In den Sommerferien

NCSC warnt vor CEO-Betrug

Uhr
von Adrian Oberer und lha

Das NCSC meldet eine Zunahme an CEO-Betrugsfällen. Die Kriminellen wollen vermutlich die Sommerferien ausnutzen, da zu dieser Zeit viele Aufgaben von Stellvertreterinnen und Stellvertretern übernommen werden.

(Source: katemangostar / Freepik)
(Source: katemangostar / Freepik)

Das Nationale Zentrum für Cybersicherheit (NCSC) erhält vermehrt Meldungen von sogenannten CEO-Betrugsfällen. Den Anstieg in den vergangenen Tagen erklärt das NCSC mit dem Beginn der Sommerferien. Zu dieser Zeit seien angesichts der Ferienabwesenheiten viele Stellvertreterinnen und Stellvertreter am Werk. Das wollen Kriminelle ausnutzen.

Beim CEO-Betrug stellen Kriminell einem Unternehmen oder einem Verein Rechnungen im Namen des CEO oder des Vereinspräsidenten. Dazu komme oft Business E-Mail Compromise zum Zug. Dabei verschaffen sich Angreifer Zugang zum E-Mail-Postfach einer Firma, um so gefälschte Rechnungen einzuschleusen. Die Angreifer haben ihr Vorgehen mittlerweile angepasst, um länger unerkannt zu bleiben.

Das NCSC beschreibt das neue Vorgehen wie folgt:

"Die Betrüger reservieren eine Domäne mit einem ähnlichen Namen (in unserem Beispiel den Namen einer Anwaltskanzlei, die wir «Legal» nennen) und erstellen dafür eine entsprechende E-Mail-Adresse (MX-record – in unserem Beispiel «name@lega»).

In einem zweiten Schritt wird eine fiktive Kommunikation zwischen einem Angestellten des gefälschten Anwaltsbüros (zumeist nehmen die Betrüger dazu den Namen einer realen Person, welche dort arbeitet - in unserem Beispiel "Helen") und dem CEO der angegriffenen Firma erstellt (in unserem Beispiel "r*@*en.net").

Die Gefälschte Kommunikation, NCSC-Beispiel CEO-Betrug (Source: NCSC)

Alle in dieser Fake-Kommunikation verwendeten E-Mail-Adressen sind korrekt - da diese in Wirklichkeit nie stattgefunden hat, sondern sehr gut gefälscht wurden. In der gefälschten Kommunikation erkundigt sich "Helen" beim CEO wegen einer angeblich noch nicht bezahlten Rechnung. In der ebenfalls gefälschten Antwort des CEO - welche nun auch an die Buchhaltung der Firma gehen kann - anerkennt der CEO offenbar die Rechnung und weist die Buchhaltung an, möglichst rasch die Zahlung zu prüfen und allenfalls zu bezahlen.

Kurz darauf meldet sich "Helen" per E-Mail nochmals beim Direktor, bedankt sich für die Unterstützung und bittet die Buchhaltung um die rasche Abwicklung des Geschäfts. In dieser E-Mail ist aber nun die E-Mail-Adresse des CEO geändert, sodass eine Antwort an alle nicht zum CEO sondern zu den Betrügern gehen würde.

Betrüger wenden sich an die Buchhaltung, NCSC-Beispiel CEO-Betrug (Source: NCSC)

Die Kommunikation läuft von nun an direkt zwischen der betrügerischen "Helen" und der Buchhaltung, die Betrüger haben freie Hand.

Betrüger waren erfolgreich, NCSC-Beispiel CEO-Betrug (Source: NCSC)

Übrigens: Cyberkriminelle greifen Wordpress-Seiten an, um Webseiten mit einem fehlerhaften Plugin zu finden. Ob Ihre Website betroffen sein könnte, erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_262684