Informationssuche im Netz

Das Gemeine an der Sache ist, dass Kriminelle viele Informationen über ihre Opfer oder eine spezifische Firma ganz einfach im Internet finden. Soziale Netzwerke wie LinkedIn, auf denen Informationen zu Geschäftsbeziehungen oder auch zur Funktion von Mitarbeitenden zu finden sind, werden laut dem NCSC von Kriminellen besonders gerne genutzt. Das Handelsregister, Beschaffungsplattformen, Jahresberichte oder Firmenwebsites würden ebenfalls dazu dienen, das Lügenkonstrukt aufzubauen. Anhand der Informationen prüften die Täter auch, bei welchen Unternehmen es sich besonders lohnt zuzuschlagen. «Typischerweise informieren sich die Angreifer im Vorfeld von CEO-Fraud eingehend über die finanziellen Möglichkeiten der potenziellen Opfer», sagt Klaus vom NCSC. Und weiter: «Dementsprechend können die Deliktsummen durchaus sehr hoch ausfallen.» Besonders gesucht sind aber natürlich auch die E-Mail-Adressen der Angestellten, die schliesslich die Zahlungen ausführen sollen.

Sind die Daten im Web nicht auffindbar, schrecken die Betrüger nicht davor zurück, die Firmen direkt zu kontaktieren. Das NCSC weiss von Fällen, wo man sich im Namen öffentlicher Verwaltungen an sie wandte. Täter treten gemäss der Bundesstelle manchmal auch direkt in Kontakt mit den Unternehmen, wenn beispielsweise der Chef tatsächlich ausser Haus ist, um glaubwürdiger zu wirken. Hier sei es oftmals nicht einfach herauszufinden, wie sie an diese Informationen gelangten. Möglich sei dies etwa mithilfe von Social-Engineering-Techniken wie Anrufen oder Mails an Mitarbeitende, um die Anwesenheit des Geschäftsleiters abzuklären. Hinweise darauf würden aber auch automatische E-Mail-Antworten liefern.

Weil es Kriminellen mit diesem Vorgehen regelmässig gelingt, hohe Geldsummen zu erbeuten, schrecken sie auch nicht davor zurück, mehr Aufwand zu betreiben, um ihre Betrugsversuche so gut wie möglich zu tarnen. So berichtet das NCSC, dass teilweise E-Mail-Accounts von Mitarbeitenden oder Führungspersonen gehackt werden. Einerseits kann das kompromittierte Konto eines Mitarbeiters den Tätern zum Sammeln von Informationen dienen, andererseits können vom Account des CEOs schliesslich Nachrichtendirekt an die Person geschickt werden, welche die Zahlung an das Konto der Betrüger ausführen soll.

Das Vorgehen der Betrüger entspricht allerdings nicht immer dem Drehbuch des «klassischen» CEO-Fraud, bei dem der Fake-Chef eine bestimmte Zahlung veranlasst. Marcel Mock, Chief Technology Officer des E-Mail-Security-Anbieters Totemo, erzählt von einem Fall, bei dem im Namen von Totemo E-Mails an die Vertriebspartner des Unternehmens versendet wurden. Sie seien in diesen über eine angebliche Kontoänderung informiert und angewiesen worden, Zahlungen umzuleiten. «Es war allerdings relativ einfach gemacht, zudem waren unsere Partner aufmerksam und haben zur Sicherheit bei uns nachgefragt», sagt Mock zu diesem Vorfall.