom Angreifer kontrolliertes Bankkonto zu schicken. Um das Gefühl der Dringlichkeit zu verstärken, könnte der Angreifer Social Engineering nutzen und den anvisierten Mitarbeiter anrufen und vorgeben, ein Repräsentant der Organisation zu sein, zum Beispiel ein Buchhalter.

Ein raffinierter Angriff kann einer Organisation finanzielle Verluste in Millionenhöhe einbringen. Mehrere Organisationen haben bereits Millionen an CEO-Fraud und Whaling verloren. Dabei kommen die Verluste entweder durch mehrere Angriffe mit kleineren Zahlungen zustande, oder aber – was häufiger vorkommt – durch die Überweisung sechs- oder siebenstelliger Summen in einem einzigen Angriff.

Finanzielle Verluste sind jedoch nicht die einzigen Auswirkungen. Manche Angreifer, die es auf HR-Abteilungen abgesehen haben, überzeugen Angestellte davon, personenbezogene Daten herauszugeben, die sie später für Bankbetrug oder Identitätsdiebstahl nutzen. Die meisten Compliance-Vorschriften verpflichten Organisationen, Kunden über eine Datenpanne zu informieren, wodurch CEO-Fraud zu einem Imageschaden an der Marke und Gerichtskosten führen kann. Angestellte, die auf CEO-Fraud hereinfallen, riskieren den Verlust ihres Jobs, insbesondere wenn die Zielperson selbst eine Führungskraft war.

CEO-Fraud gilt als ein ausgeklügelter Angriff. Der erste Schritt ist, eine geeignete Organisation ausfindig zu machen. Ein Angreifer durchsucht dazu die Website einer möglichen Zielorganisation nach Grafiken und Informationen zur Teamstruktur, inklusive der Namen von Führungspersonen und assoziierter Angestellter. Die Reconnaissance-Phase kann mehrere Tage andauern und endet dann, wenn der Angreifer genug Informationen gesammelt hat, um die nächsten Schritte durchzuführen.

Steht die Zielorganisation fest, registriert der Angreifer als nächstes eine Domain, die ähnlich aussieht wie der offizielle Domainname der Organisation. Sobald die Domain registriert ist, erstellt der Angreifer eine E-Mail-Adresse mit dem Namen des CEOs oder einer anderen hochrangigen Führungskraft. Anschließend schickt er eine E-Mail an den Ziel-Nutzer, um den Erstkontakt herzustellen und den Nutzer anzuweisen, Geld zu schicken.

Die meisten Angestellten in HR- und Finanzabteilungen sind darin geschult, eine Phishing-E-Mail zu erkennen, aber Angreifer nutzen sehr überzeugende Methoden, um ausgehend von einer hochrangigen Führungsperson ein Gefühl der Dringlichkeit zu vermitteln. Wenn der Nutzer den falschen Domain-Namen nicht erkennt, kann er zum Opfer werden und entweder Geld überweisen oder sensible Informationen preisgeben.

Angreifer haben zwei primäre Angriffsziele für CEO-Fraud: hochrangige Führungspersonen mit Zugang zu sensiblen Informationen oder Angestellte, die autorisiert sind, Überweisungen zu tätigen. Üblicherweise sind CFOs, CEOs, COOs oder andere hochrangige Führungskräfte die Zielpersonen, aber prinzipiell sollte jede Führungskraft wissen, welche Phishing- und Social-Engineering-Methoden Angreifer anwenden.

Wenn es um Cybersicherheit geht, haben Angreifer größere Erfolgschancen, wenn sie einen Mitarbeiter aus dem nahen Umfeld der Zielperson anschreiben. Denn Angreifer wissen, dass hochrangige Führungskräfte darin geschult sind, Bedrohungen wie Phishing zu erkennen, weshalb sie auf Angestellte ausweichen, die leichter manipuliert werden können. Dieser Angestellte kann selbst bereits über eine ausreichende Autorisierung verfügen, um Banküberweisungen durchzuführen, oder der Angreifer stiehlt die Zugangsdaten des Mitarbeiters und holt sich weitere Berechtigungen, sobald er einmal in der Umgebung ist.

Der größte Trick bei jedem Phishing-Angriff ist, ein Gefühl der Dringlichkeit zu erzwingen. Hat eine Zielperson Zeit, darüber nachzudenken, was gerade passiert, kann sie möglicherweise auf die Idee kommen, dass es sich um einen Scam handelt. Der Angreifer nutzt eine gespoofte E-Mail-Adresse oder erstellt eine legitime E-Mail, die der offiziellen täuschend ähnlichsieht. Durch das Gefühl der Dringlichkeit übersieht die Zielperson möglicherweise viele Alarmzeichen.

Keine andere Komponente funktioniert so gut wie das Anspielen auf Ängste des Nutzers, insbesondere wenn der Nutzer denkt, der CEO verlange Geld. Die E-Mail muss nicht lang oder gut geschrieben sein, denn das Gefühl der Dringlichkeit führt dazu, dass der Nutzer diese Dinge ignoriert. Alle diese Angriffe zielen darauf ab, Geld oder sensible Informationen vom Opfer zu ergaunern.

Wenn die Organisation über ein eigenes Sicherheitsteam verfügt, ist der erste Schritt bei CEO-Fraud, den Vorfall an eine Person zu melden, die mit Cybersicherheit betraut ist. Gibt es kein eigenes Sicherheitsteam, kann das Opfer den Vorfall an die Operations-Abteilung melden. Dort kann die E-Mail ausgewertet und zukünftige E-Mails vom selben Absender blockiert werden. Operations- oder Cybersicherheitspersonal sollten andere Mitarbeiter benachrichtigen, damit diese über die aktuelle Bedrohung Bescheid wissen.

Falls die Probleme nicht nachlassen oder bereits Geld an einen Angreifer überwiesen wurde, sollten Sie sofort Ihre Bank kontaktieren. In manchen Fällen können Banken der Organisation helfen, alle oder einen Teil der Zahlungen zurückzubekommen. Zu diesem Zeitpunkt sollten auch Strafverfolgungsbehörden eingeschaltet werden, damit diese ein Ermittlungsverfahren einleiten können. In vielen Fällen müssen Sie auch aus Versicherungsgründen eine Anzeige stellen.

Sowohl kleine als auch große Unternehmen können CEO-Fraud zum Opfer fallen, aber bei größeren Organisationen stehen bei einer erfolgreichen Bedrohung gleich Millionen auf dem Spiel. Ein Beispiel ist der CFO von Xoom, der Opfer von CEO-Betrug wurde und über 30 Millionen Dollar an Offshore-Bankkonten überwies, bevor ihm bewusst wurde, dass es sich um einen Scam handelte. Der CFO war gezwungen, das Unternehmen zu verlassen.

Ein anderes Unternehmen ebenfalls aus San Francisco, Ubiquiti, ging ebenfalls CEO-Fraud auf den Leim und überwies mehr als 46 Millionen Dollar auf Offshore-Konten der Angreifer. Bei diesem Angriff gelang es Ubiquiti, in Zusammenarbeit mit Banken und der Polizei ungefähr 10 Millionen Dollar zurückzubekommen, jedoch blieben sie am Ende auf einem Verlust von 30 Millionen Dollar sitzen.

Cyberangriffe sind aus der Sicht von Angreifern eine mehrere Milliarden schwere Branche, aber Organisationen und deren Mitarbeiter können mehrere Schritte unternehmen, um Schäden zu verhindern:

• Erfassen Sie alle Nutzer mit einem erhöhten Risiko (z.B. Finanz- und HR-Angestellte) und schulen Sie diese im Erkennen und Melden von Angriffen.
• Setzen Sie Zugangs- und Cybersicherheitskontrollen ein, die dazu beitragen, schädliche E-Mails zu stoppen (z.B. E-Mail-Filter und DMARC).
• Nutzen Sie Sicherheitsrichtlinien, um Banküberweisungen zu verhindern, die aufgrund einer einzigen E-Mail veranlasst wurden.
• Integrieren Sie Finanz- und Cybersicherheitsstandards, um laufende Angriffe zu erkennen.
• Gehen Sie davon aus, dass Risiken sich dynamisch entwickeln, und stellen Sie sicher, dass neue und bestehende Mitarbeiter kontinuierlich geschult werden.
• Verschicken Sie simulierte Social-Engineering-E-Mails und Phishing-Tests an Nutzer, um sie zu schulen.
• Halten Sie sich stets auf dem neuesten Stand über aktuelle Entwicklungen und neue Warnzeichen im Bereich CEO-Betrug.

Zu wissen, wie Sie CEO-Betrug am besten verhindern, ist ein Vollzeitjob, aber Proofpoint kann Ihnen dabei helfen. Hier sind einige der Möglichkeiten, wie Proofpoint Sie darin unterstützen kann, sich vor Phishing und Social Engineering zu schützen.

• E-Mail-Fraud Defense: Integriertes Maschinenlernen und Künstliche Intelligenz erkennt und stoppt E-Mail-Betrug zuverlässiger als Standard-E-Mail-Sicherheit. Proofpoints E-Mail-Sicherheit fügt Ihren ein- und ausgehenden E-Mail-Technologien außerdem DMARC hinzu. Die Plattform gibt Administratoren einen komplette Einblick in alle E-Mails der Organisation, sodass sie Bedrohungen besser erkennen und bewerten können.
• Security Awareness Training: Bei Phishing-Angriffen sind es menschliche Fehler, die Datenverletzungen verursachen, aber Sie können Mitarbeiter schulen, damit sie nicht das nächste Opfer werden. Proofpoint nutzt Beispiele aus dem echten Leben, um Angestellte weiterzubilden und der Organisation zu helfen, Risiken zu reduzieren und Weiterbildungspotentiale auf Seiten der Mitarbeiter zu identifizieren.
• E-Mail-Sicherheit und -Schutz: Schädliche E-Mails und Malware sind ebenfalls E-Mail-Bedrohungen, die Proofpoints E-Mail-Sicherheit erkennt und stoppt. Dabei kommt eine Machine-Learning-Technologie namens NexusAI zum Einsatz. Proofpoints E-Mail-Sicherheit analysiert Nachrichtenheader, IP-Adressen der Absender und Nachrichteninhalte, um schädliche Nachrichten zu erkennen und abzuwehren.