Spear Phishing

Die größten Tricks beim CEO-Betrug

Adrien Gendre

09. Juli 2020

4 min

CEO Fraud

CEO-Betrug ist eine Art Spear-Phishing, bei dem sich ein Hacker per E-Mail als Geschäftsführer ausgibt und ein Opfer dazu bringt, eine Transaktion, typischerweise finanzieller Art, durchzuführen. Als einer der kostspieligsten E-Mail-Angriffe ist CEO-Betrug eine Form von Business Email Compromise und kostete US-Unternehmen im Jahr 2019 $ 1,7 Milliarden.

CEO-Betrug kann von Geschenkgutscheinbetrug bis hin zu Überweisungsbetrug reichen, wobei Millionen von Dollar auf das Bankkonto eines Hackers geleitet werden, oft lange bevor das Unternehmen bemerkt, dass etwas schiefgegangen ist. Um ihre Erfolgschancen zu erhöhen, wenden Hacker eine Reihe von Taktiken an, von denen einige technischer Art sind, die aber meist psychologische Manipulationen beinhalten.

Druck

Geschenkgutscheinbetrug gehört zu den am einfachsten auszuführenden und am schwierigsten nachzuvollziehenden Betrügereien. Damit gehören sie zu den am weitesten verbreiteten Spear-Phishing-Angriffen und bieten eine sofortige Auszahlung.

Ein Hacker, der sich als CEO ausgibt, behauptet in der Regel, er befinde sich in einer Besprechung und müsse dringend Geschenkgutscheine für einen Kunden kaufen. Oft behauptet der Hacker, die Geschenkgutscheine seien eine Überraschung für die Mitarbeiter und bringt das Opfer auf diese Weise dazu, die Anfrage geheim zu halten. In den Augen des Opfers könnte ein Nichtbefolgen der Bitte dazu führen, dass der CEO in Verlegenheit gerät und enttäuscht ist. Dadurch entsteht ein starker Druck für das Opfer.

Die erfolgreichsten Business Email Compromise-Angriffe zeichnen sich durch sorgsam gestaltete Spear-Phishing-E-Mails aus. Was sie aber wirklich erfolgreich macht, sind die Identität und der Einfluss des angeblichen Absenders. Der durchschnittliche Benutzer überlegt sich vielleicht zweimal, ob er Geschenkgutscheine für Paul aus der Buchhaltung kauft, aber wenn die Anfrage vom Geschäftsführer selbst kommt, steigt die Wahrscheinlichkeit, dass er reagiert, und zwar schneller als sonst.

Viele Opfer von CEO-Betrug hatten zuvor wenig bis gar keinen Kontakt mit dem CEO. Es ist leicht, den Opfern in diesen Fällen die Schuld zu geben und zu sagen, sie hätten besser aufpassen müssen. In Wirklichkeit ist das Opfer anfälliger für den Betrug, weil die E-Mail das Opfer unvorbereitet erwischt. Wenn es sich bei der finanziellen Anfrage um die erste Kommunikation überhaupt zwischen Opfer und Geschäftsführer handelt, spürt das Opfer nicht nur den Druck, sondern auch den Wunsch, dem Chef zu gefallen.

Pretexting und Social Engineering

Viele Opfer sind es nicht gewohnt, mit dem Geschäftsführer zu kommunizieren. Sie sind mit Kommunikationsstil und -gewohnheiten ihres Chefs nicht vertraut – sie wissen nicht, was der CEO tatsächlich sagen oder tun würde. Der echte CEO würde sich vielleicht nie auf ein solches Gespräch einlassen oder eine solche Anfrage stellen, aber das Opfer weiß das nicht, und das verschafft dem Hacker einen Vorteil.

Mit Pretexting beginnt die Kommunikation zwischen Hacker und Opfer. Es ist eine häufige Taktik beim Social Engineering und bereitet das Opfer auf die Anfrage vor. Diese Taktik ermöglicht es dem Hacker auch, Erwartungen zu äußern (sagen Sie niemandem etwas davon, es ist eine Überraschung) und dient der Sammlung von Informationen, indem sie dem Hacker zusätzliche Daten liefert, die ihm zum Erfolg verhelfen könnten.

In einigen Fällen von CEO-Betrug schickt ein Hacker dem Opfer mehrere E-Mails, bis er die endgültige Anfrage äußert, prüft den Fortschritt des Opfers, stellt sicher, dass niemand sonst von der Transaktion weiß, und übt weiteren Druck aus, bis die Transaktion abgeschlossen ist.

E-Mails von mobilen Geräten

CEOs sind vielbeschäftigte Menschen. Es ist nicht unüblich, eine E-Mail von einem Chef zu bekommen, der gerade nicht im Büro, sondern bei einer Veranstaltung, bei einem Kundenbesuch oder sogar im Ausland ist. Das Versenden von Spear-Phishing-E-Mails über ein mobiles Gerät hilft dem Hacker, den Eindruck zu erwecken, dass der CEO nicht in seinem Büro ist. Das verschafft dem Hacker gleich mehrere Vorteile.

Erstens hilft es ihm, die Illusion zu erzeugen, dass der CEO in einer atypischen Umgebung ist, möglicherweise sein Laptop nicht dabei hat und Hilfe braucht. Zweitens gibt es dem Hacker Spielraum für Fehler in der E-Mail – Grammatik, und Rechtschreibfehler sind auf mobilen Geräten häufig und (bis zu einem gewissen Grad) verzeihlich.

Schließlich erhöht es auch noch die Wahrscheinlichkeit, dass übersehen wird, dass es sich um eine gefälschte E-Mailadresse handelt. Wenn der Hacker den Namen des CEOs, nicht aber die Unternehmensdomain fälscht, kann das Opfer annehmen, dass der CEO einen Fehler gemacht und die E-Mail über ein persönliches Konto gesendet hat.

Deep Fakes

„Deep Fakes“ sind relativ neu im Bereich von Business Email Compromise und haben sich sowohl als hocheffektiv als auch als extrem kostspielig erwiesen. Es gibt eine Vielzahl von Tools auf dem Markt, die auf künstlicher Intelligenz basieren, die von Hackern zur Nachahmung der Stimme des Geschäftsführers verwendet werden können.

Laut The Wall Street Journal erhielt ein CEO eines britischen Energieunternehmens 2019 einen Anruf vom Chef des deutschen Mutterunternehmens – nur handelte es sich gar nicht um seinen Chef. Es war ein Hacker, der Deep Fake-Software benutzte, die Stimme des Geschäftsführers in Deutschland nachahmte und eine Überweisung an einen Lieferanten verlangte. Das Ergebnis war eine Zahlung von $ 243.000 an den Hacker, der bald darauf zurückrief und mehr verlangte, was den CEO dann misstrauisch machte.

Deep Fake-Software gibt es in Hülle und Fülle, sie ist effektiv und billig, und Unternehmen haben keine Möglichkeit, die Echtheit der Stimmen zu überprüfen. Laut Computer Weekly machen sich 77 Prozent der Entscheidungsträger im Bereich der Cybersicherheit Sorgen aufgrund von Deep Fakes, aber nur 28 Prozent verfügen über einen Verteidigungsplan.

CEO-Betrug verhindern

Die Anti-Spear-Phishing-Technologie hat einen langen Weg zurückgelegt, aber die psychologische Natur des CEO-Betrugs erfordert eine Kombination aus Präventivmaßnahmen:

Benutzerschulung: Trainieren Sie Ihre Benutzer darin, verschiedene Arten von Business Email Compromise und Social Engineering-Techniken zu erkennen. Bieten Sie mehr als nur regelmäßige Schulungen an und stellen Sie spontane Trainings bereit: Wenn Benutzer bösartige E-Mails öffnen oder darauf antworten.

Validierungsverfahren: Implementieren Sie ein Verfahren zur Validierung von finanziellen Transaktionsanfragen. Zum Beispiel die persönliche oder telefonische Bestätigung nach Erhalt einer Anfrage per E-Mail.

Technologie: Machen Sie Ihre Anti-Spear-Phishing-Lösung zu einer Lösung, die über DMARC und traditionelle Erkennung hinausgeht. Die Lösung sollte in der Lage sein, schwer zu entdeckende Spoofing-Techniken zu identifizieren, die DMARC umgehen, einschließlich Cousin-Domains und eines Spoofings des Displaynamens.

Ganz gleich, ob sie als Spear-Phishing, CEO-Betrug oder Business Email Compromise daherkommen, alle gezielten E-Mail-Angriffe weisen ähnliche Merkmale, Verhaltensweisen und sogar eine ähnliche Sprache auf. Genau hier zeichnet sich künstliche Intelligenz (KI) bei der Erkennung aus.

Bei der Suche nach Anomalien im E-Mail-Verkehr und böswilligem Verhalten in E-Mails können KI-Algorithmen das erkennen, was statische Lösungen oder solche, die auf Fingerprints basieren, übersehen. Vade Secure verwendet zwei Machine Learning-Techniken, um Spear-Phishing und CEO-Betrug zu erkennen:

  1. Anomalie-Erkennung: Identifiziert Ausreißer oder Verhaltensweisen, die in einem Datensatz – in diesem Fall dem E-Mail-Verkehr einer Organisation – ungewöhnlich sind. Sie lernt im Laufe der Zeit, was das typische Sender-/Empfängerverhalten in der Organisation ist, und identifiziert Anomalien, einschließlich Cousine-Domains und Spoofing des Displaynamens.
  2. Natural Language Processing: Erkennt die gebräuchlichen Wörter und Ausdrücke, die bei CEO-Betrug und Spear-Phishing verwendet werden, insbesondere eine Sprache, die auf Dringlichkeit hinweist oder mit finanziellen Transaktionen zusammenhängt. 

Vade Secure for Microsoft 365 warnt Benutzer vor möglichen Spear-Phishing-Versuchen mit einem Warnbanner, das beim Öffnen der verdächtigen E-Mail angezeigt wird. Dies verschafft dem Anwender die notwendige Zeit, über mögliche Warnsignale nachzudenken, die er sonst vielleicht übersehen hätte. Wenn die E-Mail zwar Anomalien enthält, dennoch aber eine legitime Nachricht ist, wird die E-Mail darüber hinaus nicht falsch eingestuft und blockiert, wodurch sichergestellt wird, dass wichtige Unternehmenskommunikation erfolgreich zugestellt wird.