Echter exali Schadenfall: Falscher CEO erschleicht sich mehr als CHF 3'000
Wenn der CEO eine Anweisung gibt und die Zeit drängt, hakt man als Mitarbeiter:in nicht weiter nach, oder? Mit dieser Frage sah sich auch der Angestellte einer Softwarefirma konfrontiert. Sein vermeintlicher Geschäftsführer beauftragte ihn mit dem Kauf von Gutscheinkarten und verlangte die Weitergabe der Codes. Der Mitarbeiter fügte sich dieser Anweisung und das Unheil nahm seinen Lauf…
Der Fake President Trick: Wenn die/der Chef:in gar keine:r ist
Der sogenannte Fake President Trick bzw. Fake President Fraud ist nicht neu: Cyberkriminelle geben sich dabei als CEO, Chef:in oder Vorgesetze:r aus und fordern Mitarbeiter:innen auf, Gutscheinkarten oder Ähnliches zu kaufen und die Codes dann direkt an sie weiterzugeben (zum Beispiel per E-Mail oder WhatsApp). Dabei setzen die Betrüger:innen auf die Gutgläubigkeit der Angestellten, denn wer hinterfragt schon immer jede Anordnung von oben? Genau so lief es auch in diesem echten Schadenfall ab, bei dem der Mitarbeiter eines über exali-versicherten App-Entwicklers auf den Fake President Trick hereinfiel.
Der Mitarbeiter erhielt per Mail eine Nachricht des vermeintlichen Geschäftsführers, in der der CEO die private Handynummer seines Mitarbeiters verlangte. Im Whatsapp-Chat mit passendem Profilbild des Chefs verkündete der falsche Vorgesetzte, er befindet sich in einer Konferenz und benötigt dringend digitale Geschenkkarten. Er wies den Mitarbeiter an, daher umgehend einen Elektronikhändler aufzusuchen. Auf kritische Nachfragen, erhöhte der Anrufer den Druck, seiner Anweisung zügig nachzukommen.
Gutscheincodes im Wert von CHF 3'000 erbeutet
Trotz Bedenken kaufte der Angestellte schliesslich in verschiedenen Läden Gutschein- und Geschenkkarten im Wert von mehr als CHF 3'000. Wie gewünscht befreite er die Karten von der Verpackung, fotografierte die Codes ab und übersandte die Bilder per Whatsapp an seinen vermeintlichen Geschäftsführer. Aufkommende Bedenken wiegelte der immer wieder ab mit der Begründung, in der flachen Unternehmenshierarchie sei es ja durchaus üblich, schnell etwas mit der privaten Kreditkarte zu bezahlen und sich das Geld später von der Firma erstatten zu lassen. Als der echte Chef von der Geschichte erfuhr, war der Schaden natürlich längst nicht mehr rückgängig zu machen.
Letzte Rettung IT-Haftpflicht
Glücklicherweise dachte der App-Entwickler daran, den entstandenen Schaden bei den Versicherungsprofis von exali zu melden. Diese leiteten den Fall an den Versicherer weiter, der nach eingehender Prüfung beschloss, im Rahmen der abgeschlossenen IT-Haftpflichtversicherung einen Grossteil des entstandenen finanziellen Schadens zu übernehmen – also beinahe CHF 3'000. Niemand wird bestreiten, dass hier ein finanzieller Schaden aufgrund der Tatsache entstand, dass der Mitarbeiter des Unternehmens einem Betrüger zum Opfer gefallen war. Doch wer ist hier nun verantwortlich? Ausschliesslich der Betrüger? Oder auch der Mitarbeiter?
Sicherheit für Ihr Business – auch wenn Mitarbeiter:innen zum Risiko werden
Die Bedingungen der IT-Haftpflicht über exali nehmen dazu eindeutig Stellung: Bereits im Basis-Versicherungsschutz ist vereinbart: Versicherungsnehmer:innen sind vor Vermögensschäden geschützt, die wie in diesem Fall durch den Betrug Dritter verursacht werden in der Absicht, sich rechtswidrig zu bereichern. Darunter fällt auch der hier angewandte sogenannte Fake President Trick. Dieser Versicherungsschutz gilt auch dann, wenn mitversicherte Personen (hier: ein Mitarbeiter) einer arglistigen Täuschung zum Opfer fallen. Der Versicherer ersetzt dabei den Geldbetrag, der notwendig ist, um den Zustand wiederherzustellen, der ohne den Betrug vorherrschen würde.
Social Engineering: Wenn der Mensch zum Risiko wird
Social-Engineering-Maschen wie der Fake President Trick setzen auf die gezielte Manipulation von Menschen. Die Angreifer:innen nutzen dabei die Vertrauensseligkeit oder auch Ängste (wie zum Beispiel Ärger mit der/m Chef:in) ihrer Ziele aus, um an sensible Informationen zu gelangen oder Sicherheitsmechanismen zu umgehen.
Welche Formen Social Engineering annehmen kann und wie Sie Ihr Business schützen können, lesen Sie im Artikel Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können
Fake President Trick: So schützen Sie sich und Ihre Mitarbeiter:innen
Die Maschen von Betrüger:innen werden immer perfider und wie der Fake President Trick eindrücklich zeigt, setzen sie meist auf menschliches Versagen. Daher ist es gerade für Unternehmer:innen wichtig, sich stets über die aktuellen Maschen von Cyberkriminellen auf dem Laufenden zu halten und auch die Angestellten darüber zu informieren. Grundsätzlich sprechen folgende Anzeichen für eine Fake President Attacke:
- Die E-Mail enthält keine oder eine veränderte Signatur
- Die Anrede, der Inhalt oder die verwendete Grussformel in der E-Mail weichen vom üblichen Sprachgebrauch der/s Vorgesetzten ab.
- Mitarbeiter:innen werden plötzlich mit „Du“ oder „Sie“ angesprochen, obwohl dies sonst nicht der Fall ist.
- Anrufe erfolgen mit unterdrückter Rufnummer
- Aufforderungen zur Überweisung von Beträgen kommen nicht von der/m unmittelbaren Vorgesetzten, sondern von höheren Führungskräften (evtl. sogar von Tochtergesellschaften oder anderen Standorten des Unternehmens)
- Es handelt sich um ungewöhnlich hohe Summen, die überwiesen werden sollen
- Es sollen plötzlich Gutschein- oder Geschenkkarten gekauft oder ausgebucht werden und die Codes direkt an die/den vermeintlichen Chef:in übersendet werden
- Auf kritische Nachfragen reagiert die/der Chef:in gereizt oder mit Drohungen.
Gut geschützt auch bei menschlichem Versagen mit einer Berufshaftpflicht
Im Idealfall haben Sie daher längst feste Abläufe zum Abwickeln von Zahlungsaufträgen etabliert und halten sich an ein Mehr-Augen-Prinzip, um sich vor dem Fake President Trick zu schützen. Sollte es einer/einem Angreifer:in aber doch einmal gelingen, alle Vorkehrungen zu umgehen, sind Sie durch eine IT-Haftpflicht über exali abgesichert – auch dann, wenn Dritte sich unbefugt an ihrem Unternehmen bereichern wollen.
Sie haben noch Fragen? Unsere Versicherungsprofis in der Kundenberatung helfen Ihnen gerne weiter – von Montag bis Freitag von 9:00 Uhr bis 18:00 Uhr unter +41 (0) 58 255 60 00. Alternativ erreichen Sie uns auch über unser Kontaktformular.
Vivien Gebhardt ist Onlineredakteurin bei exali. Hier erstellt sie Content zu Themen, die Selbständigen, Freiberuflern und Unternehmern unter den Nägeln brennen. Ihre Spezialgebiete sind Risiken im E-Commerce, Rechtsthemen und Schadenfälle, die bei exali versicherten Freelancern passiert sind.