19.08.2016 | Social Engineering

Cyber-Kriminelle geben sich per E-Mail als Chef aus und erbeuten Geld oder Geschäftsgeheimnisse

Immer mehr Unternehmen werden durch Social Engineering geschädigt, aktuell auch mit der Chef-Masche
Bild: Haufe Online Redaktion

Seit einiger Zeit ist bei Internet-Ganoven eine besondere Form des Social Engineering populär – die sogenannte Chef-Masche. Hierbei geben sich die Betrüger als Chefs bzw. leitende Angestellte des Unternehmens aus und veranlassen per E-Mail Überweisungen oder fordern Informationen an, wodurch Firmen teilweise ganz massiv geschädigt werden.

Online-Betrügereien zielen immer öfter nicht mehr nur auf eher arglose Privatanwender ab, auch Firmen geraten zunehmend ins Visier der Täter.

Dabei erbeuten die Angreifer teilweise erhebliche Geldbeträge oder bringen sich in den Besitz wichtiger Geschäftsgeheimnisse, was für die betroffenen Unternehmen mitunter existenzbedrohende Ausmaße annehmen kann.

Aktuelles Beispiel

Jüngstes Opfer eines solchen Betrugs könnte etwa der im MDAX notierte Autozulieferer Leonie gewesen sein, bei dem die Betrüger unter Verwendung falscher Identitäten und gefälschter Unterlagen sogar bis zu 40 Millionen Euro erbeutet haben sollen, wie das Unternehmen in einer Pressemitteilung bekannt gab.

Vieles in diesem Fall deutet dabei auf die sogenannte Chef-Masche hin, mit der die Cyber-Kriminellen weltweit wohl bereits Schäden im Milliardenbereich verursacht haben sollen.

Vermeintlicher Vorgesetzter fordert per Mail außerplanmäßige Aktion

Click to tweet
  • Bei diesen professionellen Betrugsversuchen wenden sich die Ganoven meist per E-Mail an Mitarbeiter mit Finanzbefugnissen und geben sich diesen gegenüber als Vorgesetzter, Chef des Unternehmens oder ähnliches aus
  • und fordern diese beispielsweise auf, außerplanmäßige Überweisungen möglichst schnell durchzuführen.
  • Häufig wird dabei auf absolute Geheimhaltung gedrängt oder dem Adressaten wird mit anderen Argumenten die Dringlichkeit und Vertraulichkeit diese Aktion erklärt.

Die Empfänger der E-Mails schöpfen dabei meist keinen Verdacht, da die E-Mail-Absenderangaben meist gefälscht sind oder sich die Betrüger eventuell sogar Zugang zum echten E-Mail-Postfach verschaffen konnten. Zudem entsprechen die E-Mails auch im Hinblick auf Inhalt und Stil den regulären E-Mails und sind daher kaum als Betrugsversuch zu erkennen.

Oft geht es nicht um Geld, sondern um Geschäftsgeheimnisse

Nicht nur Geldzahlungen auf fremde Konten werden auf diese Weise veranlasst, teilweise versuchen die Betrüger aus diese Weise auch, sich in den Besitz von Geschäftsgeheimnissen oder anderer sensibler Daten zu bringen.

  • Die notwendigen Informationen, um dieses Social Engineering erfolgreich durchführen zu können, besorgen sich die Kriminellen auf unterschiedlichen Wegen.
  • Teilweise sammeln sie dazu Informationen aus frei zugänglichen Quellen wie etwa den Firmen-Websites oder auch sozialen Netzwerken wie Facebook, Xing oder LinkedIn.
  • Mitunter versuchen sie aber auch, über Telefonanrufe Vorlieben oder Besonderheiten in Erfahrung zu bringen, um mit diesen Informationen die E-Mails noch glaubwürdiger gestalten können. 

Social Engineering oftmals erfolgreich

Dieser Chef-Masche sind weltweit schon zahlreiche Unternehmen zum Opfer gefallen, nach Schätzungen des FBI sollen in den letzten drei Jahren weltweit bereits über 17.000 Unternehmen zum Opfer derartiger Betrügereien geworden sein, der Schaden soll dabei mehr als 2,3 Milliarden Dollar betragen haben.

Worauf beruht der Erfolg?

Die hohe Erfolgsquote beim Social Engineering führen Experten beim LKA auf verschiedene Faktoren zurück. Eine Mischung aus Autoritätshörigkeit, Hilfsbereitschaft, mangelndes Gefahrenbewusstsein und fehlende Sicherheitsstandards führe häufig dazu, dass die E-Mail-Empfänger den Aufforderungen in den E-Mails nachkommen.

Vorsichtig bleiben: Einen hundertprozentigen Schutz vor derartigen Betrügereien gibt es nicht.

Sicherheitsexperten empfehlen, gerade bei E-Mails, die mit Dringlichkeit und Nachdruck schnelle Überweisungen oder sensible Daten anfordern, vorsichtig zu bleiben und im Zweifel doch einen telefonischen Kontakt zum Absender herzustellen.

Weitere News zum Thema:

Cyberkriminalität - fast jedes zweite Unternehmen ist betroffen

Für die meisten Cyberattacken sind "Insider" verantwortlich

Immer besser getarnte Cyberangriffe

Leitfaden für Betriebe zur IT-Sicherheit

Schlagworte zum Thema:  Cyberkriminalität, Online

Aktuell

Meistgelesen