 |
# taz.de -- Miese Masche in sieben Schritten |
|
|
|
> Social Engineers verfahren nach einem Muster, etwa wenn sie sich als Chef |
|
> ausgeben und eine Überweisung verlangen. Anhand des CEO-Frauds lässt sich |
|
> zeigen, wie das System der Betrüger funktioniert |
|
|
|
Von Simon Schramm |
|
|
|
Beim CEO-Fraud geben sich Social Engineers als leitende Angestellte eines |
|
Unternehmens aus. Oft angewandt wird der Betrug so: Der vermeintliche Chef |
|
weist einen Mitarbeiter an, einen hohen Geldbetrag für eine anstehende |
|
Unternehmens-Akquisition auf ein Konto im Ausland zu überweisen. Der Grund: |
|
Das sei gerade dringend und schnell nötig. Es ist eine Masche, anhand derer |
|
das typische Vorgehen der Engineers erklärt – und enttarnt werden kann. |
|
|
|
1. Informationen sammeln |
|
|
|
Sehr viel davon holen sich Engineers online – oder am Telefon. Die |
|
Engineers müssen den täglichen Flow der Organisation kennenlernen. Wann ist |
|
Essenszeit, in der Mitarbeiter ihre Büros verlassen und Zugang möglich |
|
wird? So eine Attacke kann schnell gehen oder wochenlange Vorbereitung |
|
bedeuten. Im Fall des CEO-Fraud müssen die Engineers den Stil der Mails in |
|
der Firma imitieren, brauchen also eine Mail aus dem System. |
|
|
|
2. Opfer finden |
|
|
|
Wer hat Zugang zu den gewünschten Infos, wird aber nicht als Leck |
|
verdächtigt? Das kann der Assistent oder die Sekretärin sein. Beim |
|
CEO-Fraud werden bevorzugt Mitarbeiter aus der Finanzabteilung ausgesucht. |
|
Die werden zum Beispiel in sozialen Netzwerken gefunden. |
|
|
|
3. Coverstory ausdenken |
|
|
|
Also einen Grund erfinden, wieso die Engineers mit dem Opfer in Kontakt |
|
treten. Im Fall des CEO-Frauds: Angeblich stehe das eigene Unternehmen |
|
unmittelbar vor der Übernahme einer Firma, ein wichtiger strategischer |
|
Schritt für das eigene Haus und ein Millionen-Deal, von dem niemand etwas |
|
wissen darf. |
|
|
|
4. Kontaktaufnahme |
|
|
|
Die Engineers versuchen, jemanden an den Haken zu kriegen und dabei vor |
|
allem unverdächtig zu bleiben. Sie imitieren den Stil des Chefs und |
|
kündigen in einer ersten Mail an, ein großer Geldbetrag müsse für den Deal |
|
demnächst ins Ausland transferiert werden. |
|
|
|
5. Vertrauen schaffen |
|
|
|
Das Opfer muss die Geschichte glauben. Nur wenn das Vertrauen vorhanden |
|
ist, wird das Opfer es nicht ablehnen, Dinge zu tun, die der Engineer von |
|
ihm will – obwohl es das Opfer selber eigentlich gar nicht will! Hier wird |
|
dann oft mit (Zeit-)Druck gearbeitet. |
|
|
|
Beispiel-Mail: |
|
|
|
Lieber Helmut! |
|
|
|
Wir haben nun einen neuen Vertrag für die Übernahme der Holz-Firma |
|
ausgemacht, das Geschäft ist fast in trockenen Tüchern. Ich schreibe dir |
|
das im Vertrauen und verlasse mich auf dich! Verrate niemandem etwas über |
|
den Deal, bis wir ihn öffentlich machen. Sie werden dir in den nächsten |
|
Stunden schreiben, kümmere dich sofort darum, wir müssen das schnell über |
|
die Bühne bringen. Schreib mir, falls es notwendig ist, aber bis zum späten |
|
Nachmittag bin ich beschäftigt. |
|
|
|
Grüßle, Chef |
|
|
|
6. Vertrauen ausbeuten |
|
|
|
Das Opfer wird zur Aktion aufgefordert – und überweist zum Beispiel nun |
|
tatsächlich das Geld, wie vermeintlich vom Chef angefordert. |
|
|
|
7. Flüchten |
|
|
|
Für Engineers ist es wichtig, dass niemand schnell Verdacht schöpft. Beim |
|
CEO-Fraud ist es nicht schlimm, wenn der Betrug im Nachhinein auffliegt. |
|
Der Schaden ist ja schon gemacht. |
|
|
|
Gegen den Betrug hilft: Aufklären. Man sollte genau überlegen, welche Infos |
|
man online stellt oder telefonisch oder per Mail weitergibt. Und: Sich |
|
nicht unter Druck setzen lassen und im Zweifel den direkten Kontakt zum |
|
Chef suchen. |
|
|
|
12 Sep 2020 |
|
|
|
## AUTOREN |
|
|
 |
Simon Schramm |
|
|
|
## ARTIKEL ZUM THEMA |
