14.04.2023

CEOs im Fadenkreuz von Betrügern

CEO-Betrug und die Gefahren von Social-Media-Daten: So schützen Sie Ihr Unternehmen vor Betrugsversuchen.

Ein dringendes E-Mail vom CEO mit der Anweisung, umgehend eine Überweisung auszuführen. Das ist nur ein Beispiel für die immer häufiger werdenden Betrugsversuche aufgrund der Social-Media-Daten von C-Level Mitarbeitenden.

Beim Nationalen Zentrum für Cybersicherheit NCSC gehen jede Woche rund 1'000 Betrugsmeldungen ein:

Erfahren Sie im heutigen Beitrag, wie Kriminelle auf der Suche nach Informationen sind und wie Sie einem Betrugsversuch vorbeugen können.

CEO-Betrug: Wie Angreifer an die benötigten Informationen kommen

Betrüger nutzen immer häufiger Daten aus öffentlichen Quellen wie Firmenwebsites und Social-Media-Plattformen, um CEO-Betrugsversuche zu starten. Dabei geben sich die Datendiebe als CEO aus und setzen Finanzverantwortliche unter Druck, um angebliche dringende Zahlungen auszulösen. Um an die benötigten Informationen zu gelangen, nutzen die Betrüger hauptsächlich Daten von Firmenwebsites, auf denen die Namen und E-Mail-Adressen von Chefs und Finanzverantwortlichen aufgeführt sind. Aber auch Social-Media-Kanäle wie Xing oder LinkedIn werden für CEO-Betrügereien immer häufiger genutzt. Dies kann schwerwiegende Folgen haben, einschliesslich finanzieller Verluste und Rufschädigung.

HR-Variante: Angriffe auf Personalverantwortliche

Eine der jüngsten Varianten dieser Betrugsversuche, auch HR-Variante genannt, richtet sich gegen Personalverantwortliche. Hierbei fordern die Betrüger den Personaldienst per E-Mail auf, die nächste Lohnauszahlung auf ein anderes Konto vorzunehmen. Um diesen Betrug durchzuführen, benötigen die Betrüger sowohl den Namen und die E-Mail-Adresse des Personalverantwortlichen als auch den Namen eines Mitarbeitenden. Im aktuellen Fall wurden diese Angaben auf der Website der Firma zwar nicht angezeigt. Eine erweiterte Suche ergab jedoch, dass die Betrüger die benötigten Daten auf Social-Media-Kanälen gefunden hatten.

Social-Media-Daten als Schlüssel

Gerade Plattformen wie Xing oder LinkedIn sind für Betrüger eine Fundgrube an Informationen. Hier werden berufliche Kontakte geknüpft und die Berufsbezeichnung ist ein zentraler Bestandteil. So ist es nicht ungewöhnlich, dass der Name und die Funktion des Personalverantwortlichen der Firma ersichtlich sind. Auch weitere Mitarbeitende der Firma, inklusive ihrer Funktionen, sind oft auf Social-Media-Plattformen zu finden.

Kein Grund zur Panik, aber zur Vorsicht

Allerdings gibt es auch eine gute Nachricht: Die Betrüger haben in der Regel nur einen Versuch, da die Mitarbeitenden rasch bemerken, dass der Lohn am Ende des Monats nicht ausbezahlt worden ist. Spätestens dann fällt der Betrug auf. Der Ertrag in dieser Betrugsvariante dürfte also eher gering sein, ausser es handelt sich um den Bonus eines Investmentbankers der Credit Suisse ;-)

Lösungsansätze: Sensibilisierung und Schulung der Mitarbeitenden

In einer Zeit, in der Social-Media eine immer wichtigere Rolle spielt, ist es sicherlich keine Lösung, Mitarbeitenden die Nutzung solcher Kanäle zu verbieten. Es ist jedoch wichtig, über die Risiken und die Schutzmassnahmen aufzuklären und diese ständig zu aktualisieren. Zudem sollten Unternehmen ihre Websites und Social-Media-Profile regelmässig daraufhin überprüfen, welche Informationen für Betrüger zugänglich sind und gegebenenfalls Massnahmen ergreifen, um diese zu schützen. Ein erhöhtes Bewusstsein und gezielte Massnahmen können dazu beitragen, dass Unternehmen vor CEO-Betrügereien und anderen Betrugsversuchen geschützt werden.

Unsere Empfehlungen für KMU, Organisationen und Vereine

Es ist wichtig, dass Sie Ihr Team darüber aufklären, was CEO-Betrug ist und wie man ihn verhindern kann. Insbesondere sollten Mitarbeitende in den Finanz- und Personalabteilungen sowie in Schlüsselpositionen darüber informiert werden, wie solche Angriffe ablaufen können. Sie sollten auch einen Prozess festlegen, wie Bankdaten schnell angepasst werden können. Es ist ratsam, bei diesem Prozess zwingend einen zweiten Kanal, wie z.B. eine telefonische Bestätigung zu verlangen. Ausserdem sollten klare Richtlinien festgelegt werden, welche Informationen die Mitarbeiter über die Firma preisgeben dürfen.