CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt

Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an

[datensicherheit.de, 27.05.2021] KnowBe4 hat nach eigenen Angaben mittels einer Umfrage untersucht, wie weit das Phänomen „CEO Fraud“ (auch „Business eMail Compromise“ genannt) bekannt ist. Hierzu seien 153 Verbraucher aus Deutschland befragt worden – unter diesen Befragten hätten die wenigsten bereits vorher von „CEO Fraud“ gehört.

CEO Fraud: Oft Anweisung zur Geldüberweisung ins Ausland

Viele Mitarbeiter mit einem E-Mail-Account wüssten nicht, dass „CEO Fraud“ – also „Chef-Betrug“ – eine gängige Angriffstechnik sei. „Bei dieser Methode gibt ein Cyber-Krimineller sich als Chef aus und meldet sich per E-Mail sowie in einigen Fällen auch per verzerrter Stimme per Telefon und verlangt, dass schnellstmöglich bestimmte Aktionen vollzogen werden sollen.“
Der gängige Vorgang sei dabei die Einleitung einer Transaktion auf ein bestimmtes, in der E-Mail angegebenes Konto im Ausland. Über weitere Konten in anderen Ländern werde das gestohlene Geld in empfindlicher Höhe weiter verbucht, bis es für das betroffene Unternehmen nicht mehr nachzuverfolgen sei.

CEO Fraud zum Teil für TikTok-Trend bzw. Videospiel gehalten

Die Ergebnisse der Umfrage machten deutlich, dass die meisten Teilnehmer vor Beantwortung der Befragung nicht gewusst hätten, was „CEO Fraud“ ist: „61 Prozent erfuhren davon durch die Umfrage, 34 Prozent haben bereits in den Medien darüber gelesen und fünf Prozent haben einen solchen Betrugsversuch selbst schon erlebt.“ Das „Internet Crime Compliant Center“ des FBI habe eine weltweite Rangliste veröffentlicht – darin finde man Deutschland auf Platz 8 der am meisten betroffenen Länder durch Cyber-Angriffe (s. „Internet Crime Complaint Center Report“, S.17).
Ebenfalls untersucht worden sei, was die Menschen sich unter „CEO Fraud“ vorstellen. Dabei hätten 71 Prozent die richtige Antwort angegeben, nämlich Betrug durch eine gefälschte E-Mail oder einem Telefonanruf, der vermeintlich vom „CEO“ kommt. 14 Prozent meinten, es sei ein eher unbekanntes EU-Projekt und sogar zwölf Prozent der Befragten hielten „CEO Fraud“ für einen neuen „TikTok“-Trend. Knapp drei Prozent gäben an, „CEO Fraud“ wäre ein beliebtes Videospiel.

Es gibt Abwehrmaßnahmen gegen CEO Fraud

Außerdem sei abgefragt worden, wie „CEO Fraud“ funktioniert. Bei dieser Frage hätten die Teilnehmer mehrere Antworten auswählen können. „60 Prozent lagen mit der Annahme richtig, dass es sich um eine Phishing-E-Mail handelt, die vom E-Mail-Account des Chefs oder der Chefin zu kommen scheint. Ungefähr 41 Prozent hatten auch mit ihrer Antwort recht, dass es sich auch um einen fingierten Telefonanruf handelt, bei dem sich der vermeintliche Chef selbst meldet. 29 Prozent meinten zusätzlich, dass es sich um eine an den Chef gerichtete Spam-Nachricht handelt. Fast zehn Prozent glaubten, der Chef eines Unternehmens würde sich auf Kosten der Firma einen Ferrari leisten.“
Darüber hinaus sei abgefragt worden, durch welche Schutzmaßnahmen sich die Befragten absichern könnten und was im Notfall zu tun wäre. Auch hierzu hätten die Befragten mehrere Antworten angeben können. „Knapp 61 Prozent würden die E-Mail an die IT-Abteilung weiterleiten und nicht auf die Forderungen eingehen. Fast 16 Prozent würden den Anweisungen der gefälschten E-Mail Folge leisten, was fatale Folgen für das Unternehmen hätte. 31 Prozent meinten, sie würden sich vor ihrer Antwort mit einem Kollegen besprechen. Nur 51 Prozent gaben an, dass sie ihren Chef zurückrufen und ihn mit seiner E-Mail oder seinem Anruf konfrontieren würden.“

Mitarbeiter durch Schulungen gegen CEO Fraud sensibilisieren

Zusammenfassend lasse sich festhalten, dass die wenigsten bisher bereits von „CEO Fraud“ gehört hätten und es immer noch zu wenig Verbraucher gebe, die wüssten, wie man sich bei so einem Vorfall richtig verhält. Für Unternehmen sei es deshalb wichtig, die „Last Line of Defense“, den Mitarbeiter, zu schulen und ihn für solche Angriffstechniken zu sensibilisieren, da auch E-Mail-Filter bei weitem nicht alle dieser E-Mails erkennen könnten.
Die Angriffe würden zudem immer raffinierter: Arbeitnehmer – gerade auch im „Home Office“ – seien folglich laufend komplexer werdenden Manipulationstechniken durch „Social Engineering“ ausgesetzt und reagierten möglicherweise unvorsichtig auf E-Mails und Anrufe, welche vom Chef zu kommen scheinen. Schulungen in diesem Bereich seien deshalb eine wichtige Maßnahme, um dieses Einfallstor zu schließen.

Weitere Informationen zum Thema:

Federal Bureau of Investigation
INTERNET CRIME REPORT 2020

datensicherheit.de, 29.04.2020
CEO-Fraud: Whitepaper zur Erkennung und Vermeidung des Chefbetrugs / Präventive Maßnahmen gegen eine der erfolgreichsten Phishing-Attacken-Arten empfohlen

datensicherheit.de, 15.10.2018
CEO-Fraud: Mittelstand unterschätzt Gefahr des Cheftricks / Ein Kommentar von Michael Heuer, VP Central Europe bei Mimecast

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten / Volumen von gemeldeten Phishing-Nachrichten mit CEO-Fraud-Inhalt verdreifachen sich nahezu / Kriminelle fordern inzwischen persönliche Handynummern von Mitarbeitern an