Fake President Trick: Wenn Betrüger:innen sich als CEO ausgeben
„Hallo, ich bin‘s, der CEO. Können Sie mir mal schnell CHF 4'000 überweisen.“ Das mag abwegig klingen, ist aber tatsächlich eine beliebte Masche von Cyberkriminellen: der sogenannte Fake President Trick oder auch CEO Fraud. Die Grundidee gleicht dem bekannten „Enkeltrick“, so geben sich die Kriminellen gegenüber Mitarbeiter:innen als Vorgesetze:r aus. Trotz grosser medialer Aufmerksamkeit fallen Unternehmen immer wieder auf den Trick rein – sogar Facebook, Twitter oder Google waren schon betroffen. Ebenso wie ein Kunde von exali in einem aktuellen Schadenfall…
Wenn der CEO Geschenkkarten braucht: Ein echter exali Schadenfall
In diesem echten Schadenfall meldete sich der CEO eines Start-Up aus der Software-Branche in unserer Kundenbetreuung, weil einer seiner Mitarbeiter auf den Fake President Trick hereingefallen war. Was war passiert? Eines Tages erhielt ein Mitarbeiter des Start-Ups eine Mail seines CEOs, in der dieser ihn um einen ungewöhnlichen Gefallen bat: er brauche dringend Google Play Store Geschenkkarten im Wert von CHF 1'600 und könne sie derzeit selbst nicht besorgen.
Der Mitarbeiter ging daraufhin in mehrere Läden, kaufte 16 Karten á CHF 100 und übermittelte dem vermeintlichen Firmengründer die Codes. Zudem übersandte er auf Wunsch noch Fotos der Karten. Erst als der CEO sich damit immer noch nicht zufrieden gab und nun weitere Geschenkkarten anderer Anbieter:innen von seinem Mitarbeiter forderte, wurde dieser stutzig und antwortete nicht mehr auf die E-Mails. Leider zu spät: Die CHF 1'600 für die Wertkarten waren verloren. Hinter dem vermeintlichen CEO steckte – Überraschung – nicht der echte Gründer und CEO des Start-Ups, sondern Betrüger:innen.
CEO Fraud: CHF 1'600 Schaden durch Betrüger:innen
Für das über exali versicherte Start-Up hatte die Sache dennoch ein Happy End, denn der Versicherer bezahlte die CHF 1'600 abzüglich des vereinbarten Selbstbehalts. Zudem rieten wir dem Unternehmen, die Mitarbeiter:innen (noch mehr) im Hinblick auf die Cybercrime-Gefahren zu schulen und auf den Fake President Trick aufmerksam zu machen. Denn wäre der Mitarbeiter mehr sensibilisiert gewesen, hätte er an diesen Anzeichen erkennen können, dass es sich bei der/dem E-Mail-Absender:in nicht um den richtigen CEO handelte:
- Die E-Mail enthielt einen merkwürdigen Disclaimer in anderer Sprache
- Die E-Mail-Adresse des vermeintlichen CEO enthielt eine Endung, die nichts mit dem Unternehmen zu tun hat
- Der angebliche CEO übte starken Druck auf den Mitarbeiter aus und teilte ihm routinemässig mit, was er als nächstes tun soll.
Diesen Fall haben wir auch als Video für Sie zusammengefasst:
Übrigens ist dieser Fall nicht das einzige Mal, dass ein über exali versichertes Unternehmen auf den Fake President Trick hereinfiel, wie auch dieser echte Schadenfall zeigt: Falscher CEO erschleicht sich mehr als CHF 3'000
Social Engineering: Schwachpunkt Menschlichkeit
Der Fake President Trick gehört zu den sogenannten Social Engineering Attacken. Dabei werden Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt vor Autorität ausgenutzt, um Personen zu manipulieren. Beim Enkeltrick beispielsweise, rufen Betrüger:innen bei Senioren an und geben sich als entfernte Verwandte aus, mit dem Ziel Bargeld oder Wertgegenstände zu ergaunern. Mit der fortschreitenden Digitalisierung gibt es mittlerweile auch eine ganze Reihe ähnlicher Betrugsmaschen wie etwa WhatsApp-Nachrichten von Verwandten, die angeblich ihr Handy verloren haben und dringend Geld benötigen und ähnliches.
Aber nicht nur Senioren oder kleiner Unternehmen fallen auf Social Engineering herein, auch Grosskonzerne sind davor nicht gefeit, wie die folgenden Beispiele zeigen.
Twitter gekapert: CHF 100'000 Schaden
Im Juli 2020 hatte Twitter mit Social Engineering zu kämpfen, als plötzlich eine ganze Reihe von Nutzer:innen eine Investition in Bitcoins über einen bestimmten Link empfahlen. Unter den Accounts, die diese Meldung verbreiteten, fanden sich auch die verifizierten Konten von Bill Gates, Barack Obama oder Elon Musk, die zudem noch versprachen, jeden eingezahlten Dollar zu verdoppeln. Das klingt fast schon zu gut um wahr zu sein? War es natürlich auch.
Es handelte sich allerdings nicht um eine Sicherheitslücke bei Twitter oder einem Social-Management-Tool, sondern um einen Social Engineering Schaden. Laut Twitter hat ein:e Angestellte:r die Zugangsdaten zu einem internen Tool herausgegeben. Dort wurden dann die E-Mail-Adressen, die bei den Accounts hinterlegt waren, geändert und so konnten die Cyberkriminellen sich als verifizierte Accounts ausgeben. Ob die oder der Twitter-Mitarbeiter:in getäuscht wurde oder sich bestechen liess, ist unklar. Der bei der Aktion entstandene Schaden wird auf 120.000 Dollar (knapp über CHF 100'000) geschätzt.
Der Fall Leoni: 41 Millionen Franken weg
Ein weiteres prominentes Beispiel von Social Engineering ist der Fall des Nürnberger Autozulieferers Leoni aus dem Jahr 2016. Dieser ist vor allem deshalb spektakulär, weil er das Unternehmen insgesamt 40 Millionen Franken kostete! Eben diesen Betrag überwies die AG nämlich auf ausländische Konten - die Folge war unter anderem ein rapider Absturz der Aktie. Was genau passiert ist, erläuterte Leoni nicht, in einem offiziellen Statement hiess es nur, man sei „Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ geworden.
Die Vermutung liegt aber nahe, dass auch hier der Fake President Trick angewendet wurde und die Cyberkriminellen sich als Vorstandsmitglieder:innen und/oder Geschäftsführer:innen ausgaben, um die Angestellten zu täuschen. Leoni erhielt letztendlich 5 Millionen Franken durch eine Vertrauensschadenversicherung zurück und arbeitete intern den Fall auf. Aufgrund von Regelverstössen seien auch personelle Konsequenzen gezogen worden, interne Kontrollsysteme wurden ausgeweitet und überprüft, sowie Mitarbeiter:innen zum Fake President Trick geschult.
Wie wichtig interne Sicherheitsmassnahmen und die Schulung von Mitarbeiter:innen ist und wie Sie diese für Ihr Business umsetzen können, haben wir in diesem Artikel beschrieben: KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
Fake President Trick: Cyberkriminelle werden immer besser
Sie denken jetzt vielleicht: So etwas kann mir nicht passieren! Die Wahrheit ist jedoch: Jedem Unternehmen kann der Fake President Trick gefährlich werden. Denn die Chef-Masche wird immer beliebter und die Kriminellen immer kreativer. Stümperhaft verfasste Mails sind dabei die Ausnahme. Mittlerweile arbeiten die Betrüger:innen beispielsweise mit einer Software, die Stimmen nachahmen kann oder täuschend echten Mails, die sogar Firmen-Interna enthalten die heutzutage oft keine mehr sind, weil über das Internet und Social Media auch Insider-Wissen abgefragt werden kann). Nicht immer geht es direkt um eine Überweisung, oft werden auch Daten abgefragt und diese dann genutzt, um Konten zu sperren und Lösegeld zu erpressen.
Künstliche Intelligenz kann Stimmen imitieren
Wie täuschend echt eine Stimmsimulation sein kann, musste ein Energieversorgungs-Unternehmen aus Grossbritannien erfahren: Hier rief der vermeintliche CEO des deutschen Mutterkonzerns an und verlangte die Überweisung von CHF 225'000 an eine Zuliefererfirma, das Geld werde dann vom Mutterkonzern zurückerstattet. Als Grund für das Vorgehen nannte der Fake-CEO die Zeitverschiebung zwischen Deutschland und Grossbritannien und wies auf eine ansonsten verpasste Zahlungsfrist hin. Die Cyberkriminellen nutzen für den Anruf ein Programm, das die Stimme des deutschen CEO inklusive Akzent perfekt imitierte. Das Geld wurde wie gewünscht überwiesen. Als der Betrug auffiel, waren die CHF 225'000 verloren.
Auch die Funk-Gruppe berichtet von Fake-President-Attacken über mehrere Jahre, die eine steile Lernkurve der Kriminellen zeigen bis hin zu real existierenden Unternehmensberater:innen, die mit in die Betrugsversuche „integriert“ wurden.
Risikofaktor Homeoffice
Seit Beginn der Corona-Pandemie ermöglichen immer mehr Unternehmen ihren Mitarbeiter:innen die Arbeit von Zuhause aus – etwas, dass sich auch Cyberkriminelle zu Nutzen machten. So erhielten immer wieder Mitarbeiter:innen im Homeoffice Anrufe von der IT-Abteilung, in denen sie unter einem Vorwand zur Herausgabe ihrer Login-Daten aufgefordert wurden. Mit den Daten sperren die Cyberkriminellen dann Zugänge und geben sie nur gegen Lösegeldzahlung wieder frei. Es gibt aber auch Fälle, in denen die Kriminellen E-Mails an die Kundinnen und Kunden eines Unternehmens verschickten und diesen vermeintlich neue Bankverbindungen für die Prämienzahlungen mitteilten.
So enttarnen Sie den Fake President Trick
Das Wichtigste ist zunächst, dass Sie sich über die aktuellen Maschen der Cyberkriminellen auf dem Laufenden halten und Ihre Mitarbeiter:innen darüber informieren. Diese Anzeichen sprechen für eine Fake President Attacke:
- Die E-Mail enthält keine oder eine veränderte Signatur
- Die Anrede, der Inhalt der Mail oder die Grussformel weichen vom üblichen Sprachgebrauch im Unternehmen ab
- Sie werden auf einmal geduzt bzw. gesiezt, obwohl sonst das Gegenteil der Fall ist
- Anrufe erfolgen mit unterdrückter Rufnummer
- Aufforderungen zur Überweisung von Beträgen kommen nicht vom unmittelbaren Vorgesetzten, sondern von höheren Führungskräften (evtl. sogar von Tochtergesellschaften oder anderen Standorten des Unternehmens)
- Es handelt sich um ungewöhnlich hohe Summen, die überwiesen werden sollen
Unternehmen vor Fake President Trick schützen
Der wichtigste Schutz bei Social Engineering Attacken wie dem Fake President Trick ist auf jeden Fall die Schulung Ihrer Mitarbeiter:innen. Das betrifft zum einen das Erkennen betrügerischer Mails, aber umfasst auch weitere Massnahmen, die das Risiko minimieren, dass Ihr Unternehmen Betrüger:innen auf den Leim geht:
- Geben Sie klare Anweisungen zum Ablauf von Zahlungsaufträgen und Überweisungen. Jede:r Mitarbeiter:in im Unternehmen muss wissen, wer Zahlungsaufträge erteilen darf und wer nicht
- Führen Sie ein Mehr-Augen-Prinzip ein, legen Sie dieses schriftlich fest und stellen Sie sicher, dass der Prozess für alle Mitarbeiter:innen jederzeit einsehbar ist
- Machen Sie deutlich, dass die Vorgaben immer eingehalten werden, auch bei (vermeintlich) vertraulichen Transaktionen
- Führen Sie regelmässige Schulungen durch, evtl. mit Test-Mails (sogenannte Social Engineering Tests)
Weitere Informationen zu Social Engineering gibt es in unserem Artikel: Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können.
Kein Fake: Die Berufshaftpflicht über exali
Ob Fake President Trick oder andere Cybercrime-Maschen: Mit einer Berufshaftpflichtversicherung über exali ist Ihr Unternehmen geschützt. Schäden durch Social Engineering oder auch Vertrauensschäden durch eigene Mitarbeiter:innen (zum Beispiel Griff in die Unternehmenskasse) sind in allen Versicherungen mitversichert.
Ihren Versicherungsschutz können Sie ausserdem mit dem Zusatzbaustein Datenschutz- und Cyber-Eigenschaden-Deckung (DCD) erweitern. Dann übernimmt der Versicherer auch die Kosten für die Wiederherstellung und Bereinigung Ihrer eigenen IT-Systeme.
Sie wollen lieber eine eigenständige und flexible Lösung für Cyber-Risiken? Dann können Sie die Cyber-Versicherung auch als „Stand-alone-Lösung“ abschliessen und sich mit verschiedenen Modulen Ihre ganz individuelle Cyber-Versicherung zusammenstellen.
Wenn Sie selbst als Geschäftsführer:in, Manager:in oder Mitarbeiter:in mit Sonderfunktion (zum Beispiel Compliance-Beauftragte:r) auf den Fake President Trick hereinfallen und damit Ihr Unternehmen schädigen, kann es sein, dass Sie dafür persönlich haften müssen. Für die Absicherung von Geschäftsführer:innen, Vorständen und Beauftragten gibt es die D&O-Versicherungen über exali.ch. Auch grob fahrlässiges Handeln ist damit abgesichert.
Gerne können Sie sich auch bei unseren Kundenbetreuer:innen über unsere Versicherungsprodukte beraten lassen und mit ihnen gemeinsam die bestmögliche Lösung zusammenstellen. Sie erreichen unser Kundenservice-Team telefonisch von Montag bis Freitag 09:00 Uhr bis 18:00 Uhr unter der +41 (0) 58 255 60 00 oder per E-Mail über unser Kontaktformular.
Ehem. Chefredakteurin Online-Redaktion
Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun bei exali als Chefredakteurin in der Online-Redaktion für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fussball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.