Achtung: Wenn dein Chef plötzlich Geld per E-Mail fordert!

Betrüger manipulieren Mitarbeiter von Unternehmen oder Vereinen!

Am 03.03.2021 erhielt die Kassenwartin eines Vereins im Donnersbergkreis eine angeblich von der 1. Vereinsvorsitzenden stammende E-Mail. Diese bat sie um Mitteilung der Kontostände. Weiterhin wurde sie aufgefordert, einen Betrag von 8139,60 Euro an einen Empfänger in Italien zu überweisen sowie die Zahlung zu bestätigen. Da der Kassenwartin diese Vorgehensweise komisch vorkam, überwies sie kein Geld, sondern rief die 1. Vorsitzende an, wodurch der Betrugsversuch aufflog.

Bei der Betrugsmasche „CEO-Fraud“ (CEO = Chief Executive Officer), auch Chef-Betrug genannt, gibt sich der Täter in den meisten Fällen als Chef, Geschäftsführer oder leitender Angestellter einer Firma aus, oder wie in diesem Fall als Vereinsvorsitzende, und fordert Mitarbeiter dazu auf, Geld auf ein bestimmtes Konto zu überweisen. Die Kontaktaufnahme erfolgt in der Regel per E-Mail oder Telefon, wobei E-Mail-Adressen verfälscht und Telefonnummern verschleiert werden.

Die Polizei rät:

Informieren Sie Ihre Mitarbeiter / Vereinsmitglieder über die Betrugsmasche „CEO-Fraud“. Achten Sie darauf, welche Informationen Sie über Ihr Unternehmen / Ihren Verein veröffentlichen, da die Täter zunächst Informationen sammeln und so an das notwendige Insiderwissen für ihren Betrug gelangen. Ihre Opfer sind in der Regel Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen, die für Überweisungen berechtigt sind. Sprechen Sie für Zahlungsaufträge klare Abwesenheitsregelungen und interne Kontrollmechanismen ab. In Zweifelsfällen sollte auf jeden Fall eine Kontaktaufnahme mit dem vermeintlichen Auftraggeber erfolgen.

[mk_ad]

CEO? Was ist das? Gem. Wikipedia: „Chief Executive Officer (CEO) ist die US-amerikanische Bezeichnung für das geschäftsführende Vorstandsmitglied (deutsche, schweizerische und österreichische Bezeichnung: Geschäftsführer)…“

Um CEO-Betrug/Business Email Compromise (BEC) handelt es sich, wenn ein Mitarbeiter mit Zahlungsvollmacht durch einen Trick dazu gebracht wird, eine fiktive Rechnung zu bezahlen oder eine nicht genehmigte Überweisung vom Firmenkonto vorzunehmen.

Wie funktioniert das?

Die Methode macht sich das Bestreben des Mitarbeiters zu Nutze, Aufgaben schnellstmöglich zu erledigen, wenn er von der Geschäftsleitung ausdrücklich dazu aufgefordert wird. Die Betrüger verfügen offensichtlich über beträchtliche Kenntnisse über die Organisation, und die E-Mails wirken äußerst überzeugend.

Welche Warnsignale gibt es?

• Direkte Kontaktaufnahme durch eine hochrangige Führungskraft mittels nicht erbetener E-Mails oder Anrufe.
• Bitte um absolute Vertraulichkeit.
• Handlungsdruck und Dringlichkeit.
• Ungewöhnliches Ersuchen, das internen Abläufen widerspricht.
• Drohungen oder ungewöhnliche Schmeicheleien bzw. Versprechen einer Belohnung.

Was können Sie tun?

ALS UNTERNEHMEN:

• Machen Sie sich die Risiken bewusst und stellen Sie sicher, dass auch Ihre Mitarbeiter informiert und sensibilisiert sind;
• Halten Sie Ihre Mitarbeiter dazu an, Zahlungsanordnungen mit Vorsicht zu begegnen;
• Implementieren Sie interne Protokolle zu Zahlungsabläufen;
• Implementieren Sie ein Verfahren zur Legitimitätsprüfung von Zahlungsanordnungen, die per E-Mail eingehen;
• Führen Sie eine regelmäßige Berichterstattung zum Betrugsmanagement ein;
• Überprüfen Sie die auf der Website Ihres Unternehmens veröffentlichten Informationen, beschränken Sie diese und gehen Sie vorsichtig mit sozialen Medien (im Folgenden gelegentlich auch als „Social Media“ bezeichnet) um;
• Verbessern und aktualisieren Sie die technische Sicherheit;
• Wenden Sie sich bei Betrugsversuchen stets an die Polizei, selbst wenn Sie nicht Opfer des Betrugs wurden.

ALS MITARBEITER:

• Wenden Sie strikt die vorhandenen Sicherheitsmaßnahmen für Zahlungen und Beschaffungen an; Lassen Sie keinen Schritt aus und geben Sie keinem Druck nach;
• Überprüfen Sie bei sensiblen Informationen / Geldüberweisungen stets sorgfältig die E-Mail-Adressen; Betrüger verwenden häufig nachgeahmte E-Mails („copycat emails“), bei denen nur ein Zeichen vom Original abweicht;
• Wenn Sie Zweifel hinsichtlich einer Überweisungsanordnung haben, wenden Sie sich an einen kompetenten Kollegen, selbst wenn Sie um Diskretion gebeten wurden;
• Öffnen Sie niemals verdächtige Links oder Anhänge einer E-Mail; Seien Sie besonders vorsichtig, wenn Sie Ihre persönlichen Postfächer auf den Firmencomputern überprüfen;
• Beschränken Sie Informationen und gehen Sie vorsichtig mit sozialen Medien um;
• Vermeiden Sie die Weitergabe von Informationen zur Firmenhierarchie und -sicherheit oder zu Abläufen innerhalb der Firma;
• Informieren Sie bei Eingang verdächtiger E-Mails oder Anrufe stets Ihre IT-Abteilung.

Download des Informationsblattes CEO Fraud

Quelle: Ratgeber Internetkriminalität | Polizei Niedersachsen | Gemeinsame Aufklärungskampagne von Europol und Europäischem Bankenverband (EBF) zu Cyberbetrug im Rahmen des Europäischen Monats für Cybersicherheit (ECSM)

Artikelbild: Shutterstock / Von Andrey_Popov