09.04.2024 - Eine angeblich dringende Zahlungsaufforderung des Chefs trifft bei der Finanzabteilung ein. Der Chef führt aus, wenn der Finanzverantwortliche die Zahlung nicht schnellstmöglich ausführe, habe dies ernsthafte Konsequenzen für das Unternehmen, da sonst ein wichtiger Auftrag verloren gehe. Für weitere Rückfragen ist der Chef dann typischerweise nicht mehr erreichbar. Das ist das Szenario eines typischen CEO-Fraud. Meistens sind diese Angriffe nicht sehr ausgereift und einfach durchschaubar. Künstliche Intelligenz und Deep Fake machen aber auch vor dieser eher simplen Betrugsmethode nicht halt, wie ein aktuelles Beispiel zeigt, dass dem BACS gemeldet worden ist.
Der klassische CEO-Betrug
Zur Vorbereitung der Betrugsvariante CEO-Betrug durchsuchen die Angreifer in der Regel systematisch öffentliche Unternehmenswebsites nach Namen und E-Mail-Adressen von CEO’s und Finanzverantwortlichen. Hierbei verwenden die Betrüger vor allem Team-Webseiten. Einige Firmen stellen ihr ganzes Team inklusive Funktion, Foto, Name, Telefonnummer und E-Mail-Adresse auf ihre Website. Was auf der einen Seite kundenfreundlich ist, ist auf der anderen Seite auch eine Datenquelle für Betrüger. Das BACS beobachtet zudem, dass auch LinkedIn-Profile systematisch nach Arbeitgebern und Funktionen durchforstet werden. Werden die Angreifer fündig, wird eine E-Mail mit gefälschtem Absender des CEO an die Finanzabteilung gesendet und eine dringende Zahlung in Auftrag gegeben. In den meisten Fällen handelt es sich jedoch um nicht sehr ausgereifte Massenangriffe. Die Betrüger geben sich nicht sonderlich Mühe, auf das Opfer spezifisch einzugehen und die Anfrage entsprechend zu personalisieren. Die verwendeten Texte sind unspezifisch und meistens identisch.
CEO-Betrug mittels Deep-Fake – Online-Konferenz mit falschem Chef
Ein Fall, der dem BACS letzte Woche gemeldet worden ist, hebt sich allerdings von diesen Massenangriffen ab. Im Gegensatz zu der üblichen Vorgehensweise wurde nicht versucht, das Opfer davon abzuhalten, Kontakt mit dem Chef aufzunehmen. Im Gegenteil: Zu Beginn wurde der Finanzverantwortliche telefonisch von einem Anwalt kontaktiert und zu einer Videokonferenz mit seinem Chef eingeladen, welche in wenigen Minuten beginne. Hierzu erhielt das Opfer eine E-Mail mit den Zugangsdaten zum Meeting. Als sich der Finanzverantwortliche dann in die Online-Konferenz einwählte, konnte er seinen Chef tatsächlich auf dem Bildschirm sehen und mit ihm sprechen. Der vermeintliche Chef versuchte dann während des Gesprächs, die Mobiltelefonnummer des Finanzverantwortlichen zu erhalten und ihn auch zu überzeugen, Finanztransaktionen auszulösen.
Das Video des Chefs wurde in diesem Fall von den Betrügern mit Hilfe von Künstlicher Intelligenz (KI) erstellt. Woher genau die Angreifer das Ausgangsmaterial für die Erstellung der gefälschten Videos hatten, ist nicht geklärt. Das BACS geht davon aus, dass öffentlich verfügbares Videomaterial zur Erstellung solcher Deep-Fake-Videos verwendet worden ist. Eine weitere Möglichkeit, insbesondere zum Kopieren der Stimme, ist das Tätigen von Telefonanrufen im Vorfeld. So wurde in letzter Zeit von verschiedenen Unternehmen berichtet, dass Unbekannte telefonisch verschiedene Informationen über das Unternehmen erfragt haben. Neben den erhaltenen Informationen, die für gezielte Angriffe genutzt werden könnten, wäre es so mit der aufgezeichneten Stimme des Chefs auch möglich, diesen dann mittels Künstlicher Intelligenz und Deep Fake zu kopieren.
Dieser Vorfall zeigt einmal mehr, dass Betrüger inzwischen auch versuchen, Künstliche Intelligenz für ihre Zwecke zu missbrauchen, auch wenn deren Anwendung noch nicht so professionell ist. Im aktuellen Fall flog nämlich der Betrug relativ schnell auf. Die Betrüger beschränkten sich bei der Manipulation auf das Gesicht des Chefs. Die Kleidung entsprach nicht den Gewohnheiten des Chefs. Auch die Stimme war in diesem Fall nicht besonders gut imitiert.
Vorsichtsmassnahmen
- Sensibilisieren Sie alle Mitarbeitenden bezüglich CEO-Fraud! Insbesondere die Mitarbeitenden in den Finanzabteilungen und in Schlüsselpositionen sind über diese möglichen Angriffsweisen zu informieren. Bei Vereinen sind alle Mitglieder mit Präsidenten- oder Kassierfunktion zu schulen.
- Sensibilisieren Sie Mitarbeitende dahingehend, dass gezielte Angriffe mit öffentlich verfügbaren Informationen durchgeführt werden können.
- Beschränken Sie die Informationen über die Mitarbeitenden auf der Website auf das absolut Notwendige. Das gilt insbesondere auch für Videos.
- Geben Sie keine internen Informationen preis, weder per E-Mail noch per Telefon.
- Seien Sie bei Zahlungsaufforderungen vorsichtig: Kommen Sie keinen ungewöhnlichen Zahlungsaufforderungen nach.
- Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten intern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden. (z. B. Vier-Augen-Prinzip, Kollektivunterschrift zu zweien).
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 09.04.2024