CEO-Fraud - Prof. Dr. Norbert Pohlmann

Was ist CEO-Fraud?

Ein CEO-Fraud oder Chef-Betrug (CEO = Chief Executive Officer) ist ein spezieller Angriff auf einen Mitarbeiter eines Unternehmens. Der Angreifer gibt sich als Chef aus und motiviert zum Beispiel einen Mitarbeiter aus der Finanzabteilung hohe Geldsummen zu überweisen.

Ein CEO-Fraud kann auf verschiedene Art und Weisen umgesetzt werden.

CEO-Fraud auf der Basis von Telefon- oder Anrufer-ID-Spoofing

Bei Telefon-Spoofing oder Anrufer-ID-Spoofing wird von Angreifern bei einem Anruf vorsätzlich eine falsche Telefonnummer (Anrufer-ID) eingefügt, wodurch sich der Angreifer insbesondere bei der Nutzung einer vertrauenswürdigen Absender-Telefonnummer den Angerufenen sehr gut täuschen kann. Wird dabei die Telefonnummer des CEO verwendet, ist es leicht möglich, den Angerufenen zu manipulieren.

Ein Anrufer-ID-Spoofing-Angriff kann sehr einfach mithilfe von VoIP-Diensten (Voice over Internet Protocol) oder einem IP-Telefon umgesetzt werden, weil die Absender-Telefonnummer, die angezeigt werden soll, frei wählbar ist. Diese Angriffsmethode wird bei Social Engineering Angriffen gerne eingesetzt.
In der Abbildung ist zu sehen, wie der Angreifer die Telefonnummer des CEO des Unternehmens Jan Janssen verwendet. Dadurch nimmt der Angerufene an, dass ihn wirklich der CEO Jan Janssen anruft. Wird mithilfe von Deepfake die Stimme des CEOs Jan Janssen zusätzlich vortäuscht, kann der Angerufene sehr gut getäuscht werden und glaubt, dass er mit dem CEO telefoniert.

Chef-Betrug auf der Basis von Mail-Spoofing

Der CEO-Fraud wird häufig auch mithilfe gut gefälschter E-Mails umgesetzt. Der Angreifer kann bei einer E-Mail sehr einfach eine beliebige E-Mail-Adresse angeben, die das Opfer dann im E-Mail-Header sieht. Dieser Angriff ist unkompliziert möglich, weil bei SMTP die Absenderadresse nicht vom E-Mail-System auf Echtheit geprüft wird. Auf den ersten Blick kann das Opfer nicht erkennen, ob die dargestellte E-Mail-Adresse des Absenders gefälscht wurde oder echt ist. Ist die E-Mail-Adresse vom CEO, sind die Mitarbeiter in der Regel besonders geneigt, schnell zu reagieren und machen dabei Fehler.

Risiken und deren Minimierung

Die Schäden, die durch CEO-Fraud-Angriffe verursacht werden, liegen weltweit bei vielen Milliarden Euro und stellen daher ein großes Risiko im Bereich der Cyber-Sicherheit für Unternehmen dar.
Aus diesem Grund sollten die Mitarbeiter mit Security Awareness Maßnahmen auf die Gefahr aufmerksam gemacht werden, damit sie helfen können, dass CEO-Frauds nicht erfolgreich umgesetzt werden können.

Weitere Informationen zum Begriff “CEO-Fraud”:

„Verwendung von Geolokation als Angriffsvektor für Social Engineering“

„Social Media Scraper im Einsatz – Wie Kriminelle hoch personalisierte Phishing-Attacken vorbereiten“

„Business Chat ist verwirrt. Es hat sich vor Verwirrung selbst verletzt! – Chishing“

„Sei gewarnt! Vorhersage von Angriffen im Online-Banking“

„Plenty of Phish in the Sea: Analyzing Potential Pre-Attack Surface“

„Dreiklang der IT-Sicherheit: Menschen, Prozesse, Technologie“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Sicherheit mit digitaler Selbstbestimmung – Self-Sovereign Identity (SSI)“

„Security: Kann es Sicherheit im Netz geben?“

„Self-Sovereign Identity (SSI) – Das souveräne europäische Ökosystem für Identitätsdaten“

„Experten-Roundtable “EDGE: Cloud-Continuum oder Revolution?”“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

CEO-Fraud

Description

Ein CEO-Fraud ist ein Angriff auf einen Mitarbeiter eines Unternehmens. Der Angreifer gibt sich als Chef (CEO = Chief Executive Officer) aus und motiviert den Mitarbeiter eine hohe Geldsumme zu überweisen.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo