CEO Fraud & Schutz im Unternehmen | HypoVereinsbank (HVB)

Bewahren Sie Ihr Unternehmen vor dem „CEO-Fraud“. — Schützen Sie sich und Ihr Unternehmen vor „CEO-Fraud“.

Tipps und Beispiele für Sie.

Diese Art Trickbetrug ist auch als „Fake-President-Fraud“ bekannt und richtet große Schäden an. Betrüger geben sich als Teil des Unternehmens (z. B. Geschäftsführer) aus. Per E-Mail oder Fax bitten Mitarbeiter Sie, eine dringende Überweisung zu veranlassen. Im Vorfeld sind die Täter meist an firmeninterne Daten gelangt und kennen die Organisationsstrukturen. Mit diesem Wissen geben sie vor, ihre Anweisung käme von höchster Stelle. Von der vermeintlichen Wichtigkeit zugleich geschmeichelt und unter Druck gesetzt, führt der arglose Mitarbeiter die Zahlung aus. Der entstehende Schaden geht nicht selten in die Millionen.

Was Sie über CEO-Fraud wissen sollten:

Der Täter ...

… gibt vor, es handle sich um eine höchst geheime und vertrauliche Angelegenheit, von der strategische Weichenstellungen abhängen.
… gibt sich als Führungskraft aus (z. B. Vorstandsmitglied, Inhaber).
… besitzt genaue Kenntnis von:

- Firmen- und Führungsstruktur

- handelnden Personen im Finanzbereich
… veranlasst einen dazu berechtigten Mitarbeiter, eine dringende Überweisung auszuführen:

- Beauftragung direkt durch den „CEO“

- Transfers hoher Geldbeträge ins Ausland

Das Opfer im Unternehmen ...

... fühlt sich an die Weisung aufgrund der „höchsten Geheimhaltungsstufe“ gebunden.
… erhält vom „CEO“ Zahlungsaufträge, etwa für eine angeblich „streng geheime“ Akquisition:

- Personen mit Handlungsberechtigung werden gezielt angesprochen

- dies wirkt als Vertrauensbeweis

- es vermittelt Dringlichkeit

- und verhindert Rückfragen
… schöpft keinen Verdacht, da der „CEO“ Interna kennt und diese im Gespräch geschickt nutzt.
… wird per Telefon/Fax und E-Mail kontaktiert (einfach zu fälschen/verschleiern/hacken).

So schützen Sie Ihr Unternehmen:

Schaffen Sie klare Abläufe und Zuständigkeiten.
Informieren Sie alle Mitarbeiter über diese Betrugsmasche.
Alle Änderungen von Kontoverbindungen sollten immer gegengeprüft werden.
Im Falle eines Betrugs/-versuchs informieren Sie sofort die Polizei und uns.
Seien Sie sich der Gefahren bewusst!
Informieren Sie sich über neue Bedrohungen und schärfen Sie das Sicherheitsbewusstsein aller Mitarbeiter.

Treffen Sie Informations- und IT-Sicherheitsmaßnahmen.
Sorgen Sie für technische Sicherheit, z. B. mit Virenschutz und Firewalls.
Setzen Sie Rollen- und Berechtigungskonzepte, Zugriffs- und Zutrittskontrollkonzepte ein.
Schränken Sie Berechtigungen auf das Nötigste ein.
Etablieren Sie Kontrollsysteme (4-Augen-Prinzip).
Seien Sie stets wachsam!
Fragen Sie beim vermeintlichen Auftraggeber/Absender einer E-Mail nach, wenn der Auftrag Ihnen verdächtig vorkommt.
Wählen Sie dafür einen alternativen Kommunikationsweg (z. B. die bekannte Telefonnummer).
Seien Sie besonders vorsichtig bei E-Mails von unbekannten Absendern mit Anhängen oder Links – sie können Schadsoftware enthalten.
Seien Sie vorsichtig mit der Veröffentlichung von Informationen im Internet.
Betrüger nutzen soziale Netzwerke, geben Sie dort keine wichtigen Informationen preis.
Wählen Sie sichere Passwörter.
Passwörter sollten lang, komplex und nicht einfach zu erraten sein. Nutzen Sie für unterschiedliche Dienste unterschiedliche Passwörter.
Nutzen Sie Ihre dienstlichen E-Mail-Adressen oder Passwörter nicht für privat genutzte Online-Dienste.
Online-Dienste werden häufig attackiert. Dort verwendete E-Mail-Adressen und Passwörter können für Angriffe missbraucht werden.
Nutzen Sie öffentliche/private Computer nicht dienstlich.
Öffentliche/private Computer können manipuliert sein und Datendiebstahl ermöglichen.

HVB-Sicherheit-Unternehmen-Social-Engineering (PDF, 4.99 MB)

Weitere Hinweise

Auch vor diesen Betrugsmethoden müssen Sie gewarnt sein:

„Payment Diversion“

Der Täter ...

... gibt sich als Geschäftspartner oder Lieferant aus und teilt mit, seine Bankverbindung hätte sich geändert.
… sendet eine vermeintlich echte E-Mail mit angeblicher Korrektur der Bankverbindung.
… sendet diese Mail oft unmittelbar folgend auf eine echte Mail zu einer erwarteten Rechnung vom realen Absender, nachdem dessen Mailserver gehackt worden ist.
… benutzt auch Fax, Brief (auf echten Briefbögen echter Lieferanten) als Einfallstore.

Das Opfer im Unternehmen ...

… (Mitarbeiter in Buchhaltung/Rechnungswesen/Finanzen) erhält eine E-Mail mit Mitteilung zur Änderung der Bankverbindung.
… soll durch diese Manipulation den betrügerischen Zahlungsvorgang selbst auslösen.
… überweist den oftmals sehr hohen Geldbetrag in der Regel ins Ausland.
… kann nur schwer einen Überweisungsrückruf durchführen, weil das Ziel des Geldtransfers oft z. B. in Südostasien liegt.

„Fake Payments“

Der Täter...

… findet durch Social Engineering die richtigen Ansprechpartner im Unternehmen.
… sendet vorab eine falsche Rechnung. Inhalt und Leistung können dabei einer üblichen Rechnung entsprechen.
… schickt die Rechnung per E-Mail oder Post. Teilweise wird Briefpapier realer Lieferanten verwendet.
… sendet oft kurzfristig eine Mahnung und setzt das Opfer durch einen Anruf zusätzlich unter Druck.
… legt oft gefälschte Aufträge als Rechnungsgrundlage mit veröffentlichten Faksimiles der Managements (z. B. aus Bilanzen) vor.

Das Opfer im Unternehmen...

… (Mitarbeiter in Buchhaltung/Rechnungswesen/Finanzen) erhält eine gefälschte Rechnung.
… soll mittels Manipulation den betrügerischen Zahlungsvorgang selbst auslösen.
… überweist den oftmals sehr hohen Geldbetrag in der Regel ins Ausland.
… kann nur schwer einen Überweisungsrückruf durchführen, weil das Ziel des Geldtransfers oft in Südostasien o. Ä. liegt.
Die Betrugsmethode Fake Payment ähnelt dem „Payment Diversion“.

Scheckbetrug durch „Überzahlschecks“

Der Täter ...

... meldet sich als vermeintlicher Käufer aus dem Ausland; es kommt zum Geschäftsabschluss.
Der Betrüger überweist das Geld aber nicht, sondern schickt einen Auslandsscheck mit der Post, der im Regelfall über eine höhere Summe ausgestellt ist, als die Ware kostet.
Kurz danach wird der Empfänger (Kunde) über den angeblichen Irrtum per E-Mail oder Brief informiert.
Unter anderem entschuldigt der Betrüger das zum Beispiel mit einem Fehler seiner Sekretärin und bittet den Verkäufer, ihm die Differenz per Überweisung auf ein Konto oder über einen Geldtransfer-Anbieter wie zum Beispiel Western Union zurückzuzahlen.

Das Opfer im Unternehmen ...

... glaubt an Warengeschäft und vertraut dem vermeintlichen Käufer.
... erhält gefälschten Scheck über eine höhere Summe als den Warengegenwert.
... soll den „zu viel" bezahlten Betrag zurück überweisen und somit auch wieder den Zahlungsvorgang selbst auslösen.
Nach Überweisung bzw. Zahlung via z. B. Western Union wird der Auslandsscheck mit dem Vermerk „gefälscht" oder „mangels Deckung" nicht eingelöst.

Geschäfte schnell, sicher und komfortabel abwickeln.

Unsere Spezialisten analysieren Ihren individuellen Bedarf und schneidern daraus eine eBanking-Lösung. Diese bietet Ihnen maximale Sicherheit, ist leicht zu bedienen und vor allem offen für künftige Erweiterungen. Unabhängig davon, ob es um Transaktionen, Kontoinformationen oder bargeldlose Zahlungsabwicklung geht.

Zu den eBanking-Lösungen