Der Trick mit dem Chef und angeblichen, geheimen Transaktionen

30.11.2016
G DATA Blog

Sogenannter CEO-Fraud oder Chefbetrug hat bereits einige Firmen hart getroffen und zu millionenschweren Verlusten geführt. Zum Jahresende stehen die Buchhaltungen in Unternehmen besonders unter Druck, daher wird jetzt verstärkt mit Angriffen gerechnet. Auch G DATA wäre jüngst davon betroffen gewesen, wenn die Mitarbeiter nicht aufmerksam und souverän reagiert hätten.

Es gibt viele Begriffe für eine solche Attacke: CEO-Fraud, Fake President Vorfall, Cheftrick und mehr. Dabei gibt es auch eine steigende Zahl der Opfer. Ein prominentes Beispiel: FACC, österreichischer Zulieferer für die Luftfahrtindustrie, wurde im Mai 2016 Opfer eines ausgeklügelten Angriffs, verlor dabei 41,9 Millionen Euro. Nun wurde ein ähnlicher Angriff auch bei G DATA in Bochum versucht.

Der Social Engineering Angriff gegen G DATA

In aller Regel nehmen die Täter Kontakt per E-Mail auf. Sie besorgen sich Informationen über die Mitarbeiter, die für ihr Vorhaben nützlich sein können und treten dann in den Dialog mit ihnen, häufig getarnt als Vorstand der Firma. 

Im aktuellen Fall suchten die Angreifer sich G DATAs Managing Director Kai Figge und den Head of Finance Christoph Budke als potentielle Marionetten ihres Angriffs aus. Es ist nicht auszuschließen, dass die Wahl nach einer Internetrecherche auf diese beiden Personen fiel, denn die G DATA Homepage listet sie als verantwortlich für die Finanzen der Firma aus.

So geben sich die Angreifer als Vorstandsmitglied Kai Figge aus und schreiben eine E-Mail an Christoph Budke:

Einige Details, auf die sich ein Blick lohnt:

  • Ist die Absender-Domain die der Firma?
    • Ja? Das kann eine Fälschung sein! Angreifer können Absenderadressen manipulieren.
    • Nein? Dann ist einmal mehr äußerste Vorsicht geboten.
  • Stimmt die Anrede? Wie ist die normale Anrede im Unternehmen? Duzt man sich oder spricht man sein Gegenüber formell an?
  • „Kann ich auf Sie zählen?“ Mit Social Engineering versuchen die Angreifer dem Empfänger bewusst zu machen, wie besonders dieses Anliegen ist. Der Angestellte soll sich geschmeichelt fühlen, dass er für diese Aufgabe ausgewählt wurde.
  • „Von meinem iPhone gesendet“ ist ein interessanter Einwurf.
    • Besitzt der Absender real das erwähnte Telefon?
    • Erlaubt die Firmen-Policy die Benutzung von E-Mails auf dem Gerät?
    • Würde der Absender eine solch wichtige Mail über das Mobiltelefon schreiben und das auch kennzeichnen?

Unsere Mitarbeiter sind auf diese Masche nicht hereingefallen und haben sich bei Ihrem Vorstand gemeldet. Sofort war klar: diesen Fall müssen wir zur Anzeige bringen. Die Ermittlungen laufen.

Was wäre gewesen wenn…?

Hätte der Mitarbeiter das Vertrauen in den vermeintlichen Vorstands-Absender gefasst hat, hätten die Angreifer ihn dann darum gebeten Gelder auf ein Konto oder gar mehrere Konten zu überweisen. Beispielsweise würden noch geheime Firmenübernahmen als Gründe vorgeschoben, von denen im Unternehmen noch kaum einer wisse. Auch die Akquise von neuen Bürogebäuden oder Maschinen könnte als fadenscheiniger Grund vorgeschoben werden. Die Transaktionen würden selbstverständlich als sehr dringlich eingestuft, da Fristen einzuhalten wären, etc. Eine Nichteinhaltung könnte dem Unternehmen extrem schaden und so weiter und so fort. Die erfundenen Geschichten sind vielfältigster Natur und immer sehr gut organisiert.

Lesen Sie im G DATA Ratgeber „Was ist eigentlich… Social Engineering?“ 
wie die Angreifer Informationen über die Opfer ergattern.

Wer ist betroffen und was ist zu tun?

Die Beispiele von FACC und auch G DATA zeigen einmal mehr, dass die Angriffs-Masche nicht auf eine Industrie oder eine Unternehmensgröße beschränkt ist. Gerade KMUs stehen im Fokus der Angreifer, da hier die Sicherungsmechanismen unter Umständen nicht ausgeprägt sind.

Weltweit melden Versicherungsunternehmen, dass die Schäden durch Cheftricks zunehmen. Auch das BSI hat im Rahmen der Allianz für Cybersicherheit zu diesem Thema Stellung genommen und erwartet zum Jahresende eine Welle von CEO-Fraud.

Gerade jetzt, zum Jahresende, herrscht Hochbetrieb in den Finanzabteilungen der Unternehmen. Alle konzentrieren sich auf fällige Jahresabschlüsse, Bilanzen und Reports. In dieser Zeit mag es möglich sein, dass eine solche Masche erfolgreicher sein kann, da die Mitarbeiter unter Stress stehen und ihre volle Aufmerksamkeit auf andere Dinge richten. Im Allgemeinen werden sich Mitarbeiter vielleicht auch nicht zwingend wundern, wenn ein Vorgesetzter sie zu einer vertraulichen Aufgabe hinzuzieht, sofern das in der Firma so gelebt wird. Ein weiterer Faktor, der die Anfälligkeit zum Jahresende begünstigt: Einige der Vorgesetzten sind vielleicht gar nicht im Büro, sondern auf Dienstreise oder im Urlaub – das erschwert das Nachfragen.

Technischer Schutz allein hilft nicht

Angriffe dieser Art gegen Unternehmen häufen sich und leider ist ein technischer Schutz alleine hier nicht ausreichend. Selbstverständlich sollten Sie mit technischen Maßnahmen dafür sorgen, dass niemand an ihr internes Netzwerk gelangt und Daten ausspioniert, doch der Faktor Mensch spielt in der aktuellen Risikobewertung eine mindestens ebenso wichtige Rolle!

  • Die Mitarbeiter müssen für einen solchen Vorfall sensibilisiert werden und sie müssen das Bewusstsein dafür haben, dass so ein versuchter Betrugsfall eintreten kann. Dabei sind die Angreifer in aller Regel keine Amateure, sondern gewiefte Trickbetrüger. Neben der Installation einer umfassenden Sicherheitslösung raten wir zu folgenden Vorsichtsmaßnahmen:
  • Überlegen Sie gut, welche Informationen Sie über ihre Mitarbeiter und Firmenstrukturen öffentlich abbilden. Machen Sie sich bewusst, dass die Informationen gegen Sie verwendet werden könnten.
  • Schulen Sie die Mitarbeiter darin, sich keine Informationen entlocken zu lassen. Dazu gehören Durchwahlen, Namen in Verbindung mit Zuständigkeiten, Abwesenheitszeiten und viele mehr. Besonders die Kollegen mit direktem Kundenkontakt sind naturgemäß in der Schusslinie.
  • Informieren Sie Ihre Mitarbeiter über die Masche und sprechen Sie Ihnen Vertrauen aus
    • Ermutigen Sie die Mitarbeiter dazu, Ungereimtheiten zu melden, auch über Hierarchiegrenzen hinweg.
    • Erklären Sie, dass sie mögliche betrügerische E-Mail-Anweisungen wie etwa „Das muss unter uns bleiben, sprechen Sie mich nicht persönlich darauf an“ hinterfragen. Machen Sie ihnen Mut, Fragen zu stellen, um das Unternehmen zu schützen. 
  • Sichern Sie interne Abläufe beim Geldtransfer ab. Richten Sie ein Vier-Augen Prinzip bei Transaktionen hoher Geldbeträge ein. 
  • Erstellen Sie einen Plan, der Sie im Schadensfall über die vorzunehmenden Schritte informiert 
  • Nehmen Sie Kontakt zu Ihrer Hausbank auf und vereinbaren Sie z.B. niedrigere Schwellen für Rückfragen bei Überweisungs-Anomalien oder andere Maßnahmen. Banken bemerken ungewöhnliche Transaktionen in der Regel und sind oft sogar in der Lage, transferierte Gelder in letzter Minute einzufrieren oder sogar wieder zurückzuholen. Dafür muss nach einem Vorfall schnell gehandelt werden.
  • Wenn Sie Opfer eines solchen Angriffs wurden – egal ob er erfolgreich verlaufen ist oder sie ihn entlarvt haben – schalten sie die Polizei ein!

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein