Bekannt unter den Namen CEO-Fraud oder Fake President Fraud oder auch Business Email Compromise (BEC) – die Masche ist oft die gleiche, der Schaden steigt. Über das Hellfeld konnte letzte Woche das LKA NRW auf dem CEO-Fraud Präventionstag in Düsseldorf berichten – ich dann über das Dunkelfeld, welches erwartungsgemäß dann doch höher ist. Der Direktor des LKA NRW bezeichnete das Tatmuster als „Enkeltrick 4.0“. Das bringt es auf den Punkt!
Ziel der so einmaligen Veranstaltung der Polizei war es, über CEO-Fraud aufzuklären und so weitere Straftaten zu verhindern, sowie Firmen vor erheblichen finanziellen Verlusten zu schützen. Wir berichten ja schon seit fast zwei Jahren von diesem Phänomen, dass auch in Deutschland tobt. Allein für NRW spricht das LKA von 31 Fällen mit ca. 39 Millionen Euro Schaden seit dem letzten Jahr. Passenderweise hat das FBI seinen Warnung vom April dieses Jahres im Juni wiederholt und kommt mittlerweile auf 3.1 Mrd. USD Schaden weltweit. Ein rasanter Anstieg seit der letzten Warnung. Wie gesagt, Hellfeld, wo das Opfer zur Polizei gegangen ist.
Dem Betrugsmuster, ob es sich nun um CEO-Fraud, Fake Identity Fraud, oder Payment Diversion handelt, liegt oft ein Social Engineering Angriff zu Grunde. Hierbei machen sich die Täter dann Neugierde, Unachtsamkeit oder auch Angst bzw. Ehrfurcht zu nutze. Die Fallzahlen allein für NRW sind schon recht beeindruckend, auch die erfolgreichen Vermögenssicherungsversuche. Dies sollte aber nicht darüber hinwegtäuschen, dass die Erfolgsquote beim Zurückholen des ergaunerten Geldes recht niedrig ist. Wenn überhaupt geht dies durch schnelle Reaktion der Opfer: Also Hausbank anrufen und dann auch Anzeige in einem Fachkommissariat erstatten. Die Warnhinweise und auch das KPMG CEO-Fraud / Fake President Präventionskonzept findet man auf der Webseite des LKA NRW http://www.polizei.nrw.de/lka/artikel__14015.html
Auch wenn wir die Fälle nicht gänzlich verhindern können, gibt es schon ein paar Tipps zu befolgen, um Social Engineering Angriff einzudämmen oder wenn dies nicht funktioniert, die unberechtigten Zahlungen schneller aufzudecken oder zu erschweren. Clean Desk Policy, keine internen Daten an fremde Anrufer herausgeben sind sicherlich Hinweise, die wir schon aus dem Informationsschutz kennen. Da eine Kontaktaufnahme recht häufig per E-Mail stattfindet, sollte man im Umgang mit diesem Medium folgende Hinweise beherzigen:
- Ist die Identita?t des Absenders einer E-Mail nicht sichergestellt, sollte man stets misstrauisch sein.
- Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen fu?r weitere Angriffe und Betrugsdelikte nutzen ko?nnen.
- Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umsta?nden perso?nliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
- Keine Links aus E-Mails kopieren, die perso?nliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben. URL auf Sinnhaftigkeit pru?fen.
- Bei Unklarheit u?ber die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizita?t der E-Mail zu u?berpru?fen. Die Telefonnummer sollte nicht aus der E-Mail stammen.
Wenn man sich die Seite der Zahlungsprozesse und -system anschaut, könnten u.a. folgende Probleme CEO Fraud begünstigende Faktoren sein – wobei man sich das im Kontext des Unternehmens vorher genauer anschauen muss:
- Dezentrale Stammdatenpflege
- Fehlende Transparenz u?ber Bankkonten
- Dezentraler Zahlungsverkehr
- Heterogene Formate & Prozesse
- Ungekla?rte Zusta?ndigkeiten (End-to-End)
- Manuelle Zahlungen
- Manuelle Kontoauszugsverarbeitung
Der WDR hat einen schönen Beitrag zur Veranstaltung gemacht. Der Blätterwald war auch voll mit der Veranstaltung – genau dies war die Absicht, um potentielle Opfer zu sensibilisieren.