So kann es passieren: CEO-Fraud

Bruno F., 45, wurde vor einigen Monaten zum stellvertretenden Leiter des Rechnungswesens eines mittelständischen Unternehmens im Bereich Maschinenbau befördert. Sein Unternehmen ist eines der vielen Hidden Champions aus der Provinz, in seinem Segment Weltmarktführer und hat inzwischen 11 Standorte, die sich auf drei Kontinente verteilen. Bruno selbst arbeitet am Konzern-Hauptsitz, wo sich die zentrale Buchhaltung um die Belange der über 2.500 Mitarbeiter weltweit kümmert.

Mitte Juli, während der Urlaubszeit, erhält Bruno eine dringende E-Mail des Geschäftsstellen-Leiters der Dependance aus Thailand. Aus der recht kurzen Mail geht hervor, dass es sich um eine eilige Terminsache handelt, welche Bruno vertraulich behandeln muss und sich dringend bei dem Kollegen melden sollte. Pflichtbewusst meldet sich Bruno auf die E-Mail zurück und erhält auch prompt eine Antwort. Darin wird Bruno angewiesen, eine Überweisung von 178.459 USD an einen Zulieferer aus dem chinesischen Nanking durchzuführen, da sonst ein wichtiger Auftrag verloren gehen würde. Die entsprechenden Überweisungs-Unterlagen findet er im Anhang.

Bruno hatte bisher kaum Kontakt zu seinen Kollegen aus Thailand. Sein Vorgesetzter genießt seinen wohlverdienten Jahresurlaub auch die Unternehmensleitung ist nicht greifbar. Um auf Nummer sicher zu gehen, bittet Bruno den Geschäftsstellen-Leiter aus Thailand um einen kurzen Rückruf. Dieser erfolgt auch umgehend. Nachdem Bruno erneut auf die Dringlichkeit hingewiesen wird, veranlasst er im Anschluss an das Telefonat die Überweisung von 178.459 USD nach China.

Bruno ist auf einen Betrüger hereingefallen. Die Kriminellen haben sich dabei einfacher Social Engineering Methoden bedient. Dass Bruno stellvertretender Leiter des Rechnungswesens ist, konnten die Kriminellen problemlos auf der Unternehmenswebseite erfahren. Dass sein Chef im Urlaub ist, konnte man an den Urlaubsgrüßen auf Facebook sehen. Auch der Name des angeblichen Geschäftsführers aus Thailand ließ sich problemlos auf der Unternehmensseite ermitteln. Mittels einfacher Skimming-Methoden ließ sich sowohl die Email-Adresse als auch die Rufnummer aus Thailand manipulieren. Und über die Geschäftsbeziehungen zu dem chinesischen Zulieferer wurde sowohl in der Presse als auch auf der Unternehmenswebseite berichtet.

Bruno Fall ist konstruiert, aber so ähnlich fallen leider regelmäßig Unternehmen auf CEO-Fraud rein.

Unternehmen empfehlen wir zu dieser Art von Zielphishen folgendes:

  • Klären Sie Ihre Mitarbeiter/innen über das Betrugsphänomen Zielphishen auf
  • Definieren Sie klare Prozesse für Auftrags-Überweisungen, insbesondere während der Urlaubszeit
  • Seien Sie bei ungewöhnlichen Zahlungsanweisungen insbesondere ins Ausland vorsichtig und fragen Sie im Zweifel bei Ihrem Kollegen persönlich nach
  • Vereinbaren Sie beispielsweise spezielle Codes für Überweisungen per E-Mail. Ändern Sie zum Beispiel ein winziges Detail in der Signatur, etwa dieHRB-Nummer oder wählen Sie eine bestimmte Anrede
  • Kontaktieren Sie Ihr Landeskriminalamt bzw. die örtliche Polizei