CEO Fraud

Kategorie: Mail-Sicherheit

Was passiert beim CEO Fraud?

Hierbei handelt es sich um eine Form des sogenannten Social Engineerings, bei dem die "Schwachstelle Mensch" ausgenutzt wird. Bei dieser Betrugsmethode geben sich Hacker als Geschäftsführer, Manager oder Chef eines Unternehmens aus. Um glaubwürdig zu wirken, recherchieren Betrüger sowohl Namen und E-Mail-Adresse des Firmenchefs als auch von Personen, die zahlungsberechtigt sein könnten. Diese Informationen sind leicht über die Unternehmenswebseite, PR-Mitteilungen oder Handelsregistereinträge zu beschaffen.

Mitarbeiter werden unter einem Vorwand dazu aufgefordert, Transaktionen wie z. B. das Überweisen eines Geldbetrags auf ein Konto abzuwickeln. In den E-Mails wird mit Deadlines oder drohenden Klagen ein Handlungsdruck auf den Empfänger ausgeübt. Die Betrüger verwenden häufig täuschend echt nachempfundene E-Mails. Da Mitarbeiter unter Umständen ungefragt nur aufgrund der Autorität des Chefs große Geldbeträge überweisen, stellt CEO Fraud ein großes Risiko für Unternehmen dar.

Wie kann man sich vor CEO Fraud schützen?

Training und Sensibilisierung der Mitarbeiter

Sensibilisieren der Mitarbeiter auf die Betrugsmasche
Schulungen anhand von konkreten Beispielen
Ständiges Informieren über neue Bedrohungen
Schärfen des Sicherheitsbewusstseins aller Mitarbeiter

Offene Unternehmenskultur

Offene Unternehmenskultur anstatt autoritären Führungsstiles.
Betrugsversuche können schneller aufgedeckt und verhindert werden.
Bei ungewöhnlichen Geschäftsvorfällen sollten Rückfragen bis in die Führungsetage möglich sein.

Absicherungs- und Freigabeprozesse bei Finanztransaktionen

Neben erhöhter Wachsamkeit und regelmäßigen Schulungen der Mitarbeiter sind klare und transparente Regeln das A und O.

Klare Abläufe und Zuständigkeiten
Prüfen von Abwesenheitsregelungen
Definierte Kontroll- und Freigabeprozesse
Gegenprüfungen bei Änderungen von Kontoverbindungen
Höchstgrenzen bei Überweisungen

Persönliche Rückversicherung beim Chef

Kontaktaufnahme im Verdachtsfall
Verifizieren der Zahlungsaufforderung über Rückruf beim genannten Auftraggeber

Auf Abweichungen und Fehler in E-Mails achten

Überprüfen der E-Mails auf Absenderadresse und korrekte Schreibweise
Womöglich existieren nur geringfügige Abweichungen in der E-Mailadresse, wodurch sich Angreifer enttarnen lassen.

Verbessern der Spam/Phishing Filter

CEO Fraud ist schwierig technisch zu verhindern. Gute Spam/Phishing Filter können das Risiko verringern, bieten aber keinen 100%-igen Schutz.

Einfache Betrugs-Mails können aufgedeckt werden.
Emails werden als verdächtig einstuft, die große Ähnlichkeit mit der im Unternehmen verwendeten Email-Adresse haben (aber dieser nicht gleichen).

Regelmäßige Sicherheitschecks

Neben menschlichen Schwachstellen, die beim CEO Fraud oftmals ausgenutzt werden, gibt es auch technische Schwachstellen, welche häufig die Eingangstore für Hacker sind.

Hier ist es wichtig, mögliche Schwachstellen rechtzeitig zu erkennen und zu beheben. Regelmäßige, automatisierte Sicherheitschecks können hierbei helfen.

Ich habe Interesse an Security Checks

Teresa Leonhartsberger

30. November 2021

Kategorie

Friendly Reminder

Das könnte Sie auch interessieren

Feature

Whitelabeling

Mit dem heiß ersehnten Feature Whitelabeling können Sie die Security Audit Plattform nach Ihrem eigenen Look & Feel anpassen. Um das neue Feature abzurunden, haben wir noch ein zusätzliches “Schmankerl” hinzugefügt: Read-Only Zugänge.

21. März 2024

Ratgeber

Alles zur NIS2-Richtlinie

Erfahren Sie alles Wichtige zur NIS2-Richtlinie in unserem Artikel: Wann ist sie in Kraft getreten, welche Unternehmen betrifft sie und welche konkreten Anforderungen müssen erfüllt werden?

13. März 2024

Feature

Bewertung der Sicherheit

Erfahren Sie in diesem Artikel, warum wir die Eintrittswahrscheinlichkeit als neuen Faktor zur Risikobewertung von Schwachstellen implementiert haben und wie die Bewertung der IT-Sicherheit in unserer Security Audit Plattform genau funktioniert.

28. Februar 2024

Zweck	Damit deine Cookie-Präferenzen berücksichtigt werden können, werden diese in den Cookies abgelegt.
Daten	Akzeptierte bzw. abgelehnte Cookie-Kategorien
Gesetzt von	Lywand Software GmbH
Privacy Policy	lywand.com/datenschutzerklaerung

Zweck	Durch dieses Webanalyse-Tool ist es uns möglich, Nutzerstatistiken über deine Websiteaktivitäten zu erstellen und unserer Website bestmöglich an deine Interessen anzupassen.
Daten	anonymisierte IP-Adresse, pseudonymisierte Benutzer-Identifikation, Datum und Uhrzeit der Anfrage, übertragene Datenmenge inkl. Meldung, ob die Anfrage erfolgreich war, verwendeter Browser, verwendetes Betriebssystem, Website, von der der Zugriff erfolgte.
Gesetzt von	Google Ireland Limited
Privacy Policy	policies.google.com/privacy

Zweck	Darstellung des Unternehmensstandorts mithilfe des Kartendienstes von Google.
Daten	Datum und Uhrzeit des Besuchs, Standortinformationen, IP-Adresse, URL, Nutzungsdaten, Suchbegriffe, geografischer Standort
Gesetzt von	Google Ireland Limited
Privacy Policy	policies.google.com/privacy

Zweck	Komfortable Terminfindung über Calendly direkt auf der Website.
Daten	Termininformationen, Kalenderinformation, Informationen von Software Drittanbietern, Zahlungsinformationen, Chatbot Daten, Marketing Informationen, Log & Geräte Daten, Cookie Daten, Nutzungsdaten
Gesetzt von	Calendly LLC
Privacy Policy	calendly.com/privacy

Zweck	Diese Datenverarbeitung wird von YouTube durchgeführt, um die Funktionalität des Players zu gewährleisten.
Daten	Geräteinformationen, IP-Adresse, Referrer-URL, angesehene Videos
Gesetzt von	Google Ireland Limited
Privacy Policy	policies.google.com/privacy