Der Begriff des CEO-Fraud ist für viele Menschen noch überhaupt kein Begriff, doch in grossen und wichtigen Firmen sollte er auf der Tagesordnung stehen und Mitarbeiter sollten über diesen informiert sein. In letzter Zeit nehmen CEO-Fraud gegen Firmen und Vereine in der Schweiz massiv zu. Worum geht es? Ganz einfach. Der Chef oder Finanzchef einer Firma ruft in der eigenen Buchhaltung an und gibt die Anweisung, Geld zu überweisen. Der Trick dabei: Es ist oft gar nicht der Chef, sondern eben ein Betrüger. Früher erfolgte die Anweisung oft ber ein gehacktes Email-Konto. Heute ermöglicht neuartige Software sogenannte Deep Fakes. Das heisst es gibt Sowftware, welche die Stimme des Betrügers so verzerrt, dass diese wie die Stimme des echten CEOs tönt.
Deep Fakes: wie funktinoiert die Imitation?
Wie erwähnt, die kriminelle Masche funktioniert dabei sehr einfach: durch eine Software kann die Stimme eines Chefs oder eines anderen hohen Angestellten aufgenommen und damit auch imitiert werden.So werden kritische und relevante Informationen an Personen herausgegeben, die eigentlich keinen Zugriff auf diese haben sollten. Doch woher „leihen“ sich die Angreifer die Stimme? Ganz einfach. Meist halten CEOs oder Chefs von Buchhaltungen Referate und Reden, welche auf Youtube zu finden sind. Meist genügen 1-2 STunden Material und schon kann eine Stimme und Persöhnlichkeit so gut imititert werden, dass dies den Angestellten und Mitarbeiter nicht mehr aufflt. Besonders perfide: Gibt es einige Wörter oder Phrasen welche nicht „korrekt“ tönen, werden diese durch Skype- oder Telefonstörgereusche übersteuert.
Weitere Informationen auf Social Media
Mit Methoden des Social Engineering werden die Angreifer immer professioneller und nutzen die Tatsache aus, dass auch Menschen aus der Chefetage auf Facebook und Co. unterwegs sind und Posts machen. Für das Beschaffen von Erstinformationen über das Unternehmen sind die sozialen Netzwerke jeweils eine Goldmine. LinkedIn ist für Betrüger besonders interessant, weil dort Informationen über geschäftliche Beziehungen oder die Identität und Funktion von Mitarbeitenden zu finden sind. Auch das Handelsregister oder die Webseite des Unternehmens können nützliche Informationen liefern.
Die Kombination macht’s
Meist wird der Angriff mehrgleisig via diversen „Schwachstellen“ gefahren. Also zu dem Fake-Telefonanruf oder Videocall kommt eine „gehackte“ Emailadresse hinzu. Oder aber, die Betrüger mieten sich eine Domain und erstellen eigene Mailadressen, welche sehr ähnlich aussieht. Oft unterscheiden sich die Mailadressen nur durch einen einzelnen Buchstaben von der Domain der Opferfirma. Dies nennt sich dann Typosquatting. Es geht hier aber nicht darum aufzuzeigen, was es alles gibt. Der Punkt ist: Oft werden verschiedene Methoden und Informationen miteinander geschickt kombiniert. Und die Angriffe passieren meist dann, wenn die Entscheidungsträger einer Firma ausser Haus sind.
Schweizer Firma im Visier
In der Schweiz nehmen derartige Fälle seit Sommer 2018 rasant zu. Wie viele Fälle ist nicht bekannt, da betroffene Firmen aus Angst vor Image-Verlust nicht jeden Fall zur Anzeige bringen. Fest steht: Durch diese Technik werden nicht selten auch Anweisungen zu Überweisungen extrem hoher Summen angewiesen. Opfer ist dabei nicht nur das Unternehmen selbst, sondern auch der Mitarbeiter, der hier ausgetrickst wurde. Daher sollten Mitarbeiter in einem grösseren Unternehmen auf jeden Fall zu diesem Thema sensibilisiert werden, damit sie nicht auf diese Masche reinfallen. Auch Online-Seminare zum Thema CEO-Fraud stehen dabei zur Verfügung. Da die Kriminellen auch Software des Deep-Learning und AI benutzen, müssen auch Firmen dagegen agieren. Mitarbeiter sollten daher keine wichtigen Informationen am Telefon herausgeben. Bei Überweisungen grösserer Summen sollte der Chef immer persönlich gefragt werden, in der Regel ist dabei gemäss der Regelungen auch eine formelle Anweisung notwendig, um diese auszuführen. Mündliche Anweisungen reichen meistens nicht aus.
Mark Zuckerberg Deep Fake:
Vor wenigen Tagen sorgte dieses eindrucksvolle Deep Fake von Mark Zuckerberg für Furore: Es ist ein sehr gut gemachtes Deep Fake Video von Mark Zuckerberg, der nie ein derartiges Video aufgenommen hat. Aber es sieht sehr echt aus, selbst Details wie die Leute im Hintergrund usw. passen einwandfrei ins Bild und das Video ist selbst von Experten nur schwer als Fälschung erkennbar.
Weitere Infos bei MELANI:
Foto Public Domain via Unsplash