CEO Fraud
Wenn Hacker Chef spielen
Pascal Cronauer ist Country Manager DACH bei LogPoint und Experte für SIEM-Systeme und Sicherheits-Monitoring sowie Netzwerkanalyse. Er ist an der Umsetzung von Projekten in DACH branchenübergreifend tätig und hält auf wichtigen Kongressen und Messen regelmäßig Vorträge. Der gebürtige Bayer hat Informatik mit Schwerpunkt IT-Sicherheit an den Universitäten Hagenberg und Salzburg studiert.
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
So funktioniert CEO Fraud
Vor dem CEO Fraud gilt es für Cyberkriminelle erst einmal, Vorarbeit zu leisten. Diese Vorarbeit kennen Sie vielleicht: Social Engineering. Zunächst sammeln die Hacker im Netz, auf Unternehmens-Homepages und auf Social-Media-Kanälen so viele Informationen über ihr konkretes Opfer, dessen Chef und das Unternehmen, wie nur möglich. Um diese Infos zu verifizieren und feststellen zu können, ob sich die "Zielperson" an ihrem Arbeitsplatz befindet, rufen die Hacker diese oft auch einfach an. Dabei schrecken die Kriminellen vor Nichts zurück: Auch Notfallsituationen werden am Telefon vorgetäuscht, wenn es der schnellste Weg ist, um an die benötigten Daten zu kommen.
Im nächsten Schritt kompromittieren die Angreifer dann den E-Mail-Account des CEOs oder nutzen eine Domäne, die der des Unternehmens täuschend ähnlich sieht. Mithilfe der zuvor recherchierten Informationen ahmen sie nun den Kommunikationsstil des Geschäftsführers nach, um die Fake-E-Mail so glaubwürdig wie möglich klingen zu lassen. Teilweise nehmen kriminelle Hacker sogar im Vorfeld Kontakt mit den Betroffenen auf, um ein Vertrauensverhältnis vorzutäuschen.
Ist dieser Schritt absolviert, kann der eigentliche Betrug beginnen: Die Hacker senden die vermeintlich echte Nachricht im Namen des CEOs ab und geben die Anweisung, eine größere Summe auf ein externes Konto zu überweisen. Besonders perfide: Im Regelfall verpflichten die Betrüger ihre Opfer auch noch zu Stillschweigen über die Transaktion. Den meisten Fällen von CEO Fraud gehen längere E-Mail-Korrespondenzen voraus - was wiederum zeigt, wie raffiniert die Hacker arbeiten.
- Social Engineering bekämpfen
Die Gefahren durch Social Engineering treffen sogar erfahrene IT-Profis. Auch wenn es keine Standard-Gegenmittel gibt, geht es in erster Linie darum, die Methoden der Angreifer zu verstehen. Dann ist der Kampf schon halb gewonnen. Wir zeigen sieben perfide Wege, über die Social Engineers an ihre Daten und ihr Geld wollen. - Der "vergessene" USB-Stick
Oops, da hat doch glatt jemand einen Stick liegengelassen. Na, wollen wir mal schnell schauen, wem er gehört - also am besten eben an den Rechner gesteckt ... <br /><br />Dieser alte Bauerntrick ist immer noch einer der erfolgreichsten Angriffe auf Unternehmen. Auch wenn Microsoft beispielsweise das automatische Starten von Anwendungen auf USB-Sticks unter Windows unterbindet, helfen kreative, Neugier weckende Dateinamen enorm, unvorsichtige Mitarbeiter zum Klicken zu bewegen. Unternehmen bleibt nur, USB-Ports komplett zu sperren oder - sinnvoller - ihre Mitarbeiter entsprechend zu schulen. - Perfekt gefälschte Phishing-Mails
Den meisten Phishing-Mails sieht man ihre Herkunft: Schlecht formatiert, grausame Ausdrucksweise, billiges Zum-Klicken-Auffordern. Dennoch gibt es immer wieder Exemplare, die vortäuschen, von der Bank, der Krankenkasse, der Versicherung oder der Personalabteilung zu kommen und die ängstliche Mitarbeiter schnell am Haken haben. Dann genügt ein Klick, un das gesamte Unternehmensnetz ist infiziert. Dabei ist es gar nicht so schwer, Phishing-Mails zu erkennen - und seien sie noch so gut gemacht. Sobald das Ziel der Mail ist, einen Link zu klicken, persönliche Daten zu überprüfen oder einzugeben, sollte die Mail ganz schnell in Ablage P landen. - Mails von "Freunden" und "Kollegen"
Im Gegensatz zum generischen Phishing richtet sich Spear Phishing ganz gezielt gegen Einzelne oder eine kleine Gruppe von Menschen. Beliebt unter Angreifern ist es, in sozialen Netzen nach Opfern Ausschau zu halten, sie nach ihren Hobbys und Tätigkeiten auszuspionieren. Anschließend werden maßgefertigte Phishing-Mails entworfen und versendet - hier stimmt die Anrede, der Name der adressierten Firma und häufig auch der Anhang, der als Brief eines Arbeitskollegen oder flüchtigen Bekannten getarnt wird. Der Erfolg dieser Aktion ist natürlich höher als beim generischen Phishing. Was hilft? Konsequentes Misstrauen, persönliches Nachfragen beim vermeintlichen Absender und das Ignorieren aller E-Mail-Anhänge. - Telefonanrufe
Talentierte Angreifer schaffen es spielend, per Telefon persönliche Informationen aus einem Menschen herauszukitzeln, ohne dass dieser es überhaupt mitbekommt. Wer also von der "IT-Abteilung" angerufen wird, um ein Passwort zu verifizieren oder von der "Versicherung", seine Adresse zu bestätigen, sollte vor allem eins tun: Sich die Nummer aufschreiben und den sofortigen Rückruf anbieten. Alternativ den Anrufer über die Dinge ausfragen, die der bereits wissen müsste, wenn er der ist, für den er sich ausgibt. Grundsätzlich gilt: Sensible Informationen, vor allem Passwörter, niemals per Telefon weitergeben! - Physische Sicherheit des Büros
Ziehen Sie die typische Kleidung einer Firma an, tun Sie so, als gehörten Sie dazu und schmuggeln Sie sich in die Mitarbeitergruppe, die gerade aus der Raucherpause zurück ins Innere des Unternehmensgebäudes bummelt. Zack, schon sind Sie drin!<br /><br /> Da kann die Technik noch so sicher sein, gegen solches unbefugtes Eindringen sind vor allem große Unternehmen oft schlecht gefeilt, weil dort eben nicht jeder jeden kennt. Bläuen Sie Ihren (Empfangs-)Mitarbeitern ein, dass sie nach gefälschten Mitarbeiterausweisen Ausschau halten und sich gerade unbekannte Personen genauer ansehen. - Der freundliche Supportmitarbeiter
Ihn hatten wir schon beim Punkt "Telefonanrufe". Der Fake-Anruf aus dem IT-Support oder direkt vom Hersteller, weil das letzte Update des Betriebssystems noch final verifiziert werden muss, etwas mit der Systemkonfiguration nicht stimmt oder der bestellte neue Rechner gleich kommt und vorher noch etwas am alten System zu tun ist. Sobald jemand den Fremdzugriff (Remote Access) auf Ihren Computer haben möchte, sollte er einen guten Grund haben. Und nein, Microsoft ruft niemanden persönlich an, um etwas bei Windows zu korrigieren. Sagen Sie das den Mitarbeitern!
Wie Sie CEO Fraud erkennen
Ein Ansatz der Bedrohung durch CEO Fraud entgegenzuwirken, ist die Nutzung von Log-Analysen. Mithilfe entsprechender Software Tools lassen sich betrügerische E-Mails entlarven, bevor sie Schaden anrichten können. Ein solches Tool sollte folgende Betrugsmaschen entlarven können:
Domains mit verdächtigen Zeichen;
E-Mail-Anfragen aus gefährlichen Quellen;
verdächtige Betreffzeilen.
Die wichtigste Funktion einer solchen Lösung sollte alllerdings darin bestehen, E-Mails oder E-Mail-Serien heraus zu filtern, die durch folgende Attribute gekennzeichnet sind:
der Absender scheint ein Manager oder eine Führungskraft zu sein;
ungewöhnliche Domains der Absenderadresse (diese kann in vielen Fällen aus der Message-ID extrahiert werden);
der Client oder Server von dem die E-Mail-Nachricht stammt, ist nicht vertrauenswürdig.
Auch wenn technische Hilfsmittel wie Log-Management oder Sicherheits-Monitoring zur Lösung des Problems beitragen können: Unternehmen und ganz besonders deren Mitarbeiter sollten stets wachsam bleiben. Damit das künftig besser klappt, hat das BSI eine Liste mit Handlungsempfehlungen veröffentlicht, die Ihnen dabei helfen sollen, sich offline gegen die CEO-Fraud-Gefahr zu wappnen:
Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken;
Unternehmen sollten ihre Mitarbeiter für diese und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen;
Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen (Vier-Augen-Prinzip oder unbedingte telefonische Verifizierung durch eine Ressource im Unternehmen);
Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail;
Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber;
Informieren Sie die Geschäftsleitung oder Ihren Vorgesetzten.
CEO Fraud ist und bleibt ein wichtiges Thema. Einerseits weil der Schaden für Unternehmen unter Umständen existenzbedrohend ausfallen kann, andererseits weil er für kriminelle Hacker ein höchst lukratives Geschäftsmodell darstellt. Technische Maßnahmen tragen zwar zur Lösung des Problems bei - allerdings sollten Unternehmen parallel dazu unbedingt das Sicherheitsbewusstsein ihrer Mitarbeiter schärfen.