Konto eröffnen

"Fake President Fraud" oder "CEO-Fraud"

CEO Fraud


Eine häufige Form des Trickbetruges, der in Unternehmen zu großen Schäden führt, ist der "Fake-President-Fraud" bzw. "CEO-Fraud". Die Betrüger geben sich hierbei als Teil eines Organs des Unternehmens (Geschäftsführer, Finanzvorstand) aus und bitten einen Mitarbeiter des Unternehmens per E-Mail oder Fax um eine dringende Überweisung.

Dem Voraus geht häufig ein Ausspähen firmeninterner Daten und Organisationsstrukturen. Mit diesen Kenntnissen wird dem Mitarbeiter vorgespielt, es handle sich um eine Zahlung, die von höchster Ebene (Vorstand, Geschäftsführung o.ä.) angewiesen wurde. Der betroffene Mitarbeiter fühlt sich ob des besonderen Vertrauens geschmeichelt und der Tragweite der Zahlung unter Druck gesetzt, sodass die Zahlung meist schnell ausgeführt wird.


Wichtige Merkmale von CEO-Fraud

Betrüger

Firmenkunde (Opfer)

Gibt sich als ein Organ des Unternehmens (meist ein Vorstandsmitglied, Inhaber) aus.

Mitarbeiter des Unternehmens erhält vom "vermeintlichen CEO" Zahlungsaufträge aufgrund einer z.B. angeblich "streng geheimen" Firmenakquisition:

- Personen mit Handlungsberechtigung werden gezielt angesprochen

- Vertrauensbeweis

- Verleiht besonderen Nachdruck

- Verhindert Rückfragen

Besitzt umfangreiche Kenntnisse über:

- Firmenorganisation und Führungsstruktur

- handelnde Personen im Finanzbereich

Schöpft keinen Verdacht, da der "vermeintliche CEO" Interna kennt und diese im Gespräch geschickt einsetzt.

Bittet einen Mitarbeiter, der im Unternehmen für die Bankgeschäfte verantwortlich ist, eine dringende Überweisung auszuführen:

- Beauftragung direkt durch den "CEO"

- Transfers hoher Geldbeträge ins Ausland

Der Kontakt erfolgt via Telefon/Fax und E-Mail (leicht zu fälschen, zu verschleiern, zu hacken).
Dem Mitarbeiter wird dabei vorgespiegelt, dass es sich um eine höchst geheime und vertrauliche Angelegenheit handelt, von der strategische Weichenstellungen im Unternehmen abhängen. Hält sich an die Weisung aufgrund der "höchsten Geheimhaltungsstufe".


Miese Masche mit Millionenschaden

 

Seit einiger Zeit gehen deutsche Unternehmen immer wieder Trickbetrügern auf den Leim. In gefälschten E-Mails geben sich Cyber-Kriminelle als Chef aus und bewegen Finanzverantwortliche dazu, millionenschwere Überweisungen auszuführen. Ein unbedachter Datenumgang im Netz eröffnet Betrügern Tür und Tor.


Zum Blogbeitrag



Wichtige Merkmale von Payment Diversion

Betrüger

Firmenkunde (Opfer)

... geben sich als Geschäftspartner oder als Lieferanten aus und teilen mit, dass sich die bisherige Bankverbindung geändert hat. Kunde (Mitarbeiter Buchhaltung / Rechnungswesen / Finanzen) erhält E-Mail mit Mitteilung zur Änderung der Bankverbindung des Lieferanten.
Eingang einer vermeintliche echten E-Mail von einem Lieferanten mit angeblicher Korrektur der Bankverbindung. Mittels Manipulation soll der Kunde den betrügerischen Zahlungsvorgang selbst auslösen.
Diese folgt oftmals unmittelbar auf eine echte Mail zu einer erwarteten Rechnung vom realen Absender, nachdem der Mailserver des Geschäftspartners gehackt worden ist. Der Kunde weist die Überweisung der oftmals sehr hohen Geldbeträge in der Regel ins Ausland an.
Es werden auch Fax, Brief (auf korrektem Briefbogen echter Lieferanten) als mögliche Eingangskanäle benutzt. Mit dem Transfer in Zielländer - oftmals in Südostasien - wird ein Überweisungsrückruf erschwert.
  Die Betrugsmethode Payment Diversion variiert stark mit der des "Fake Payments".


Wichtige Merkmale von Fake Payments

Betrüger

Firmenkunde (Opfer)

Mittels Social Engineering werden die richtigen Ansprechpartner im Unternehmen ermittelt.

Kunde (Mitarbeiter Buchhaltung / Rechnungswesen / Finanzen) erhält gefälschte Rechnung.

Es wird eine falsche Rechnung vorab versandt für Leistungen, die durchaus in Inhalt und Leistung einer üblichen Rechnung entsprechen kann.

Mittels Manipulation soll der Kunde den betrügerischen Zahlungsvorgang selbst auslösen.

Rechnung kommt per E-Mail oder Post; teilweise wird auch hier Briefpapier von realen Lieferanten verwendet.

Der Kunde weist die Überweisung der oftmals sehr hohen Geldbeträge in der Regel ins Ausland an.
Oft wird auch kurzfristig eine Mahnung verschickt, der ein Anruf folgt, um den Mitarbeiter unter Druck zu setzen. Mit dem Transfer in Zielländer - oftmals in Südostasien - wird ein Überweisungsrückruf erschwert.
Nicht selten werden auch hier gefälschte Auftragserteilungen als Grundlage der Rechnung mit veröffentlichten Faksimiles der Managements vorgelegt (z.B. aus Bilanzen). Die Betrugsmethode des "Fake Payments" variiert stark mit der Methode "Payment Diversion".


Wichtige Merkmale von Scheckbetrug durch "Überzahlschecks"

Betrüger

Firmenkunde (Opfer)

...meldet sich als vermeintlicher Käufer aus dem Ausland; es kommt zum Geschäftsabschluss. Kunde glaubt an Warengeschäft und vertraut dem vermeintlichen Käufer.
Der Betrüger überweist das Geld aber nicht, sondern schickt einen Auslandsscheck mit der Post, der im Regelfall über eine höhere Summe ausgestellt ist, als die Ware kostet. Erhält gefälschten Scheck über eine höhere Summe als den Warengegenwert.
Kurz danach wird der Empfänger (Kunde) über den angeblichen Irrtum per E-Mail oder Brief informiert. Der Kunde soll den "zu viel" bezahlten Betrag zurück überweisen und somit auch wieder den Zahlungsvorgang selbst auslösen.
Unter anderem entschuldigt der Betrüger das zum Beispiel mit einem Fehler seiner Sekretärin und bittet den Verkäufer, ihm die Differenz per Überweisung auf ein Konto oder über einen Geldtransfer-Anbieter wie zum Beispiel Western Union zurückzuzahlen. Nach Überweisung bzw. Zahlung via Western Union o.ä. wird der Auslandsscheck mit dem Vermerk "gefälscht" oder "mangels Deckung" nicht eingelöst.


Das können Sie tun, um Ihr Unternehmen zu schützen.
  • Schaffen Sie klare Abläufe und Zuständigkeiten.
  • Informieren Sie alle Mitarbeiter über diese Betrugsmasche.
  • Änderungen von Kontoverbindungen egal ob von Kunden oder von Lieferanten sollten immer gegengeprüft werden.
  • Im Falle eines Betrugs/-versuchs informieren Sie bitte direkt die Polizei und Ihre Bank.
  • Seien Sie sich der Gefahren bewusst!
    Informieren Sie sich über aktuelle Bedrohungen und steigern Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter bzw. Kollegen.
  • Implementieren Sie Informations- und IT-Sicherheitsmaßnahmen!
    - Nutzen Sie technische Sicherheitsprodukte wie z.B. Virenschutz und Firewalls.
    - Führen Sie Rollen- und Berechtigungskonzepte, Zugriffs- und Zutrittskontrollkonzepte ein.
    - Schränken Sie Berechtigungen auf das Nötigste ein.
    - Implementieren Sie Kontrollen (4-Augen-Prinzip).
  • Seien Sie Wachsam!
    - Fragen Sie beim vermeintlichen Auftraggeber/Absender einer E-Mail nach, wenn Ihnen eine durchzuführende Aktion seltsam vorkommt.
    - Wählen Sie dafür einen alternativen Kommunikationsweg (z.B. die bekannte Telefonnummer).
    - Seien Sie bei E-Mails von unbekannten Absendern mit Anhängen oder Links besonders achtsam - es könnte sich um Schadcode handeln.
  • Seien Sie vorsichtig bei der Preisgabe von Informationen im Internet!
    Betrüger nutzen Informationen aus sozialen Netzen, seien Sie sparsam mit Ihren Informationen.
  • Wählen Sie sichere Passworte!
    Passwörter sollten lang, komplex und nicht einfach zu erraten sein. Nutzen Sie für unterschiedliche Dienste auch unterschiedliche Passwörter.
  • Nutzen Sie nicht Ihre Firmen E-Mail Adresse oder Passworte für die private Registrierung bei Online Diensten!
    Online Dienste sind häufig Ziel von Angriffen; Die hinterlegten E-Mail Adressen und Passwörter können für Angriffe verwendet werden.
  • Nutzen Sie keine öffentlichen/privaten Computer für dienstliche Zwecke!
    Öffentliche/private Computer können manipuliert sein. Es besteht die Gefahr von Datenabfluss und Manipulation.

 

Weitere Informationen finden Sie in der Broschüre des Bundesverbands deutscher Banken e.V.

  Zielscheibe Unternehmen - Cyberkriminalität (5.109 KB, PDF)




So können Sie sich selbst schützen

 

Starke Sicherheitszertifikate und moderne Verschlüsselungsverfahren - beim Schutz Ihrer persönlichen Daten und Ihres Geldes gehen wir auf Nummer Sicher. Sie können sich aber auch selbst durch einige Vorsichtsmaßnahmen vor Betrügern, Viren und Trojanern schützen.


Mehr Informationen




Mit unseren eBanking-Lösungen können Sie Ihre nationalen und internationalen Geschäfte schnell, sicher und komfortabel abwickeln.

Unsere Spezialisten analysieren Ihren individuellen Bedarf und schneidern daraus eine eBanking-Lösung. Diese bietet Ihnen maximale Sicherheit, ist leicht zu bedienen und vor allem offen für künftige Erweiterungen. Unabhängig davon, ob es um Transaktionen, Kontoinformationen oder bargeldlose Zahlungsabwicklung geht.

Details zu den eBanking-Lösungen


Service Links öffnen