CEO Fraud – was steckt hinter dem Chef-Betrug? (2024)

Beim CEO Fraud nutzen Cyberkriminelle per E-Mail die Identität des oder der GeschäftsführerIn (englisch: CEO / Chief Executive Officer), um beim potenziellen Opfer vertrauliche Informationen oder geheime Zugangsdaten zu erschleichen. Häufig wird dazu eine Stresssituation erzeugt, sodass dem Opfer scheinbar nur wenig Zeit bleibt, um die E-Mail zu verifizieren und Zweifel an der Identität des E-Mail-Gegenübers zu kommunizieren. Der CEO Fraud kann verschiedene Erscheinungsformen annehmen, nutzt aber in der Regel öffentlich zugängliche Informationen, die das Unternehmen selbst zur Verfügung stellt.

Betrugsmasche mit Unternehmensinformationen

Cyberangriffe per CEO Fraud verzeichnen seit Jahren immer mehr Zulauf. ExpertInnen schätzen den Schaden, der dadurch seit 2014 in deutschen Unternehmen entstanden ist, auf rund 190 Millionen Euro. Zwar berichten die Betroffenen aus Imagegründen nur sehr selten über erfolgreiche CEO Fraud Attacken. Dennoch zeigt die hohe Schadenssumme, dass diese Art des Hackings häufig von Erfolg gekrönt ist.

Dabei lässt sich eine feststehende Definition nur mit Mühe bestimmen. Wie auch andere Cyberattacken, wandeln sich auch die Erscheinungsformen beim CEO Fraud. Allen gemein ist aber, dass Hacker Mitarbeitende des Unternehmens direkt manipulieren, indem sie ihnen eine falsche Chef-Identität vorspiegeln. Ob CEO, AbteilungsleiterIn oder andere Vorgesetzte: Die Schwachstelle Mensch wird auch beim CEO Fraud zum Nachteil des Unternehmens ausgenutzt und kann so zu großem wirtschaftlichen Schaden führen.

Wie läuft der CEO Fraud ab?

Der CEO Fraud zeichnet sich durch zwei verschiedene Erscheinungsformen aus.

  • Name-Spoofing: Beim Name-Spoofing nutzen Cyberkriminelle den Namen des oder der GeschäftsführerIn, versenden die gefälschte E-Mail aber von einem anderen E-Mail-Konto. Dieses kann dem echten E-Mail-Konto ähnlich sein, unterscheidet sich aber durch einzelne Buchstaben oder Buchstabendreher. Durch die erzeugte Stresssituation setzen die Hacker darauf, dass die EmpfängerInnen der E-Mail die abweichende E-Mail-Adresse nicht bemerken und folglich von der Authentizität der E-Mail ausgehen.
  • E-Mail-Spoofing: Das E-Mail-Spoofing nutzt sowohl den Namen des oder der GeschäftsführerIn als auch die richtige Absenderadresse. Aufgrund technischer Voreinstellungen wird die Antwort allerdings nicht an die Absenderadresse geschickt, sondern an eine andere Antwortadresse. Diese gehört den Cyberkriminellen, denen damit das weitere Vorgehen möglich gemacht wird.

Gerade das Name-Spoofing lässt sich vermeiden, wenn Mitarbeitende im Unternehmen über ein geschultes Sicherheitsbewusstsein verfügen. Dazu gehört auch eine entsprechende Cyberresilienz gegenüber den typischen Sicherheitsbedrohungen und der aufmerksame Umgang mit E-Mails. Um Ihr Unternehmen nicht nur gegen Cyberangriffe zu wappnen, sondern ganzheitlich beim Thema IT-Sicherheit zu schützen, bieten sich die Online-Schulungen von lawpilots im Bereich der Informationssicherheit für Mitarbeitende an.

Woher bekommen Cyberkriminelle die notwendigen Informationen?

Beim CEO Fraud nutzen die AngreiferInnen Informationen, die sich aus öffentlich zugänglichen Quellen ergeben. Unternehmen stellen diese häufig selbst zur Verfügung. Wirtschaftsberichte, die hinterlegten Daten im Handelsregister, die unternehmenseigene Webseite oder auch gedruckte Broschüren eignen sich bestens als mögliche Informationsquelle.

Ebenfalls nützliche Informationen ergeben sich regelmäßig aus den sozialen Netzwerken. Hier geben Unternehmen scheinbar unkritische Details preis, die Hacker für einen CEO Fraud nutzen.

Wie können sich Unternehmen aktiv vor einem CEO Fraud schützen?

Unternehmen können nachweislich aktiv gegen Angriffsversuche mittels CEO Fraud vorgehen. Dazu zählt in erster Linie die bereits erwähnte Sensibilisierung der Belegschaft. Mit interaktiven E-Learnings bietet lawpilots hierbei die Möglichkeit, Unternehmen nachhaltig vor Schäden durch Cyberattacken zu schützen.

Neben Schulungen und Weiterbildungen gibt es auch ganz konkrete Tipps, mit denen Sie Ihr Unternehmen vor CEO Fraud-Angriffen schützen können.

  • Achten Sie darauf, was Sie offiziell bzw. unternehmensseitig publizieren und der Öffentlichkeit präsentieren. Das gilt vor allem für Informationen auf der Webseite und in den sozialen Netzwerken. Besonderes Augenmerk gilt hierbei den Angaben über Mitarbeitende – Telefonnummern, E-Mail-Adressen und Erreichbarkeiten bieten Cyberkriminellen mögliche Einstiegsmöglichkeiten für einen Angriff.
  • Mitarbeitende sollten eingehende E-Mails auch unter Zeitdruck und Stress auf die Absenderadresse kontrollieren und dabei gerade auch auf die korrekte Schreibweise achten. Bei Zweifeln, Auffälligkeiten oder Unklarheiten sollte die Verifizierung als Kontrollmechanismus verpflichtend eingeführt werden. Rückfragen können mündlich, aber auch schriftlich formuliert werden.
  • Bestehen Zweifel an der Identität des Gegenübers, ist die Herausgabe von weiteren Informationen sofort zu stoppen. Mitarbeitende sollten die Anweisungen dann nicht befolgen, sondern auf vorher festgelegte Prozesse zurückgreifen, die im Unternehmen für solche Fälle definiert werden.

CEO Fraud funktioniert auch auf analogem Weg

Der CEO Fraud beschränkt sich nicht nur auf digitale Wege. Er funktioniert genauso auch auf analogem Weg. Die TäterInnen nutzen dann Briefe, die angeblich von Angehörigen des Vorstands oder von einer Bundesbehörde stammen. Auch dabei ist das Ziel, die Mitarbeitenden im Unternehmen zu manipulieren. Durch die Digitalisierung sind aber digitale Versuche des CEO Frauds wesentlich häufiger als analoge Versuche.

Fazit

Auch 2022 gehört der CEO Fraud zu den gefährlichsten Cyberangriffen auf Unternehmen in Deutschland. Dies liegt zum einen in der scheinbaren Einfachheit des Angriffs begründet und zum anderen im schnellen Erfolg. Allerdings kann eine Cyberattacke ihre Wirkung nur dort entfalten, wo Mitarbeitende nicht ausreichend über Angriffsmöglichkeiten und Sicherheitsrisiken informiert sind.

lawpilots ist erfahren in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Mitarbeitenden nicht nur zum Thema IT-Sicherheit, sondern auch in den Bereichen Datenschutz, Compliance und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitenden Ihr Unternehmen aktiv vor Bedrohungen und Schäden durch Hacker schützen und Risiken frühzeitig identifizieren und umgehen.

Inhaltsangabe

  • Betrugsmasche mit Unternehmensinformationen
  • Wie läuft der CEO Fraud ab?
  • Woher bekommen Cyberkriminelle die notwendigen Informationen?
  • Wie können sich Unternehmen aktiv vor einem CEO Fraud schützen?
  • CEO Fraud funktioniert auch auf analogem Weg
  • Fazit

Der lawpilots Newsletter

Immer auf dem neusten Stand! Erhalten Sie Produktupdates, exklusive Rabatte, kostenlose Whitepapers, spannende Blogartikel und Event-Infos zuerst!

Jetzt abonnieren

CEO Fraud – was steckt hinter dem Chef-Betrug? (2024)

FAQs

What is the red flag in CEO fraud emails? ›

Spoofed email addresses and URLs that are very close to actual corporate addresses, but only slightly different. Sudden urgency or time-sensitive issues. Phrases such as “code to admin expenses,” “urgent wire transfer,” “urgent invoice payment” and “new account information” are often used, according to the FBI.

What is CEO fraud in Gmail? ›

CEO Fraud is a type of spear phishing email attack in which the attacker impersonates your CEO.

How do you report CEO fraud? ›

Attempted or successful CEO fraud attacks should be reported immediately to a company's IT department, to senior leadership (including the person whose identity was impersonated) and to the bank from which any funds were transferred.

Which of the following is the best way to prevent CEO fraud? ›

CEO Fraud Prevention Tips

Implement access and cybersecurity controls that will help stop malicious emails (e.g., email filters and DMARC). Use security policies to block emails and wire transfers based on a simple email message.

How does CEO fraud affect you? ›

Most compliance regulations require organisations to alert customers after a data breach, so CEO fraud could lead to brand reputation damage and litigation costs. Employees who fall for CEO fraud risk losing their jobs, especially if the targeted victim was another executive.

What is the most common red flag observed regarding a fraud suspect? ›

The two most common red flags include living beyond one's means and financial difficulties. While all of these behavioral red flags can be clues to help detect fraud, none should be considered in isolation.

What is an example of CEO fraud? ›

The first example of CEO fraud, a form of business email compromise (BEC), involves a request for a bank or wire transfer to pay a false invoice. In this example, the attacker impersonates the CEO or another senior executive within the company and typically targets a member of staff within accounts payable.

What is a CEO fraud tactic? ›

CEO Fraud Targets

As mentioned earlier, this scam is carried out by spoofing the email address of a company's CEO or other high-ranking executives and then sending fraudulent emails to employees to trick them into transferring money or sensitive information to the attacker.

What is CEO scamming format? ›

They ask that an urgent payment be made. They use expressions such as: “Confidentiality”, “The company is relying on you”, “I'm not reachable at the moment”. They talk about a sensitive matter (e.g. a tax audit, a merger or an acquisition). The employee is required to not follow the usual authorisation procedures.

Can you sue a CEO personally? ›

“Piercing” Circ*mstances

CEOs can also face civil liability when there is justification for piercing the corporate veil. Private litigants can seek to pierce the corporate veil in circ*mstances involving: Commingling of personal and corporate assets and debts. Acts that exceed the CEO's corporate authority.

How to track down someone who scammed you? ›

Utilize social media platforms to search for the scammer's name or usernames. Look for any profiles or accounts that match details they provided you with. Employ reverse search tools designed to connect names, phone numbers, or email addresses to publicly available information.

What is CEO fraud target? ›

A whaling attack, or CEO fraud, targets high-level executives like CEOs and CFOs. Unlike regular phishing scams, whaling attacks are highly personalized and leverage sophisticated tactics to trick victims.

CEO fraud: How to keep your users safeusecure Bloghttps://blog.usecure.io ›

Cyber criminals come up with new scams to dupe users every day. Most employees receive and open email messages on a daily basis, and all a cyber criminal needs ...
According to a worldwide survey, 65% of organizations experience at least one spear-phishing attack every year and one increasingly popular method is known as t...
CEO fraud is a type of phishing attack in which scammers pretend to be a high-ranking individual within an organization. Using this authority, they instruct emp...

What are corporate fraud red flags? ›

Refusal to implement internal countermeasures. Skipping approval steps. Living a lifestyle above their means or lavishing gifts on colleagues. Failing to keep appropriate or accurate records/receipts.

What are fraud emails that target executives? ›

Executive phishing is where cybercriminals impersonate the CEO or another high-ranking executive of an organization to deceive employees. They typically target employees in finance or HR to execute unauthorized transactions or reveal sensitive data or information.

References

Top Articles
Latest Posts
Article information

Author: The Hon. Margery Christiansen

Last Updated:

Views: 5310

Rating: 5 / 5 (50 voted)

Reviews: 81% of readers found this page helpful

Author information

Name: The Hon. Margery Christiansen

Birthday: 2000-07-07

Address: 5050 Breitenberg Knoll, New Robert, MI 45409

Phone: +2556892639372

Job: Investor Mining Engineer

Hobby: Sketching, Cosplaying, Glassblowing, Genealogy, Crocheting, Archery, Skateboarding

Introduction: My name is The Hon. Margery Christiansen, I am a bright, adorable, precious, inexpensive, gorgeous, comfortable, happy person who loves writing and wants to share my knowledge and understanding with you.