Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Die Tricks von “CEO-Fraud”
Computergestütztes Verbrechen
Üblicherweise könnte man diesen Blogbeitrag mit einer von vielen Floskeln einleiten: “Der Computer als Arbeitsmittel in der EDV hat unser Arbeitsleben stark verändert. Kaum existieren heute noch Firmen, die nicht auf Computer angewiesen sind. So auch das organisierte Verbrechen…” — aber das wäre nicht ganz richtig.
Das erwähnte organisierte Verbrechen und alle Mitspieler im Bereich Cybercrime sind keineswegs Nachzügler in der Nutzung von IT und modernster Technik. Tatsächlich sind sie in Randbereichen direkt oder indirekt auch Treiber derselben, und natürlich Nutzer aller interessanten Dienste über nahezu alle Sparten. Selbst Einbrecher haben Google Earth, StreetView und viele andere Dienste für sich entdeckt, um sich unauffällig mit einer Zielgegend vertraut zu machen.
Das jüngste Beispiel in diesem Bereich ist die radikale und disruptive Verbesserung der Chef-Masche, oder “CEO Fraud”.
Obwohl diese Betrugsart bislang sehr wenig mit IT zu tun hatte, war (und ist) sie doch bei Kriminellen beliebt und bringt großartige Gewinne. Der Betrug läuft, mit kleinen Variationen, immer auf die gleiche Art und Weise ab: bei einem Mitarbeiter oder einer Mitarbeiterin landet eine E‑Mail im Postfach, die vom Chef der Firma zu kommen scheint. Der Absender ist natürlich gefälscht, aber das ist meistens nicht leicht zu erkennen. Die Einleitung enthält meistens positive Emotionen (“Sie wurden mir von Ihrem Vorgesetzten empfohlen als die verschwiegene, vertrauenswürdige und zuverlässige Person.”) um den Weg für den nächsten Schritt geschmeidiger zu gestalten.
Der angebliche Chef wird dort eine Situation beschreiben, in welcher er oder sie sehr schnell einen signifikanten Betrag auf ein bis dato in der Firma noch nicht bekanntes Konto überweisen muss. Häufig ist der Rahmen der Story, dass sich die Chefperson im Ausland aufhält und dort eine Firma aufkaufen möchte, der Deal aber heute noch oder binnen kurzer Zeit über die Bühne gehen muss, und die Finanzvorstände oder wer auch immer nicht greifbar sind oder auf Grund erfundener Gesetze und Regelungen nicht miteinbezogen werden dürfen.
Mit Hilfe von Social Engineering und verwandten Techniken wird die Empfängerin bzw. der Empfänger in eine denkbar schlechte Lage versetzt: der Chef der Firma bittet um etwas, was üblicherweise gegen bestehende Prozesse und Regelungen verstößt: die Überweisung von signifikanten Summen. Als Opfer dieser Masche ist man selten autorisiert, diese Überweisung zu tätigen, hat aber vielleicht die technische Möglichkeit. Man verstößt also in jedem Fall gegen Regeln.
Diese Betrugsmasche funktioniert so gut, dass selbst Firmen wie Facebook und Google zusammen knappe 100 Millionen Dollar durch diesen Betrug verloren haben. Auch in Deutschland funktioniert das natürlich; und obwohl es Gegenmaßnahmen gibt, die ein Umgehen der bestehenden Prozesse verhindern, sind diese noch lange nicht von jeder großen Firma implementiert. Kleinere Firmen sind sowieso seltener im Fokus, weil sich dort die Leute eher persönlich kennen bzw. weil dort nicht genügend Kapital für einen lukrativen Angriff vorhanden ist.
Und überhaupt: sensibilisieren wir nicht seit Jahren alle betroffenen Personen, dass E‑Mails gefälscht sein können?
Nun nehmen Sie bitte obiges Beispiel und ersetzen “E‑Mail” mit “Anruf vom CEO”. Was, wenn die Chefin Ihrer Firmengruppe Sie anruft und diese Zahlung anweist? Vielleicht gepaart mit indirekten oder auch sehr direkten Drohungen, wenn Sie der Aufforderung nicht nachkommen?
Dank der Unterstützung durch die IT wird dieses Szenario sehr real; der Finanzchef einer UK-Tochter eines deutschen Konzerns hat auf Anweisung seines CEOs im März 2019 243.000$ an ein Konto in Ungarn überwiesen, weil dieser telefonisch darum gebeten hatte. Die Stimme wies die normalen Sprachmuster und den vertrauten deutschen Akzent auf. Natürlich war es nicht der echte Chef (das wäre ein wenig enttäuschend als Abschluss dieses Beitrags), sondern eine mit Hilfe von Machine Learning und öffentlich verfügbaren Audioaufzeichnungen der Stimme des echten Chefs (z.B. von Videos bei öffentlichen Auftritten) erstellte Fälschung.
Die Technik auf Seiten der Kriminellen ist also soweit, dass sie die Stimme von Personen perfekt imitieren und beliebige Dinge sagen lassen kann. Auf der anderen Seite kann die Spracherkennung bei der Mobilfunk-Hotline nicht immer zwischen “Ja” und “Nein” unterscheiden.
Wer läuft da der technischen Entwicklung hinterher?

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokussierung auf die Absicherung von Netzwerken sowie Bedrohungen aus dem Internet in 1999, mit Arbeitsplätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in Themengebieten rund um Netzwerksicherheit und Internet-Security.

Neueste Kommentare