CEO-Fraud: Betrüger rüsten durch KI technisch auf!

Unternehmens CEO-Fraud: Betrüger rüsten durch KI technisch auf!

Inzwischen dürfte die CEO-Fraud-Masche in weiten Teilen der Unternehmenswelt bekannt geworden sein. Kriminelle geben sich hierbei als priviligierte Person (CEO, CFO, Anwalt, Kunde etc.) aus, um Mitarbeiter zu täuschen und an Informationen zu gelangen bzw. eine Überweisung auf das eigene Konto  zu veranlassen.

Die klassische CEO-Fraud Variante per E-Mail:

Beim klassen Fall der CEO-Fraud Variante, erhält in der Regel ein Mitarbeiter der Finanzabteilung eine E-Mail seines CEO oder CFO. Diese sind jedoch nicht die tatsächlichen Absender der E-Mail, sondern Betrüger. In der E-Mail wird der Mitarbeiter gebeten, schnell mal eben eine wichtige Überweisung an einen Geschäftspartner oder Lieferanten zu tätigen. Es kann auch vorkommen, dass der Mitarbeiter angewiesen wird, Informationen für den CEO / CFO zusammen zu stellen. Beispielsweise sind Übersichten über Rechnungen der vergangenen Wochen sehr attraktiv, da diese Aufschluss über alle Lieferanten bzw. Kunden und deren Zahlungsverhalten liefern. Das raffinierte an der CEO-Fraud-Masche ist nun, dass diese E-Mails keine „Massenware“ und in der Regel durchaus gut recherchiert sind. Der Spam Filter hat daher keine Chance. Die Betrüger recherchieren zuvor innerhalb der sozialen Medien, wie die Mitarbeiter der Finanzabteilung heißen, wer deren direkte Vorgesetzte sind und gegebenenfalls weitere Informationen, welche für die „Echtheit“ der E-Mail wichtig sein könnten.

Täuschend echt!

Die falschen E-Mails sind in vielen Fällen in perfektem Deutsch. Auch die Namen von Empfänger und Absender passen, sowie auch die Grußformel und Signatur. Selbst die zwischen den Personen sonst übliche Sprache findet Anwendung. So wird beispielsweise das „Du“ aufgegriffen, sollte dies normalerweise üblich sein. Dieses Insider-Wissen kann beispielsweise aus geleakten E-Mails oder von Trojaner stammen.  Weiterhin nutzen die Betrüger Informationen, welche sie aus Wirtschaftberichten, der Homepage oder den sozialen Netzwerken entnehmen können. Künftige Events, Geschäftspartner oder Kunden werden hierdurch leicht ersichtlich und bieten eine gute Angriffsfläche.

Darüber hinaus sind solche E-Mails häufig sehr schmeichelhaft für den Mitarbeiter formuliert:

„Durch unsere jahrelange Zusammenarbeit sind Sie einer der wertvollsten Mitarbeiter unseres Unternehmens. Daher wende ich mich mit dieser vertrauensvollen Aufgabe selbstverständlich an Sie“, oder „Sie sind mir durch Ihre zuverlässige Arbeit und Ihr Engangement in den letzten Monaten sehr positiv aufgefallen“.

Hierdurch fühlt sich der Mitarbeiter geehrt und ist viel zugänglicher für etwaige Betrügereien. Selbstverständlich ist in der E-Mail von absoluter Verschwiegenheit die Rede. Niemand darf etwas von diesem „Projekt“ oder der spontanen Überweisung erfahren. Auch die weitere Kommunikation darf nur über E-Mail erfolgen. Ein Anruf seitens des Mitarbeiters ist absolut nicht erwünscht. Begründet wird diese Vorgehensweise in der Regel mit einer besseren Dokumentation der Kommunikation.

Die Realität zeig erschreckende Zahlen…

Das die CEO-Fraud-Masche erfolgreich ist, zeigen veröffentlichte Zahlen. Laut FBI Statistiken ergaunerten Cyberkriminelle durch diese Betrugsmasche im Zeitraum 2016-2019 weltweit 26 Milliarden US-Dollar. Zudem sind die erkennbaren Verluste zwischen Mai 2019 und Juli 2019 um über 100% angestiegen. Während in Q4/2017 Unternehmen im Durchschnitt „nur“ 21 solcher Betrugsmails erhielten, waren es ein Jahr später in Q4/2018 bereits 121. Das entspricht einem prozentualen Anstieg von 476 %!

Diese erschreckenden Zahlen bekunden allerdings lediglich die öffentlich gewordenen Fälle. Die Dunkelziffer der CEO-Fraud Opfer dürfte hoch sein, da viele Unternehmen sich aus Angst vor Imageschäden wohl eher bedekt halten werden.

Eine kleine Abwandlung: CEO-Fraud  nur ohne CEO

Auch Kriminelle sind nicht auf den Kopf gefallen. Da die interne Kommunikation immer besser und Hierarchien oftmals immer flacher werden, satteln Cyberkriminelle um.

Anstatt sich als CEO oder CFO auszugeben, lassen Sie dem Mitarbeiter der Finanzabteilung eine E-Mail eines vermeindlichen Lieferanten zukommen. Es wird darum geben, aufgrund eines Bank- oder Kontowechsels die Bankdaten entsprechend im System des Unternehmens anzupassen. Bei jeder Rechnung, welche durch die Finanzabteilung des Unternehmens nun an diesen Lieferanten beglichen wird, geht das überwiesene Geld sofort auf das Betrügerkonto. Entdeckt wird dieser Schwindel meistens erst dann, wenn der Lieferant die Zahlung der Rechnung anmahnt.

CEO-Fraud: Jetzt auch per Telefon erhältlich!

Der technische Fortschritt kommt leider auch der Cyberkriminalität entgegen. Kriminelle satteln von Fake E-Mail auf Facke Anrufe mit Hilfe von KI um.

Da Unternehmen ihre Mitarbeiter hinsichtlich Spam und Fake E-Mails immer mehr und besser sensibilisieren, müssen sich Betrüger etwas Neues einfallen lassen. Die erste Kontaktaufnahme erfolgt nun nicht mehr per E-Mail, sondern durch einen „echten“ Anruf beim jeweiligen Ziel-Mitarbeiter. Natürlich wird nicht mit der echten oder einer metallischen Stimme gesprochen. Hierbei wird mit Hilfe einer KI die Stimme des Vorgesetzen bzw. des jeweiligen Ansprechpartners eines Lieferanten oder Kunden nachgeahmt. Diese Imitation der Stimme, ist teilweise täuschend echt und nicht von der original Stimme zu unterscheiden. Mit einigen wenigen Audio-Sequenzen ist die künstliche Intelligenz in der Lage, die Sprechweise und den Tonfall einer Person auszuwerten und im Anschluss realitätsnah nachzuahmen. Ein Mitarbeiter, welcher vielleicht nicht gerade jeden Tag mit seinem Chef zwei Stunden teleofniert, wird in der Regel die KI nicht von dem Original unterscheiden können.

Wie läuft eine solche Betrugsmasche genau ab?

Der Telefonanruf ist in der Regel lediglich der erste Schritt des Betrügers. Er dient der ersten Kontaktaufnahme, um die Glaubwürdigkeit des Anliegens zu erhöhen und soll der Vertraunsbildung dienen. Während diesem Telefonat, wird dem Mitarbeiter dargestellt, dass er dringend eine Überweisung tätigen, eine Bankverbindung ändern, oder gewisse Informationen zusammenstellen soll. Vom Prinzip die exakt gleichen Forderungen wie bei der herkömmlichen CEO-Fraud-Masche, nur eben per Telefon. Die genauen Informationen zur Anweisung, wie beispielsweise Bankverbindungsdaten, werden im Anschluss dann durch eine täuschend echte E-Mail nachgereicht.

Ob man es glaub oder nicht, die KI-Programme sind inzwischen schon sehr weit und hören sich täuschend echt an. Der einzige Nachteil für die Betrüger, also Vorteil für uns ist, dass diese Programme bisher eigentlich nur in englischer Sprache zur Verfügung stehen. Wer also mit seinen Vorgesetzten, Kunden, Geschäftspartnern und Lieferanten bisher immer auf deutsch kommuniziert, ist hier klar im Vorteil eine Betrugsmasche rechtzeitig zu erkennen. Schwierig wird es allerdings dann, wenn die Betrüger gezielt Tochterunternehmen im Ausland benutzen, da hier in der Regel auf englisch zwischen den Akteuren kommuniziert wird.

Was die Zukunft wohl bringen mag…

Es ist spannend, wie weit die Technik bereits fortgeschritten und was alles möglich ist. Behält man die Entwicklungen im Blick, ist es wohl nur eine Frage der Zeit, bis die KI sogar Bewegtbilder innerhalb von Videokonferenzen täuschend echt nachahmen kann. Ein Mitarbeiter wird dann vermutlich nicht mehr in der Lage sein zu unterscheiden, ob am anderen Ende der Videokonferenz tatsächlich der Chef, oder eine KI sitzt.

Umso wichtiger ist es, bereits jetzt mit der Etablierung von Sensibilisierungsmaßnahmen und der Ausarbeitung eines Sicherheitskonzepts zur Vorbeugung von CEO-Fraud Fällen zu beginnen. Mitarbeiter müssen dringend Schulungen erhalten, in welchen ihnen verschiedene Szenarien von Betrugsfällen und Maßnahmen zur Verhinderung eines Erfolgs der Betrüger aufgezeigt werden. Beispielsweise die Nutzung von Code-Wörtern in E-Mails und Anrufen, wenn es um Überweisungen geht oder die Pflicht eines jeden Mitarbeiters, vor einer Überweisung, Weitergabe von sensiblen Informationen oder Änderung von Bankdaten welche per E-Mail angewiesen wurden, nochmals telefonisch zu hinterfragen.

Christoph Renk
Christoph Rank
Senior Consultant Datenschutz & Compliance