Achtung vor dem „Geschäftsführer“-Betrug

CEO-FRAUD: Wenn sich Betrüger als Ihr CEO ausgeben.

CEO? Was ist das? Gem. Wikipedia: „Chief Executive Officer (CEO) ist die US-amerikanische Bezeichnung für das geschäftsführende Vorstandsmitglied (deutsche, schweizerische und österreichische Bezeichnung: Geschäftsführer)…“

Um CEO-Betrug/Business Email Compromise (BEC) handelt es sich, wenn ein Mitarbeiter mit Zahlungsvollmacht durch einen Trick dazu gebracht wird, eine fiktive Rechnung zu bezahlen oder eine nicht genehmigte Überweisung vom Firmenkonto vorzunehmen.

Wie funktioniert das?

Die Methode macht sich das Bestreben des Mitarbeiters zu Nutze, Aufgaben schnellstmöglich zu erledigen, wenn er von der Geschäftsleitung ausdrücklich dazu aufgefordert wird. Die Betrüger verfügen offensichtlich über beträchtliche Kenntnisse über die Organisation, und die E-Mails wirken äußerst überzeugend.

Welche Warnsignale gibt es?

• Direkte Kontaktaufnahme durch eine hochrangige Führungskraft mittels nicht erbetener E-Mails oder Anrufe.
• Bitte um absolute Vertraulichkeit.
• Handlungsdruck und Dringlichkeit.
• Ungewöhnliches Ersuchen, das internen Abläufen widerspricht.
• Drohungen oder ungewöhnliche Schmeicheleien bzw. Versprechen einer Belohnung.

Was können Sie tun?

ALS UNTERNEHMEN:

• Machen Sie sich die Risiken bewusst und stellen Sie sicher, dass auch Ihre Mitarbeiter informiert und sensibilisiert sind;
• Halten Sie Ihre Mitarbeiter dazu an, Zahlungsanordnungen mit Vorsicht zu begegnen;
• Implementieren Sie interne Protokolle zu Zahlungsabläufen;
• Implementieren Sie ein Verfahren zur Legitimitätsprüfung von Zahlungsanordnungen, die per E-Mail eingehen;
• Führen Sie eine regelmäßige Berichterstattung zum Betrugsmanagement ein;
• Überprüfen Sie die auf der Website Ihres Unternehmens veröffentlichten Informationen, beschränken Sie diese und gehen Sie vorsichtig mit sozialen Medien (im Folgenden gelegentlich auch als „Social Media“ bezeichnet) um;
• Verbessern und aktualisieren Sie die technische Sicherheit;
• Wenden Sie sich bei Betrugsversuchen stets an die Polizei, selbst wenn Sie nicht Opfer des Betrugs wurden.

ALS MITARBEITER:

• Wenden Sie strikt die vorhandenen Sicherheitsmaßnahmen für Zahlungen und Beschaffungen an; Lassen Sie keinen Schritt aus und geben Sie keinem Druck nach;
• Überprüfen Sie bei sensiblen Informationen / Geldüberweisungen stets sorgfältig die E-Mail-Adressen; Betrüger verwenden häufig nachgeahmte E-Mails („copycat emails“), bei denen nur ein Zeichen vom Original abweicht;
• Wenn Sie Zweifel hinsichtlich einer Überweisungsanordnung haben, wenden Sie sich an einen kompetenten Kollegen, selbst wenn Sie um Diskretion gebeten wurden;
• Öffnen Sie niemals verdächtige Links oder Anhänge einer E-Mail; Seien Sie besonders vorsichtig, wenn Sie Ihre persönlichen Postfächer auf den Firmencomputern überprüfen;
• Beschränken Sie Informationen und gehen Sie vorsichtig mit sozialen Medien um;
• Vermeiden Sie die Weitergabe von Informationen zur Firmenhierarchie und -sicherheit oder zu Abläufen innerhalb der Firma;
• Informieren Sie bei Eingang verdächtiger E-Mails oder Anrufe stets Ihre IT-Abteilung.

Download des Informationsblattes CEO Fraud

Quelle: Ratgeber Internetkriminalität | Polizei Niedersachsen | Gemeinsame Aufklärungskampagne von Europol und Europäischem Bankenverband (EBF) zu Cyberbetrug im Rahmen des Europäischen Monats für Cybersicherheit (ECSM)