CEO-Fraud, auch Geschäftsführer-Betrug oder „Fake-President“-Fall genannt, ist eine beliebte Spear Phishing-Masche. Dabei werden Mitarbeiter in gefälschten E-Mails von Ihren angeblichen Vorgesetzten z. B. zur Überweisung einer bestimmten Geldsumme aufgefordert oder auch zur Preisgabe von sensiblen Daten.
Beim CEO-Fraud steht die Imitation alltäglicher Berufssituationen im Vordergrund. In hierarchisch und von Schnelligkeit geprägten Unternehmenskulturen sind dringende Anforderungen seitens der Geschäftsführung meist keine Seltenheit. Die Bitte, schnell eine größere Geldsumme zu überweisen, wird von den Mitarbeitern häufig umgesetzt.
Aufgrund der direkten und persönlichen Kommunikation und imitierten Rhetorik, liegt es einzig an dem Mitarbeiter den Angriff zu erkennen und darauf zu reagieren. Ein weitere Brisanz des CEO-Frauds ist, dass aufgrund der Einfachheit der Angriffe Nachahmungen möglich sind. Anti-Virenprogramme oder Firewalls sind hier wirkungslos, da es sich nicht um einen technischen Angriff handelt. Hier helfen nur eine dauerhafte Sensibilisierung und permanente Wachsamkeit.
Das tückische am CEO-Fraud ist, dass Vor-und Zuname einer E-Mail zwar als erstes vom Leser registriert werden. E-Mail-Adressen, die man erst nach Öffnen der Detailansicht sieht, werden jedoch selten wahrgenommen, auch wenn sie der Haupthinweis für einen CEO-Fraud sind. Achten Sie daher bereits beim Öffnen einer E-Mail auf bestimmte Merkmale:
Als Mitarbeiter kennt man den Schreibstil der Vorgesetzten. Grußformel, Anrede (Du/Sie), Wortwahl oder Signatur – jeder hat seine Vorlieben.
Die digitale Kommunikation eröffnet eine große Auswahl an Kommunikationswegen und -mitteln. Ob per E-Mail, Smartphone-Messenger, soziale Netzwerke, SMS, Audionachrichten – jeder hat den einen Kanal, für die eine Situation. Wenn hier ein abweichendes Verhalten vorherrscht, sollte man die Echtheit der E-Mail in Frage stellen.
Die Einschätzung der Situation ist meist der kritischste Punkt. In Unternehmen mit einer unzureichenden oder intransparenten internen Kommunikation ist oft nicht klar, welche Verpflichtungen anstehen. Seien es reguläre Geschäftstermine oder Besorgungen. Gerade auf Management-Ebene ergeben sich Termine oft spontan und Arbeitsaufträge werden gerne auf Zuruf vergeben– gerne auch während des Urlaubs. Wenn man als Mitarbeiter keine 100-prozentige Gewissheit darüber hat, ob der Vorgesetzte wirklich in einem Termin war, sollten sie sich immer über einen anderen, sicheren und gewohnten Kommunikationskanal rückversichern. Im Zweifel gilt es die internen Regularien zu beachten. Hier stehen auch Führungskräfte in der Pflicht ihre Mitarbeiter zu einem sicheren Verhalten zu ermutigen.
Um die Mitarbeiter – aber auch die Geschäftsführer – vor Betrügern zu schützen, ist es wichtig Schutzmaßnahmen einzuführen. Neben internen Regelungen, wie etwa Freigabeprozesse für Zahlungen oder Vertretungsregelungen, sollten Aufklärungsmaßnahmen dazugehören. Sensibilisierungstrainings und interne Informationen über aktuelle Gefahren sollten zur IT-Sicherheitskultur im Unternehmen gehören.
Zudem sollten Führungskräfte sich mit Ihren Mitarbeitern auf bestimmte Kommunikationswege verständigen. Dies gilt insbesondere dann, wenn sie in öffentlichen oder zentralen Positionen mit direkten Kontakt zur Geschäftsführung arbeiten (Finanzen, Personal, Kommunikation, Marketing).
CEO-Fraud ist eine besonders gefährliche Masche von Online-Betrügern. Anders als bei Viren und Trojanern gibt es hier keine technischen Maßnahmen nur in Form von Spam-Filtern, die einen schützen könnten. Schafft es eine solche E-Mail in das Postfach des Mitarbeiters, helfen hier nur dessen Sensibilität für Cybergefahren und interne Vorsorgemaßnahmen, die schlimmere Folgen verhindern.
CEO fraud, also known as executive fraud or ‘fake president’ cases, is a popular spear phishing scam. Employees receive fake emails from their alleged superiors asking them to transfer a certain amount of money or disclose sensitive data.
CEO fraud focuses on imitating everyday work situations. In hierarchical and fast-paced corporate cultures, urgent requests from management are not uncommon. Employees often comply with requests to transfer large sums of money quickly.
Due to the direct and personal communication and imitated rhetoric, it is solely up to the employee to recognise the attack and respond to it. Another explosive aspect of CEO fraud is that the simplicity of the attacks makes them easy to imitate. Anti-virus programmes and firewalls are ineffective here, as this is not a technical attack. The only thing that helps is ongoing awareness and vigilance.
The tricky thing about CEO fraud is that although the first name and surname in an email are the first things the reader notices, email addresses, which are only visible after opening the detailed view, are rarely noticed, even though they are the main indicator of CEO fraud. Therefore, look out for certain characteristics as soon as you open an email:
As an employee, you are familiar with the writing style of your superiors. Greetings, forms of address (informal/formal), choice of words or signature – everyone has their preferences.
Digital communication opens up a wide range of communication channels and means. Whether by email, smartphone messenger, social networks, text messages or audio messages – everyone has their preferred channel for a given situation.
If there is a deviation from the norm, you should question the authenticity of the email.
Assessing the situation is usually the most critical point. In companies with inadequate or non-transparent internal communication, it is often unclear what obligations are pending. These may be regular business appointments or errands. At management level in particular, appointments are often made spontaneously and work assignments are often given on demand – even during holidays. If employees are not 100% certain whether their supervisor was actually in a meeting, they should always check via another, secure and familiar communication channel. When in doubt, follow internal regulations. Managers also have a duty to encourage their employees to behave securely.
To protect employees – and managers – from fraudsters, it is important to introduce protective measures. In addition to internal regulations, such as approval processes for payments or substitution rules, these should include educational measures. Awareness training and internal information about current threats should be part of the IT security culture in the company.
In addition, managers should agree on specific communication channels with their employees. This is particularly important if they work in public or central positions with direct contact to management (finance, human resources, communications, marketing).
CEO fraud is a particularly dangerous scam used by online fraudsters. Unlike viruses and Trojans, there are no technical measures in the form of spam filters that can protect you. If such an email makes it into an employee’s inbox, the only thing that can help is their awareness of cyber threats and internal precautions to prevent worse consequences.