CEO-Fraud: 100 Mio. USD erbeutet

Erneut sind zwei Unternehmen Opfer eines umfangreichen CEO-Fraud geworden. Der Täter erbeutete insgesamt 100 Millionen USD.

Die Fälle, in denen Unternehmen Opfer eines sog. CEO-Fraud werden, häufen sich. Mittels falscher Identitäten, technischer Hilfsmittel und Social Engineering erbeuten die Täter immer wieder Millionen, indem sie sich bspw. als Manager des eigenen Unternehmens oder als Geschäftspartner ausgeben und teilweise Millionen schwere Transaktionen veranlassen. Über CEO-Fraud und Social Engineering, was es ist und wie man sich schützt, publiziert MKM+PARTNER immer wieder.

Ein Täter, zwei Jahre, 100 Millionen USD Beute

Der 48-jährige Tatverdächtige wurde in Litauen festgenommen, wie das US-Justizministerium bekannt gab. Die beiden geschädigten Unternehmen sollen ein „international tätiges Technologie- und ein international tätiges Social-Media-Unternehmen“ sein.

Das Vorgehen des Verdächtigen ist, wie bei vielen anderen Social Engineering-Angriffen, durchdacht und von fundierten Informationen über die betroffenen Unternehmen getragen. Nachdem er den Unternehmensnamen eines asiatischen Geschäftspartners der beiden betroffenen Firmen ermittelte, gründete er selbst ein Unternehmen unter diesem Namen in Lettland. Anschließend eröffnete er entsprechende Konten in Lettland und Zypern.

Mittels Phishing-Mails gelangte er an vertrauliche Informationen der US-Unternehmen, u.a. an die Namen real existierender Mitarbeiter des asiatischen Geschäftspartners, Dokumente und Unterschriften. So konnte er gefälschte Rechnungen ausstellen und die Transaktionen veranlassen. Über zwei Jahre hinweg soll der Verdächtige dann die beiden US-Unternehmen um insgesamt 100 Millionen USD betrogen haben. Das Geld wurde von seinen Firmenkonten in Lettland und Zypern auf Konten in Hong Kong, Ungarn und der Slowakei sowie in weitere Länder verteilt.

Mit einfachen Mitteln zum Erfolg

Auffallend bei diesem Vorgehen ist, mit welch einfachen Mitteln der Verdächtige eine derart große Summe erbeuten konnte. Wie fast immer bei Social Engineering-Angriffen dürften die benötigten Basisinformationen öffentlich zugänglich gewesen sein. In diesem Fall vermutlich der Name des asiatischen Geschäftspartners und die Mailadressen, an die die Phishing-Mails versandt wurden.

Wie so oft griff auch hier die „Schwachstelle Mensch“. Die Empfänger der kompromittierten Mails öffneten diese, der Angreifer hackte sich so in das Netzwerk der Unternehmen. Je nach Ausgestaltung dieser Mails ist es den Opfern u.U. kaum möglich gewesen zu erkennen, dass diese gefälscht waren. Die Erbeutung echter Namen, Dokumente und Unterschriften garantierte dem Verdächtigen dann eigentlich den Erfolg. Ab diesem Zeitpunkt war es sehr unwahrscheinlich, dass jemand in den Unternehmen Verdacht schöpfte. Insbesondere, wenn durch den Hack Interna über Rechnungsabläufe, Leitlinien, Personalstruktur etc. ersichtlich wurden.

Recruitment Fraud: Betrug mit falschen Stellenanzeigen

Mittels gefälschter Stellenanzeigen versuchen Betrüger an persönliche Daten und sogar Geld zu gelangen. Die Fälle des sog. Recruitment Fraud häufen sich.

Cyberkriminelle entdecken mit der zunehmenden Digitalisierung immer wieder neue Methoden, um Privatpersonen und Unternehmen zu betrügen. Zuletzt machte der Begriff des „CEO Fraud“ die Runde, bei der sich der Betrüger als CEO ausgibt. In unserem Artikel „CEO-Fraud: 100 Mio. USD erbeutet“ in dieser Ausgabe finden Sie weitere Informationen zu dem Thema. Kriminelle späten ein Unternehmen aus, kontaktierten es und gaben sich meist als Geschäftsführung, Abteilungsleitung, Rechtsabteilung oder externe Anwälte aus. So gelang es ihnen in nicht wenigen Fällen die Überweisung großer Summen auf von ihnen kontrollierte Konten zu veranlassen. Nun taucht ein neuer Begriff auf: der Recruitment Fraud.

Recruitment Fraud – was ist das?

Beim Recruitment Fraud werden fingierte Stellenanzeigen online gestellt, auf die sich potentielle Bewerber melden sollen. Kommt ein Kontakt zustande, versuchen die Kriminellen an personenbezogene Daten und teilweise Geld zu gelangen. Ersteres dürfte i.d.R. in einem solchen Fall für die Täter unproblematisch sein. Die potentiellen Bewerber senden ihnen einen Lebenslauf mit Kontaktdaten, Meldedaten etc. zu. Nicht selten dürften zudem wichtige Dokumente wie Abschlusszeugnisse, Führerscheine usw. digitalisiert übermittelt werden. Ein Identitätsdiebstahl lässt sich so relativ einfach durchführen.

Aus den USA wurden zudem Fälle bekannt, in denen die Täter versuchten Geld zu erbeuten. Da in den USA online geführte Bewerbungsgespräche keine Seltenheit sind, verlangten die Täter während dieser Gespräche die Überweisung von Vermittlungsgebühren oder forderten die Bewerber auf, eine für den künftigen Job notwendige Home Office-Software von ihnen zu kaufen.

Erste Fälle in Deutschland wurden u.a. vom Landeskriminalamt Hessen erfasst. Das Deutsche Institut für Compliance (DICO) berichtet ebenfalls über betroffene deutsche Unternehmen. Die Zahl der Fälle würde steigen, die Dunkelziffer sei hoch.

Wie sich Unternehmen schützen können

Um authentisch zu wirken, brauchen die Täter ein fundiertes Wissen über ein Unternehmen. Diese Informationen dürften im Regelfall öffentlich zugänglich sein: in Business-Netzwerken wie Xing und LinkedIn, auf Jobportalen oder der Unternehmenshomepage selbst. Es ist daher ratsam zu überprüfen, welche Informationen über ein Unternehmen auf diese Weise abrufbar sind. Das Problem beim Recruitment Fraud ist jedoch ein heikles. Unternehmen suchen öffentlich nach Bewerbern und allein durch die Art der Stellenanzeige lässt sich einiges über den Bewerbungsprozess in Erfahrung bringen.

Wie sich also schützen? Unternehmen können präventiv tätig werden und im Rahmen ihrer Stellenangebote darauf hinweisen, was in einem Bewerbungsgespräch nicht seriös ist und welche Daten das Unternehmen keinesfalls verlangt. Zudem sollten die Personalabteilungen über das Phänomen informiert und im Umgang mit diesem sensibilisiert werden. Einem bereits betroffenen deutschen Unternehmen vielen die Betrugsversuche dadurch auf, dass sich Bewerber wegen Stellenangeboten meldeten, die überhaupt nicht ausgeschrieben waren.

Leoni AG: 40 Mio. EUR-Betrug durch Social Engineering

Der Autozulieferer Leoni ist einem sog. „CEO-Fraud“ zum Opfer gefallen. Der Schaden beläuft sich auf ca. 40 Millionen EUR. Die Täter gaben sich als Mitarbeiter wohl aus dem hohen Management aus und ergatterten ihr Beute mithilfe von Informationen, über das Unternehmen, die sie geschickt einzusetzen wussten, mutmaßlich aus dem hohen Management mit entsprechenden Befugnissen. Der Fall ist ein Lehrstück für Social Engineering.

Betrüger erbeuten von Leoni mit Social Engineering 40 Millionen EUR

Das Unternehmen machte aufgrund seiner Börsennotierung den Betrug selbst mit einer Pressemitteilung öffentlich. Die Täter hätten sich „unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ als Mitarbeiter mit entsprechenden Befugnissen ausgegeben und eine Transferierung von ca. 40 Millionen EUR auf ausländische Konten veranlasst. Die Täter nutzten dabei den sog. „CEO-Fraud“, auch „Chef-Masche“ genannt. Dabei geben sie sich als in der Unternehmenshierarchie weit oben stehende Personen oder Personen mit sonstigen speziellen Befugnissen aus, um Mitarbeiter zur Transferierung von Geldsummen anzuweisen. Der aktuelle Leoni-Fall ist ein Lehrstück für Social Engineering.

Social Engineering als Methode für Hacking und Betrug

Social Engineering ist eine Low Tech-Methode, um an Daten zu gelangen. Es handelt sich dabei de facto um Hacking von Menschen. In einem Beitrag für die DATEV haben sich zwei Autoren von MKM+PARTNER mit dem Thema beschäftigt und die verschiedenen Angriffsmethoden sowie Schutzmaßnahmen vorgestellt. In einem weiteren Beitrag für DATEV stellen sie Social Engineering und Visual Hacking als Low Tech-Angriffe vor und geben Tipps, wie sich Unternehmen schützen können.

Kurz und knapp lässt sich Social Engineering als das Erzeugen einer Illusion beschreiben, mittels derer ein Angreifer an Daten gelangen möchte. Der Angreifer schafft ein Szenario, in welchem er vorgibt eine bestimmte Person zu sein. Diese kann entweder tatsächlich existieren (Identitätsdiebstahl) oder erfunden sein und ist mit echten oder vermeintlichen Befugnissen bzw. Aufträgen ausgestattet. Um das Szenario so wirkmächtig wie möglich zu gestalten werden vor dem Angriff so viele brauchbare Informationen wie möglich über das Ziel, i.d.R. ein Unternehmen, gesammelt: Konzern- und Personalstruktur, Personen der verschiedenen Führungsebenen, Veranstaltungen, Kunden, Projekte und dergleichen. Oftmals sind diese Informationen öffentlich zugänglich.

Mitarbeiter in Unternehmen sollten im Rahmen von Schulungen für diese Themen sensibilisiert und geschult werden. Die Schwachstelle ist beim Social Engineering grundsätzlich der Mensch. Falls Sie Beratungsbedarf hierzu haben, kommen Sie gern auf uns zu.