Die Tricks von “CEO-Fraud”

Com­pu­ter­ge­stütztes Ver­brechen

Übli­cher­weise könnte man diesen Blog­beitrag mit einer von vielen Floskeln ein­leiten: “Der Com­puter als Arbeits­mittel in der EDV hat unser Arbeits­leben stark ver­ändert. Kaum exis­tieren heute noch Firmen, die nicht auf Com­puter ange­wiesen sind. So auch das orga­ni­sierte Ver­brechen…” — aber das wäre nicht ganz richtig.

Das erwähnte orga­ni­sierte Ver­brechen und alle Mit­spieler im Bereich Cybercrime sind kei­neswegs Nach­zügler in der Nutzung von IT und modernster Technik. Tat­sächlich sind sie in Rand­be­reichen direkt oder indirekt auch Treiber der­selben, und natürlich Nutzer aller inter­es­santen Dienste über nahezu alle Sparten. Selbst Ein­brecher haben Google Earth, StreetView und viele andere Dienste für sich ent­deckt, um sich unauf­fällig mit einer Ziel­gegend ver­traut zu machen.

Das jüngste Bei­spiel in diesem Bereich ist die radikale und dis­ruptive Ver­bes­serung der Chef-Masche, oder “CEO Fraud”.

Obwohl diese Betrugsart bislang sehr wenig mit IT zu tun hatte, war (und ist) sie doch bei Kri­mi­nellen beliebt und bringt groß­artige Gewinne. Der Betrug läuft, mit kleinen Varia­tionen, immer auf die gleiche Art und Weise ab: bei einem Mit­ar­beiter oder einer Mit­ar­bei­terin landet eine E‑Mail im Postfach, die vom Chef der Firma zu kommen scheint. Der Absender ist natürlich gefälscht, aber das ist meistens nicht leicht zu erkennen. Die Ein­leitung enthält meistens positive Emo­tionen (“Sie wurden mir von Ihrem Vor­ge­setzten emp­fohlen als die ver­schwiegene, ver­trau­ens­würdige und zuver­lässige Person.”) um den Weg für den nächsten Schritt geschmei­diger zu gestalten.

Der angeb­liche Chef wird dort eine Situation beschreiben, in welcher er oder sie sehr schnell einen signi­fi­kanten Betrag auf ein bis dato in der Firma noch nicht bekanntes Konto über­weisen muss. Häufig ist der Rahmen der Story, dass sich die Chef­person im Ausland aufhält und dort eine Firma auf­kaufen möchte, der Deal aber heute noch oder binnen kurzer Zeit über die Bühne gehen muss, und die Finanz­vor­stände oder wer auch immer nicht greifbar sind oder auf Grund erfun­dener Gesetze und Rege­lungen nicht mit­ein­be­zogen werden dürfen.

Mit Hilfe von Social Engi­neering und ver­wandten Tech­niken wird die Emp­fän­gerin bzw. der Emp­fänger in eine denkbar schlechte Lage ver­setzt: der Chef der Firma bittet um etwas, was übli­cher­weise gegen bestehende Pro­zesse und Rege­lungen ver­stößt: die Über­weisung von signi­fi­kanten Summen. Als Opfer dieser Masche ist man selten auto­ri­siert, diese Über­weisung zu tätigen, hat aber viel­leicht die tech­nische Mög­lichkeit. Man ver­stößt also in jedem Fall gegen Regeln.

Diese Betrugs­masche funk­tio­niert so gut, dass selbst Firmen wie Facebook und Google zusammen knappe 100 Mil­lionen Dollar durch diesen Betrug ver­loren haben. Auch in Deutschland funk­tio­niert das natürlich; und obwohl es Gegen­maß­nahmen gibt, die ein Umgehen der bestehenden Pro­zesse ver­hindern, sind diese noch lange nicht von jeder großen Firma imple­men­tiert. Kleinere Firmen sind sowieso sel­tener im Fokus, weil sich dort die Leute eher per­sönlich kennen bzw. weil dort nicht genügend Kapital für einen lukra­tiven Angriff vor­handen ist.

Und über­haupt: sen­si­bi­li­sieren wir nicht seit Jahren alle betrof­fenen Per­sonen, dass E‑Mails gefälscht sein können?

Nun nehmen Sie bitte obiges Bei­spiel und ersetzen “E‑Mail” mit “Anruf vom CEO”. Was, wenn die Chefin Ihrer Fir­men­gruppe Sie anruft und diese Zahlung anweist? Viel­leicht gepaart mit indi­rekten oder auch sehr direkten Dro­hungen, wenn Sie der Auf­for­derung nicht nach­kommen?

Dank der Unter­stützung durch die IT wird dieses Sze­nario sehr real; der Finanzchef einer UK-Tochter eines deut­schen Kon­zerns hat auf Anweisung seines CEOs im März 2019 243.000$ an ein Konto in Ungarn über­wiesen, weil dieser tele­fo­nisch darum gebeten hatte. Die Stimme wies die nor­malen Sprach­muster und den ver­trauten deut­schen Akzent auf. Natürlich war es nicht der echte Chef (das wäre ein wenig ent­täu­schend als Abschluss dieses Bei­trags), sondern eine mit Hilfe von Machine Learning und öffentlich ver­füg­baren Audio­auf­zeich­nungen der Stimme des echten Chefs (z.B. von Videos bei öffent­lichen Auf­tritten) erstellte Fäl­schung.

Die Technik auf Seiten der Kri­mi­nellen ist also soweit, dass sie die Stimme von Per­sonen perfekt imi­tieren und beliebige Dinge sagen lassen kann. Auf der anderen Seite kann die Sprach­er­kennung bei der Mobilfunk-Hotline nicht immer zwi­schen “Ja” und “Nein” unter­scheiden.

Wer läuft da der tech­ni­schen Ent­wicklung hin­terher?