Woche 11: Betrugsversuche mit Daten aus Social Media

21.03.2023 - Bei CEO-Betrugsversuchen tragen Angreifer im Vorfeld Daten aus öffentlichen Quellen zusammen. Dabei bedienen sich die Angreifer meist Firmenwebseiten auf der die Mitarbeitenden und deren Funktionen aufgeführt sind. Aber auch Daten auf Social-Media-Plattformen können für solche Betrugsversuche verwendet werden, wie ein Fall zeigt, der dem NCSC letzte Woche gemeldet wurde und sich gegen den Personaldienst einer Firma richtete.

Bei einem so genannten CEO-Betrug setzen die Angreifer die Finanzverantwortlichen einer Firma unter Druck, indem sie sich als CEO ausgeben und das Opfer dazu drängen, eine angebliche dringende Zahlung auszulösen. Typisch bei diesen Betrugsversuchen ist, dass Rückfragen per Telefon jeweils nicht möglich sind, da sich der Chef in einer dringlichen Sitzung befinde oder sonst keine Möglichkeit habe, ans Telefon zu gehen. Die Angreifer beschaffen sich die benötigten Informationen im Vorfeld aus öffentlichen Quellen. Die benötigten Daten wie Name oder E-Mail-Adresse des Chefs respektive den Namen oder E-Mail-Adresse des Finanzverantwortlichen, findet man bei vielen Firmen auf deren Website. Was für die Kundennähe gut ist, dient leider auch den Betrügern, diese Daten für einen CEO-Betrug zu missbrauchen.

Neben der oben beschriebenen klassischen Variante werden seit einiger Zeit auch Untervarianten beobachtet. Eine dieser Varianten, auch HR-Variante genannt, richtet sich gegen Personalverantwortliche. Auch hier greifen die Betrüger zum Teil auf Daten der Firmen-Website zurück. Allerdings spielen in diesem Fall Daten aus den Social-Media-Plattformen immer eine grössere Rolle, wie ein Fall zeigt, der dem NCSC letzte Woche gemeldet worden ist.

Das HR im Visier von CEO-Betrügern

In der HR-Variante wird der Personaldienst von einem angeblichen Mitarbeitenden per E-Mail aufgefordert, die nächste Lohnauszahlung auf ein anderes Konto vorzunehmen. Für diesen Betrug muss dem Angreifer sowohl der Name und die E-Mail-Adresse des Personalverantwortlichen, als auch der Name eines Mitarbeitenden bekannt sein. Im aktuellen Fall waren diese Angaben auf der Website allerdings nicht ersichtlich, so dass im ersten Augenblick der Verdacht bestand, dass die Angreifer die Daten aus einem Hacking-Versuch gegen die Firma oder gegen den Mitarbeitenden erhalten haben könnten. Eine erweiterte Suche ergab allerdings, dass sich die Betrüger im Vorfeld die Daten auf Social-Media-Kanälen zusammengesucht hatten. Gerade Plattformen wie Xing oder LinkedIn haben den Zweck, berufliche Kontakte zu knüpfen und dabei ist die Berufsbezeichnung ein zentraler Bestandteil. So ist dann auch der Name und die Funktion des Personalverantwortlichen der Firma im aktuellen Fall auf Xing ersichtlich.

Auf Xing ist der Name des Personalverantwortlichen der Firma sichtbar
Auf Xing ist der Name des Personalverantwortlichen der Firma sichtbar

Zusätzlich sind auf Xing noch weitere Mitarbeitende der Firma mit Namen und Vornamen, Funktionsbezeichnung und direkter Verlinkung aufgeführt. Die Angreifer fokussieren sich dabei auf die Mitarbeitenden mit den höchsten Gehältern.

Auch Mitarbeitende einer Firma inklusive Funktionsbezeichnung sind auf Social-Media ersichtlich
Auch Mitarbeitende einer Firma inklusive Funktionsbezeichnung sind auf Social-Media ersichtlich

Auf einer weiteren Social-Media-Plattform ist auch die E-Mail-Adresse des Personaldienstes aufgeführt. Diese Adresse muss jedoch publiziert werden, da diese meist auch der Eingangspunkt für allfällige Bewerbungen ist.

Kontaktadressen zu Personaldiensten werden vielfach publiziert, da diese meist auch der Eingangspunkt für allfällige Bewerbungen sind.
Kontaktadressen zu Personaldiensten werden vielfach publiziert, da diese meist auch der Eingangspunkt für allfällige Bewerbungen sind.

Mit diesen Angaben versuchen die Betrüger anschliessend, den Personaldienst per E-Mail zu überzeugen, die Lohnauszahlung auf ein anderes Konto zu überweisen. Glücklicherweise haben die Angreifer in der Regel nur einen Versuch, da Mitarbeitende sehr schnell bemerken, dass der Lohn am Ende des Monats nicht ausbezahlt worden ist. Spätestens dann fällt der Betrug auf. Der Ertrag in dieser Betrugsvariante dürfte also eher gering sein.

Die Nutzung von Social-Media verbieten?

In einer Zeit, in der Social-Media eine immer wichtigere Rolle spielt, ist es sicherlich keine Lösung, Mitarbeitenden die Nutzung solcher Kanäle zu verbieten. Trotzdem sollte jede Firma auch Richtlinien festlegen, welche Informationen Mitarbeitende auf Social-Media-Kanälen preisgeben dürfen und welche nicht.

Klar ist, mit der Verfügbarkeit solcher Informationen werden auch die Betrugsvarianten zunehmen. Besonders wichtig ist es deshalb, alle Mitarbeitenden, welche in einer Firma Zahlungen auslösen können, über solche Betrugsvarianten zu sensibilisieren. Auch Personaldienste sind entsprechend zu informieren. Änderungen bezüglich Lohnkonto sollten nur über verifizierbare Kanäle oder nur nach persönlicher Rücksprache mit den Mitarbeitenden durchgeführt werden.

Empfehlungen:

  • Sensibilisieren Sie alle Mitarbeitenden bezüglich CEO-Fraud! Insbesondere die Mitarbeitenden in den Finanzabteilungen, Personaldiensten und in Schlüsselpositionen sind über diese möglichen Angriffsweisen zu informieren. Bei Vereinen sind alle Mitglieder mit Präsidenten- oder Kassierfunktion zu schulen.
  • Definieren Sie einen Prozess, wie die Bankdaten auch dringlich angepasst werden können. Typischerweise sollte über einen zweiten Kanal (zum Beispiel telefonisch) nachgefragt werden.
  • Definieren Sie Richtlinien, welche Informationen Mitarbeitende über die Firma preisgeben dürfen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 21.03.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/vanity/ncsc/23w11-de