Fake-President-Betrug erkennen und abwehren
München, 12. Juli 2016 – Eine neue Angriffsmethode von Cyberkriminellen schlägt momentan hohe Wellen. Bei dem als „Fake-President“-Trick, „CEO-Fraud“ (Vorstands-Betrug) oder als „Chef-Masche“ bekannten Angriff erhält der Buchhalter eines Unternehmens eine E-Mail vom Chef, in der dieser eine sofortige Überweisung auf Konto XYZ anordnet. Nachfragen sind unerwünscht, statt dessen wird eine strikte Geheimhaltung befohlen. Der Sicherheitsspezialist Trustwave erklärt, wie man diese Art von E-Mail-Betrug erkennt und sich mit vier simplen Regeln davor schützt.
Mangelnde Kreativität kann man Cyberkriminellen wirklich nicht vorwerfen. Und so haben diese den bekannten Enkeltrick ein wenig modifiziert. Eine E-Mail, die scheinbar vom Vorstand kommt und in der finanzielle Transaktionen, die sofort ausgeführt werden müssen, angeordnet werden, haben im Moment Hochkonjunktur. Der Schaden, den eine einzige Mail anrichten kann, toppt gewöhnliche Phishing-Mails um ein Vielfaches. Denn statt kleinen Beträgen wird hier nicht selten die Überweisung eines fünfstelligen Betrags angeordnet.
In den letzten 18 Monaten haben Experten des Trustwave SpiderLabs-Teams, das aus ethischen Hackern und Forschern besteht, einen enormen Anstieg beim Fake-President-Trick beobachtet. Dabei setzen Betrüger übrigens nicht nur darauf, dass die Empfänger die Beträge ohne Rückfrage auf die angegebenen Konten überweisen. Oft enthalten die Fake-President-Mails zusätzlich einen schädlichen Anhang. Sobald dieser Anhang angeklickt wird, wird das Netzwerk mit Malware infiziert. Im Unterschied zu Viren, die von Sicherheitsprogrammen meist sofort erkannt werden, kann Malware monatelang unentdeckt bleiben. So bleibt Cyberkriminellen genug Zeit, um sich mit Hilfe von Malware Zugriff auf wertvolle Unternehmensdaten zu verschaffen.
Ein wirksamer Schutz gegen den Fake-President-Trick bietet das Einschalten des gesunden Menschenverstands und eine leistungsstarkes E-Mail-Sicherheitsprogramm. Trustwave bietet zum Beispiel allen Bestandskunden von Secure Email Gateway (Lösung, die E-Mail-Sicherheit, Richtlinien-Konfiguration und Datenschutz- und Compliance-Management bietet) ein spezielles Fraud-Paket zum Download an. Das Paket enthält unter anderem Skripte und ausführliche Dokumentationen, die dabei helfen, diese Art von Betrugs-Mails ganz leicht zu identifizieren. Das Paket kann hier heruntergeladen werden (Kunden-Login erforderlich): https://www3.trustwave.com/support/customer-login.asp
Grundsätzlich empfiehlt Trustwave, folgende vier Regeln zu beherzigen:
1) Prüfen, prüfen und noch einmal prüfen
Jedes Unternehmen sollte Richtlinien erstellen, wie mit E-Mails, in denen Überweisungen angeordnet oder sensible Informationen angefordert werden, umgegangen werden soll. Dazu kann zum Beispiel ein direkter Anruf beim Absender oder eine Benachrichtigung der IT-Abteilung gehören. Es kann auch nicht schaden, wenn bei Überweisungen zwei Personen für eine Genehmigung erforderlich sind, denn vier Augen sehen bekanntlich mehr als zwei.
2) Mitarbeiter-Schulungen sollten oberste Priorität haben
Grundsätzlich sollten Mitarbeiter in der Lage sein, betrügerische E-Mails zu erkennen. Dies gelingt mit regelmäßigen Schulungen, in denen gezeigt wird, mit welchen Mitteln Cyberkriminelle arbeiten und anhand welcher Kriterien man Phishing-Mails & Co. identifizieren kann.
3) Auch in Stresssituationen schlauer als die Cyberkriminellen sein
Nicht immer nutzen Cyberkriminelle den Weg über E-Mails. Eine beliebte Masche ist auch ein direkter Anruf beim Mitarbeiter, in dem eine sehr dringende Überweisung angeordnet wird. Dies funktioniert in kleineren Unternehmen, in denen man den Chef persönlich kennt, natürlich nicht. Aber in großen Konzernen, in denen man den Chef meist nur von Weitem oder gar nicht kennt, wird eine telefonische Anweisung im Regelfall eine sofortige Handlung, also die geforderte Überweisung, auslösen. In diesem Fall gilt also wieder Regel Nummer 1, das heißt, auch telefonische Anweisungen durch einen Rückruf oder das Vier-Augen-Prinzip zu verifizieren.
4) Dem Instinkt vertrauen
Um E-Mail-Konten abzusichern, wird häufig eine Zwei-Faktor-Authentifizierung angewendet. Aus technischer Sicht ist dies eine durchaus sichere Methode, um E-Mail-Konten vor unberechtigtem Zugriff zu schützen. Die Zwei-Faktor-Authentifizierung ist aber dann unwirksam, wenn Cyberkriminelle gar nicht versuchen, Zugriff auf ein E-Mail-Konto zu bekommen, sondern einfach nur den Absendernamen fälschen. Ein geschulter Mitarbeiter wird natürlich nicht nur auf den Namen des Absenders sehen, sondern auch auf die E-Mail-Adresse im Mail-Header (bei betrügerischen E-Mails besteht die E-Mail-Adresse im Regelfall aus kryptischen Buchstaben und einer völlig unbekannten Domain) während die Prüfung der E-Mail-Adresse bei einem ungeschulten Mitarbeiter im Regelfall unterbleibt.
Im Zweifelsfall sollten sich Mitarbeiter deshalb immer fragen: „Ist das eine E-Mail, die ich erwartet habe?“ Lautet die Antwort „nein“ oder besteht auch nur der geringste Zweifel an der Echtheit der E-Mail, sollte sofort Alarm geschlagen oder die E-Mail einfach ignoriert werden.