Woche 2: CEO-Betrug richtet sich gegen Firmen in der Romandie – die Betrüger rufen auch an

17.01.2023 - Der Meldeeingang des NCSC hat sich in der zweiten Woche 2023 mit 836 Meldungen im Vergleich zur Neujahrswoche merklich erhöht. Die bereits bekannte CEO-Betrugs-Masche erlebt aktuell ein Revival. Dabei rufen die Betrüger die Opfer zusätzlich zur E-Mail auch noch an, um ihren betrügerischen Forderungen Nachdruck zu verleihen.

In der vergangenen Woche haben sich Meldungen zu Angriffen gegen Firmen gehäuft. Dabei handelte es sich um sogenannten CEO-Betrug. Bei dieser Angriffsart werden zwei Techniken kombiniert, welche bei fast allen Cyberangriffen in der einen oder anderen Art angewendet werden: Einerseits ist dies Open Source Intelligence (OSINT) und andererseits Social Engineering.
Der Begriff OSINT bedeutet, dass die Angreifer vorgängig möglichst viele Informationen über ihr Angriffsziel aus öffentlich zugänglichen Quellen in Erfahrung bringen. Als Social Engineering wird die direkte Interaktion mit der angegriffenen Person bezeichnet, um diese zu manipulieren und letztendlich dazu zu bewegen, den Angreifer zu unterstützen.
Bei einem CEO-Betrug wird durch die Angreifer klassischerweise mit OSINT ermittelt, wie der Direktor – also der CEO, daher der Name dieses Betrugs – und der Finanzverantwortliche heissen. Bei Vereinen sind das jeweils der Vereinspräsident und der Kassier. Mittels einer E-Mail mit gefälschtem Absender an den Finanzverantwortlichen wird dieser vom vermeintlichen CEO angewiesen, in einer angeblich dringenden und vertraulichen Angelegenheit, eine Zahlung auszulösen.

Bei den aktuell gemeldeten Fällen haben sich die Angreifer noch eine zusätzliche Finte einfallen lassen: Sie rufen direkt beim Finanzverantwortlichen an und stellen sich als angeblicher Angestellter – Maître Muller – einer bekannten Wirtschaftsprüfungs-Firma vor. In diesem Gespräch erwähnen sie, dass sie angeblich den Firmenchef kennen und dieser sie direkt an den Finanzverantwortlichen verwiesen habe. Sie erklären dem Finanzverantwortlichen, dass der Direktor anschliessend eine E-Mail mit den Details zur Bezahlung senden würde.

Die angeblich vom CEO stammende E-Mail mit Anweisungen an die finanzverantwortliche Person.
Die angeblich vom CEO stammende E-Mail mit Anweisungen an die finanzverantwortliche Person.

Die angeblich vom Direktor stammende E-Mail weist die finanzverantwortliche Person an, sich direkt beim Betrüger zu melden. Wegen der Vertraulichkeit des Geschäfts soll nur die private E-Mail des Chefs verwendet werden (Kasten 2 im Bild). Das Ganze sei natürlich auch «sehr dringlich» (Kasten 1 im Bild).

Interessant sind die für den Betrug benutzten und bereits bekannten E-Mail-Adressen consultant.com, dr.com usw. (siehe Wochenrückblick 11 von 2022). Die Masche mit dem Anruf wird aktuell ausschliesslich aus der Romandie gemeldet, was darauf hindeutet, dass die Angreifer aus dem französischen Sprachraum stammen. Es ist aber nicht auszuschliessen, dass diese Masche anschliessend auch noch in der deutsch- und italienischsprachigen Schweiz zur Anwendung gelangt.

Empfehlungen:

  • Sensibilisieren Sie alle Mitarbeitenden bezüglich CEO-Fraud! Insbesondere die Mitarbeitenden in den Finanzabteilungen und in Schlüsselpositionen sind über diese möglichen Angriffsweisen zu informieren. Bei Vereinen sind alle Mitglieder mit Präsidenten- oder Kassierfunktion zu schulen.
  • Geben Sie keine internen Informationen preis und seien Sie bei Zahlungsaufforderungen vorsichtig: Kommen Sie keinen ungewöhnlichen Zahlungsaufforderungen nach.
  • Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten firmen- oder behördenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden. (z. B. Vier-Augen-Prinzip, Unterschrift Kollektiv zu zweien).

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 17.01.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_2.html