Aktuelles, Branche, Studien - geschrieben von dp am Donnerstag, Mai 27, 2021 20:42 - noch keine Kommentare
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt
Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an
[datensicherheit.de, 27.05.2021] KnowBe4 hat nach eigenen Angaben mittels einer Umfrage untersucht, wie weit das Phänomen „CEO Fraud“ (auch „Business eMail Compromise“ genannt) bekannt ist. Hierzu seien 153 Verbraucher aus Deutschland befragt worden – unter diesen Befragten hätten die wenigsten bereits vorher von „CEO Fraud“ gehört.
CEO Fraud: Oft Anweisung zur Geldüberweisung ins Ausland
Viele Mitarbeiter mit einem E-Mail-Account wüssten nicht, dass „CEO Fraud“ – also „Chef-Betrug“ – eine gängige Angriffstechnik sei. „Bei dieser Methode gibt ein Cyber-Krimineller sich als Chef aus und meldet sich per E-Mail sowie in einigen Fällen auch per verzerrter Stimme per Telefon und verlangt, dass schnellstmöglich bestimmte Aktionen vollzogen werden sollen.“
Der gängige Vorgang sei dabei die Einleitung einer Transaktion auf ein bestimmtes, in der E-Mail angegebenes Konto im Ausland. Über weitere Konten in anderen Ländern werde das gestohlene Geld in empfindlicher Höhe weiter verbucht, bis es für das betroffene Unternehmen nicht mehr nachzuverfolgen sei.
CEO Fraud zum Teil für TikTok-Trend bzw. Videospiel gehalten
Die Ergebnisse der Umfrage machten deutlich, dass die meisten Teilnehmer vor Beantwortung der Befragung nicht gewusst hätten, was „CEO Fraud“ ist: „61 Prozent erfuhren davon durch die Umfrage, 34 Prozent haben bereits in den Medien darüber gelesen und fünf Prozent haben einen solchen Betrugsversuch selbst schon erlebt.“ Das „Internet Crime Compliant Center“ des FBI habe eine weltweite Rangliste veröffentlicht – darin finde man Deutschland auf Platz 8 der am meisten betroffenen Länder durch Cyber-Angriffe (s. „Internet Crime Complaint Center Report“, S.17).
Ebenfalls untersucht worden sei, was die Menschen sich unter „CEO Fraud“ vorstellen. Dabei hätten 71 Prozent die richtige Antwort angegeben, nämlich Betrug durch eine gefälschte E-Mail oder einem Telefonanruf, der vermeintlich vom „CEO“ kommt. 14 Prozent meinten, es sei ein eher unbekanntes EU-Projekt und sogar zwölf Prozent der Befragten hielten „CEO Fraud“ für einen neuen „TikTok“-Trend. Knapp drei Prozent gäben an, „CEO Fraud“ wäre ein beliebtes Videospiel.
Es gibt Abwehrmaßnahmen gegen CEO Fraud
Außerdem sei abgefragt worden, wie „CEO Fraud“ funktioniert. Bei dieser Frage hätten die Teilnehmer mehrere Antworten auswählen können. „60 Prozent lagen mit der Annahme richtig, dass es sich um eine Phishing-E-Mail handelt, die vom E-Mail-Account des Chefs oder der Chefin zu kommen scheint. Ungefähr 41 Prozent hatten auch mit ihrer Antwort recht, dass es sich auch um einen fingierten Telefonanruf handelt, bei dem sich der vermeintliche Chef selbst meldet. 29 Prozent meinten zusätzlich, dass es sich um eine an den Chef gerichtete Spam-Nachricht handelt. Fast zehn Prozent glaubten, der Chef eines Unternehmens würde sich auf Kosten der Firma einen Ferrari leisten.“
Darüber hinaus sei abgefragt worden, durch welche Schutzmaßnahmen sich die Befragten absichern könnten und was im Notfall zu tun wäre. Auch hierzu hätten die Befragten mehrere Antworten angeben können. „Knapp 61 Prozent würden die E-Mail an die IT-Abteilung weiterleiten und nicht auf die Forderungen eingehen. Fast 16 Prozent würden den Anweisungen der gefälschten E-Mail Folge leisten, was fatale Folgen für das Unternehmen hätte. 31 Prozent meinten, sie würden sich vor ihrer Antwort mit einem Kollegen besprechen. Nur 51 Prozent gaben an, dass sie ihren Chef zurückrufen und ihn mit seiner E-Mail oder seinem Anruf konfrontieren würden.“
Mitarbeiter durch Schulungen gegen CEO Fraud sensibilisieren
Zusammenfassend lasse sich festhalten, dass die wenigsten bisher bereits von „CEO Fraud“ gehört hätten und es immer noch zu wenig Verbraucher gebe, die wüssten, wie man sich bei so einem Vorfall richtig verhält. Für Unternehmen sei es deshalb wichtig, die „Last Line of Defense“, den Mitarbeiter, zu schulen und ihn für solche Angriffstechniken zu sensibilisieren, da auch E-Mail-Filter bei weitem nicht alle dieser E-Mails erkennen könnten.
Die Angriffe würden zudem immer raffinierter: Arbeitnehmer – gerade auch im „Home Office“ – seien folglich laufend komplexer werdenden Manipulationstechniken durch „Social Engineering“ ausgesetzt und reagierten möglicherweise unvorsichtig auf E-Mails und Anrufe, welche vom Chef zu kommen scheinen. Schulungen in diesem Bereich seien deshalb eine wichtige Maßnahme, um dieses Einfallstor zu schließen.
Weitere Informationen zum Thema:
Federal Bureau of Investigation
INTERNET CRIME REPORT 2020
datensicherheit.de, 29.04.2020
CEO-Fraud: Whitepaper zur Erkennung und Vermeidung des Chefbetrugs / Präventive Maßnahmen gegen eine der erfolgreichsten Phishing-Attacken-Arten empfohlen
datensicherheit.de, 15.10.2018
CEO-Fraud: Mittelstand unterschätzt Gefahr des Cheftricks / Ein Kommentar von Michael Heuer, VP Central Europe bei Mimecast
datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten / Volumen von gemeldeten Phishing-Nachrichten mit CEO-Fraud-Inhalt verdreifachen sich nahezu / Kriminelle fordern inzwischen persönliche Handynummern von Mitarbeitern an
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren