Cyberkriminelle geben sich als Führungspersonen aus

Das Bundesamt für Cybersicherheit (BACS) hat in den vergangenen Wochen mehrere Fälle von CEO-Betrugsversuchen verzeichnet. Wie die Behörde mitteilt, geben sich Cyberkriminelle dabei als Führungspersonen wie Firmen-CEOs, Abteilungsleiter oder Gemeindepräsidenten aus. Dazu würden sie im Vorfeld Informationen über Führungspersonen aus entsprechenden öffentlich zugänglichen Quellen beschaffen, etwa von Gemeinde-Websites oder sozialen Netzwerken.

Laut dem BACS kontaktieren die Betrüger daraufhin bewusst Mitarbeitende der Führungsperson, als die sie sich ausgeben. Dafür nutzen sie gefälschte E-Mail-Adressen, die ähnlich aussehen wie die offiziellen E-Mail-Kontakte der jeweiligen Organisationen. In den E-Mails behaupten sie dann, dringend eine Online-Geschenkkarte zu benötigen, die das Opfer kaufen und anschliessend den Gutschein-Code per Mail mitteilen soll. Die Betrüger versuchen dabei, das Opfer durch vorgetäuschte Autorität, Zeitdruck und klare Anweisungen zu manipulieren, heisst es weiter.

Bei einer anderen Masche fordert ein vermeintlicher Vorgesetzter per E-Mail eine Transaktion auf ein ausländisches Bankkonto. Die geforderten Beträge liegen dabei oft unterhalb von Genehmigungsschwellen, wodurch die Betrüger zusätzliche Kontrollen durch offizielle Stellen umgehen wollen. Gleichzeitig bestehen die Betrüger auf Vertraulichkeit, um Nachfragen und Überprüfungen seitens des Opfers zu vermeiden.

Empfehlungen des BACS

Das BACS empfiehlt, bei bereits getätigten Zahlung das jeweilige Finanzinstitut zu benachrichtigen, um die Transaktion allenfalls noch zu stoppen. Zudem sollten Opfer bei der lokalen Kantonspolizei Anzeige erstatten. Des Weiteren sollten folgende Massnahmen zur Prävention ergriffen werden:

• Verifizierung: Bei jeder ungewöhnlichen Zahlungsaufforderung oder Geschenkkarten-Anfrage per E-Mail ist eine Rückbestätigung beim vermeintlichen Auftraggeber über einen separaten, bekannten Kanal zwingend erforderlich. Antworten Sie niemals auf die E-Mail und nutzen Sie keine darin enthaltenen Kontaktdaten.
• Prozesse: Etablieren Sie klar definierte Zahlungsfreigabeprozesse, inklusive des Vier-Augen-Prinzips, besonders bei ausserordentlichen Transaktionen. Setzen Sie die strikte Einhaltung dieser Prozesse durch. Legen Sie klare Kompetenzregelungen und Limiten fest.
• Sensibilisierung: Schulen Sie alle Mitarbeitenden regelmässig, insbesondere Mitarbeitende im Finanzbereich und in Kaderpositionen. Sensibilisieren Sie diese Mitarbeitenden für die Gefahren von CEO-Betrug, Phishing und Social Engineering.
• Informationsmanagement: Seien Sie bei der Veröffentlichung detaillierter interner Organigramme und von direkten Kontaktdaten von Mitarbeitenden im Finanzbereich zurückhaltend.
• E-Mail-Sicherheit: Setzen Sie robuste Spam- und Phishing-Filter ein. E-Mail-Administratoren empfiehlt das BACS, Mechanismen zur Absenderverifikation (SPF, DKIM, DMARC) zu konfigurieren. Konfigurieren Sie die E-Mail-Umgebung so, dass die Mitarbeitenden darauf hingewiesen werden, falls die E-Mails von extern kommen.
• Authentisierung: Verwenden Sie wenn möglich starke Passwörter und die Zwei-Faktor-Authentisierung.

Internetbetrüger nutzen Social Engineering nicht nur, um sich auf Kosten ihrer Opfer finanziell zu bereichern. Gerne übernehmen sie auch fremde Nutzerkonten auf Social Media – und das mitunter auch mehrfach.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.