Die Fake President Attacke taucht immer mal wieder in den Medien auf. Was es damit auf sich hat und wie man sich vor einer solchen Attacke schützen kann, erklärt dieser Blogbeitrag.
Fake President, Ceo Fraud oder Enkeltrick 2.0 – Alle diese Begriffe beschreiben ein und dasselbe: Einen Cyberkriminellen, der probiert einen Mitarbeiter einer Firma dazu zu bringen, dass dieser ihm Geld überweist. Das heißt, dass sich der Hacker nicht in z.B. das Online Banking hackt und Geld an sich selbst schickt, sondern ganz gezielt den Mitarbeiter so manipuliert, dass dieser ihm aus freien Stücken Geld überweist. Jetzt fragen Sie sich wahrscheinlich: Warum sollte ein Mitarbeiter freiwillig einem Kriminellen Geld schicken? Der Grund dafür ist, dass der Hacker sich als jemand anderes ausgibt, zum Beispiel als Chef des Mitarbeiters. Daher auch der Name Ceo bzw. Fake President Fraud. Aber wie schafft es ein Hacker sich erfolgreich als Geschäftsführer einer Firma auszugeben?
Dazu gibt es verschiedene Möglichkeiten, die sich stark in der Erfolgswahrscheinlichkeit der Attacke unterscheiden. Angefangen bei einfachen Spam-Mails, über Social Engineering bis hin zu KI-Tools. Die einfachste Form des Ceo Fraud sind Spam-Mails. Dabei gibt sich der Angreifer mit Hilfe einer sogenannten Look-alike-Domain als Chef aus. Auf den ersten Blick sieht der Absender dann tatsächlich korrekt aus, jedoch erkennt man beim genaueren Hinsehen, dass die Absender-Domain nur ähnlich aussieht, allerdings nicht identisch. Beim Social Engineering benutzt der Hacker weiterführende Informationen, um Erfolg zu haben. Beispielweise sieht der Hacker auf Facebook, dass die Leiterin der Buchhaltung aktuell im Urlaub ist. Der Hacker erwähnt diese Information in der E-Mail und suggeriert damit Wissen, dass eigentlich nur Interne haben dürften. Wirklich gefährlich wird es, wenn der Hacker KI-Tools einsetzt, um seine eigentliche Identität zu verschleiern. So haben beispielsweise Cyberkriminelle mit Hilfe einer Künstlichen Intelligenz die Stimme des Chefs imitiert (Quelle: https://pdf.ic3.gov/2018_IC3Report.pdf). Der Mitarbeiter hörte die vertraute Stimme des Chefs und überwies dann den gewünschten Betrag auf ein ausländisches Konto.
Alle diese Techniken haben eins gemeinsam: Beim Opfer wird möglichst hoher Druck erzeugt. In der Regel werden Ausnahmesituationen suggeriert, weshalb typische Prozesse umgangen werden müssen und der Mitarbeiter quasi sofort das Geld ins Ausland überweisen muss. Beispielweise schickt der Chef um 16:45 Uhr am Freitag eine E-Mail, dass bis um 17 Uhr 80.000 € auf das Konto XY überwiesen werden müssen. Das Geld muss unbedingt am Montag ankommen, sonst verliert die Firma einen sehr wichtigen Kunden. Leider hat er das fast vergessen und zum Glück ist ihm das gerade noch vor Überweisungsschluss eingefallen. Daher die Bitte, dass der Mitarbeiter der Buchhaltung das Geld sofort überweist, damit die Firma den Kunden nicht verliert.
Doch funktionieren solche Attacken? Gibt es Mitarbeiter, die auf eine solche E-Mail reinfallen und das Geld überweisen? Leider ja und es handelt sich dabei nicht um Einzelfälle. Laut dem FBI belaufen sich die weltweiten Schäden durch Fake President Attacken auf über $26 Milliarden (Quelle: https://www.clarecomputer.com/blog/fbi-updates-statistics-ceo-fraud-is-now-a-26-billion-dollar-scam-and-growing/).
Was kann ich machen, um mich zu schützen?
Grundsätzlich hilft eine Schulung, die die Mitarbeiter mit dem Thema vertraut macht. Nichtdestotrotz schaffen es die Cyberkriminellen selbst bei geschulten Mitarbeitern eine erfolgreiche Fake President Attacke durchzuführen. Die Schulung senkt lediglich die Wahrscheinlichkeit, dass eine Attacke Erfolg hat. Eine 100%-ige Sicherheit gibt es leider nicht. Hier hilft nur eine Cyberversicherung, die im Fall der Fälle das „verlorene“ Geld erstattet.
Autor: Linus Töbke