Fast ein Drittel aller Firmen betroffen; Erfolgswahrscheinlichkeit hoch

Ob der Automobilzulieferer Leonie (Schadenshöhe: 40 Mio. EUR), das Tech-Magazin t3n oder ein badischer Mittelständler – sie alle wurden schon mit der perfiden „Chef-Masche“ (englisch: CEO-Fraud) angegriffen. Hierbei tarnen Cyberkriminelle falsche E-Mails so geschickt, dass sie sich von Mitarbeitern meist nur schwer als Fälschungen identifizieren lassen. Vor allem, da die Betrüger oft mit Druck und Dringlichkeit auf den Mitarbeiter einwirken. 2019 befragte die US-Tochter der Munich Re über 500 mittelständische Unternehmen zu ihren Erfahrungen mit Spear-Phishing-Mails. Das Ergebnis: Rund ein Drittel der Firmen hatten schon Erlebnisse mit gefälschten E-Mails von Vorgesetzten im eigenen Unternehmen. In fast der Hälfte der Fälle sind Mitarbeiter auf die Masche hereingefallen und haben teils fünfstellige Summen an falsche Konten überwiesen.

Spear-Phishing-Mails sind meist schwierig zu erkennen

Im Gegensatz zu klassischen Phishing-Mails, bei denen gefälschte, meist unspezifische E-Mails an eine große Anzahl von Adressaten verschickt werden, fokussieren sich Betrüger beim sogenannten Spear-Phishing gezielt auf einzelne Mitarbeiter, um an vertrauliche Daten zu gelangen oder ein bestimmtes Verhalten auszulösen. Eine spezielle Form des Spear-Phishings ist der sogenannte CEO-Fraud, Fake President oder CEO-Betrug. Hier erhalten Mitarbeiter täuschend echt wirkende E-Mails von vermeintlichen Vorgesetzten und sollen durch Autorität oder Zeitdruck zum schnellen und unüberlegten Handeln gebracht werden. Die Walfang-Methode (Whaling) ist ebenfalls eine spezielle Form des Spear-Phishings, richtet sich allerdings gezielt an Führungskräfte wie den CEO oder CFO. Hier spekulieren Betrüger auf wertvolle Geschäfts- und Bankdaten oder geben sich als Kunde aus, um Überweisungen auf falsche Konten zu veranlassen. Oft wird auch z.B. über ein gefälschtes Telefonat zunächst Vertrauen beim Mitarbeiter aufgebaut. Erst im zweiten Schritt wird dieser dann dazu gebracht, entgegen geltender Sicherheitsrichtlinien, in einer Folgemail auf einen Link zu klicken, wodurch z.B. Malware installiert wird. All diese Methoden haben eines gemeinsam – sie werden gezielt und aufwendig vorbereitet und sind dadurch für die nichts ahnenden Mitarbeiter oft besonders schwer zu erkennen.

Spear-Phishing

Wie läuft ein Spear-Phishing-Angriff ab? Die Vorbereitung.

Die Vorgehensweise ist beim Spear-Phishing immer ähnlich: Die Cyberkriminellen gehen sehr gezielt vor und wählen, je nach Zweck, einen kleinen Mitarbeiterkreis des Unternehmens aus. Oft handelt es sich dabei um Mitarbeiter aus Bereichen, die Zugang zu Bankdaten oder wertvollen Passwörtern haben. Das sind z.B. meist Mitarbeiter in der Buchhaltung oder Assistenten, die dazu motiviert werden sollen, eine betrügerische Überweisung auszuführen. Spear-Phishing ist mit einer guten Vorbereitung der Hacker verbunden – sie beschaffen sich vor ihrem Angriff reichlich Informationen über den ausgewählten Mitarbeiter. Dabei sammeln sie sowohl berufliche als auch private Informationen, teilweise auch illegal. Sie spähen Social Media-Profile oder Amazon-Konten aus und sammeln berufliche Informationen über die Firmenwebseite wie Organigramme, Telefonnummern und Messebesuche. Sind die Verhältnisse im Unternehmen erst einmal ausgespäht, kontaktieren die Betrüger den Mitarbeiter mit einer E-Mail unter einem Vorwand, der durch die vorherige Recherche sogar Insider-Wissen enthalten kann und dadurch täuschend echt wirkt.

Wie läuft ein Spear-Phishing-Angriff ab? Die Durchführung.

Vorgetäuscht wird beispielsweise eine dringliche E-Mail des Vorgesetzten, der aktuell auf Dienstreise ist. Unter dem Vorwand, dass er aktuell im Flugzeug säße und dementsprechend nicht selbst Handeln kann, die Überweisung aber unheimlich zeitkritisch ist, bittet er den Mitarbeiter eine hohe Summe an einen wichtigen Geschäftspartner zu überweisen – und zwar unverzüglich. Die Bankdaten fügt er hinzu. Im schlimmsten Fall fühlt der Mitarbeiter sich nun unter Druck gesetzt oder gestresst und überweist, ohne Prüfung der E-Mail oder Bankdaten, an die Betrüger. Diese arbeiten hier vor allem mit emotionalen Komponenten. Zeitlicher Druck, Autorität, Lob, Vertrauen oder Kenntnisse über das Privatleben des Mitarbeiters sind hier sehr wirkungsvoll. Spear-Phishing-Angriffe sind durch realistische Informationen inhaltlich schwer zu erkennen. Zusätzlich sind sie aber auch aufgrund technischer Raffinessen schwierig zu entlarven. Die Betrüger passen das E-Mail-Layout gekonnt an, sodass es auf den ersten Blick von einer echten Mail nicht zu unterscheiden ist. Das Zusammenspiel der inhaltlichen und der technischen Faktoren bildet die Grundlage für einen höchst gefährlichen Angriff.

Worauf sollten Nutzer achten?

Ein ungeschultes Auge erkennt die Anzeichen eines CEO-Fraud womöglich nicht auf den ersten Blick – genau das ist auch das Ziel des Hackers. Durch genaues Hinsehen lässt sich aber z.B. eine kleine Veränderung in der Absenderadresse erkennen und so die E-Mail als gefälscht enttarnen. Zu Warnsignalen zählen z.B. Abweichungen in der Domain aber auch kleine Veränderungen, wie das Ersetzen eines kleinen „L“s durch ein großes „i“ im Namen. Im kyrillischen Alphabet gibt es außerdem Zeichen, die manchen Buchstaben im deutschen Alphabet sehr ähneln – ein gefundenes Fressen für Hacker zur Verschleierung von Änderungen in E-Mails. Während klassische Phishing-Mails oft einer Rechtschreibprüfung nicht standhalten, sind Spear-Phishing-Mails heutzutage meist so professionell aufgesetzt, dass viele Betrugs-Mails nicht aufgedeckt werden. Auffälligkeiten und Ungereimtheiten in der Ansprache oder im Text können allerdings auf eine falsche E-Mail hinweisen: duzt oder siezt der Chef z.B. auf einmal? Links lassen sich prüfen, indem man mit dem Mauszeiger über den Link fährt und den sichtbaren Link mit dem Link-Ziel abgleicht. Stimmt er nicht überein, handelt es sich oft um eine Betrugs-Masche.

Gefährlich sind vor allem auch Weiterleitungen auf Webseiten mit Anmeldemasken. Sie können von den Tätern exakt nachgestellt werden und zielen auf das Eingeben des Passworts ab. Hier ist der Blick auf die URL enttarnend und ein Abgleich mit der originalen URL ratsam. Ist der Mitarbeiter nach der Prüfung nach wie vor unsicher über die Echtheit der E-Mail, hilft die telefonische oder persönliche Nachfrage beim Vorgesetzen oder beim IT-Sachzuständigen, um Klarheit zu schaffen.

Spear-Phishing Beispiel

Stärkung der menschlichen Firewall

Daher ist es enorm wichtig, die Mitarbeiter im gesamten Unternehmen zu schulen. Nicht nur die Mitarbeiter selbst, sondern auch die Führungskräfte können Ziel von Attacken werden, wie z.B. beim zuvor genannten Whaling. Regelmäßiges Awareness-Training bietet eine Möglichkeit, die Belegschaft für Cyberangriffe zu sensibilisieren und den Blick für gefälschte E-Mails zu schärfen. Sicherheitsschulungen in Form von Phishing-Simulationen sind flexibel einsetzbar und lassen auch die Inszenierung von gezielten Attacken zu. Langfristig kann ein geschultes Mitarbeiter-Auge diese Form von Cyberangriffen erkennen, die Sicherheit im Unternehmen stärken und große finanzielle sowie reputative Schäden vorbeugen.

 

Über SoSafe 
Die Awareness-Plattform von SoSafe sensibilisiert, schult und testet Mitarbeiter im Umgang mit dem Thema IT-Sicherheit. Phishing-Simulationen und interaktive E-Learnings bringen den Mitarbeitern auf effektive und nachhaltige Art und Weise bei, worauf bei der Nutzung z.B. von E-Mails, Passwörtern oder sozialen Medien besonders zu achten ist. Der Arbeitgeber erhält ein differenziertes Reporting und kann Awareness-Building endlich messbar machen – natürlich vollkommen DSGVO-konform. 

www.sosafe.de

Quellen: https://www.handelsblatt.com/unternehmen/mittelstand/kriminalitaet-ceo-betrug-auf-der-jagd-nach-den-falschen-chefs-/24456786.html?ticket=ST-10445219-zYmJq4CAGnhRRo4bEIuf-ap5; https://www.heise.de/select/ix/2019/6/1911314003884456728; https://t3n.de/news/bitte-zahlen-gruss-chef-1140902/; https://www.t-online.de/digital/sicherheit/id_87806918/ceo-betrug-waehrend-der-corona-krise-betrueger-entlocken-ihren-opfern-geld.html