Diese E-Mail war nicht von Ihrem Chef: 6 Wege, um CEO-Betrug zu stoppen

Blog

Was ist CEO-Betrug? CEO-Betrug ist eine der häufigsten Formen von Business Email Compromise (BEC). Hier erfahren Sie, wie Sie E-Mail-Phishing-Betrug verhindern können.

von Ahona Rudra

Zuletzt aktualisiert:
5 Lesezeit: 5 Minuten
Diese E-Mail war nicht von Ihrem Chef: 6 Wege, um CEO-Betrug zu stoppen
Inhaltsverzeichnis-

Die schlimmste Art von Phishing-Betrug ist die, die Sie nicht einfach ignorieren können: wie CEO Fraud. E-Mails, die angeblich von der Regierung stammen und Sie auffordern, die ausstehende Steuerzahlung zu leisten oder rechtliche Schritte zu riskieren. E-Mails, die aussehen, als wären sie von Ihrer Schule oder Universität und Sie auffordern, die eine verpasste Studiengebühr zu bezahlen. Oder sogar eine Nachricht von Ihrem Chef oder Geschäftsführer, in der Sie aufgefordert werden, ihm "als Gefallen" etwas Geld zu überweisen.

 

Wichtigste Erkenntnisse

  1. CEO-Betrug ist eine erhebliche Bedrohung, die dazu führen kann, dass jedes Jahr Millionen von Dollar durch überzeugende Phishing-E-Mails verloren gehen.
  2. Die Aufklärung der Mitarbeiter über Phishing-Taktiken und -Warnzeichen ist entscheidend für die Verhinderung von Betrugsversuchen durch CEOs.
  3. E-Mail-Authentifizierungsprotokolle wie DMARC können dazu beitragen, nicht autorisierte E-Mails zu blockieren, bevor sie Ihren Posteingang erreichen.
  4. Holen Sie immer eine ausdrückliche Genehmigung über andere Kanäle ein, bevor Sie eine per E-Mail angeforderte Überweisung bearbeiten.
  5. Die Überwachung und Kennzeichnung von E-Mails von ähnlichen Domänennamen kann das Risiko verringern, Opfer von Phishing-Versuchen zu werden.

Was ist CEO-Betrug?

Beim CEO-Betrug handelt es sich um einen E-Mail-Phishing-Betrug, bei dem sich die Betrüger als CEO eines Unternehmens ausgeben und versuchen, Mitarbeiter dazu zu bewegen, ihnen Geld zu schicken. Die E-Mails enthalten in der Regel den echten Namen und die Berufsbezeichnung des Geschäftsführers des Unternehmens.

Das Problem bei solchen E-Mails ist, dass sie sich als eine Autoritätsperson ausgeben, sei es die Regierung, Ihr Universitätsvorstand oder Ihr Chef auf der Arbeit. Das sind wichtige Leute, und das Ignorieren ihrer Nachrichten wird mit ziemlicher Sicherheit ernsthafte Konsequenzen haben. Sie sind also gezwungen, sich die E-Mails anzusehen, und wenn sie überzeugend genug erscheinen, könnten Sie tatsächlich darauf hereinfallen.

Schützen Sie sich mit PowerDMARC vor CEO-Betrug!

15-Tage-TestDemo buchen

Sie sind nicht immun gegen CEO-Betrug

Es handelt sich umeinen Betrug im Wert von 2,3 Milliarden Dollar pro Jahr. Sie fragen sich vielleicht: "Wie können Unternehmen so viel Geld durch einen einfachen E-Mail-Betrug verlieren?" Aber Sie würden überrascht sein, wie überzeugend CEO-Betrugs-E-Mails sein können.

Im Jahr 2016 verlor Mattel fast 3 Millionen Dollar durch einen Phishing-Angriff, als eine Finanzmanagerin eine E-Mail vom CEO erhielt, in der sie angewiesen wurde, eine Zahlung an einen ihrer Lieferanten in China zu senden. Aber erst als sie später beim CEO nachfragte, stellte sie fest, dass er die E-Mail gar nicht gesendet hatte. Glücklicherweise arbeitete das Unternehmen mit den Strafverfolgungsbehörden in China und den USA zusammen, um das Geld ein paar Tage später zurückzubekommen, aber das passiert bei diesen Angriffen fast nie.

Die Menschen neigen dazu zu glauben, dass ihnen diese Betrügereien nicht passieren werden... bis es ihnen passiert. Und das ist ihr größter Fehler: sich nicht auf CEO-Betrug vorzubereiten.

Phishing-Betrügereien können Ihr Unternehmen nicht nur Millionen von Dollar kosten, sie können auch den Ruf und die Glaubwürdigkeit Ihrer Marke nachhaltig beeinträchtigen. Dies gilt insbesondere für Branchen wie die Rechtsbranche, in der Vertrauen und Online-Sichtbarkeit Hand in Hand gehen - und in der starke juristische SEO-Praktiken in aller Stille beeinflussen können, wie potenzielle Kunden Ihre Kanzlei finden und beurteilen. Sie laufen Gefahr, als das Unternehmen angesehen zu werden, das Geld durch einen E-Mail-Betrug verloren hat, und das Vertrauen Ihrer Kunden zu verlieren, deren sensible persönliche Daten Sie speichern.

Anstatt sich im Nachhinein um Schadensbegrenzung zu bemühen, ist es viel sinnvoller, Ihre E-Mail-Kanäle gegen Spear-Phishing-Betrug wie diesen zu sichern. Hier sind einige der besten Möglichkeiten, wie Sie sicherstellen können, dass Ihre Organisation nicht zu einer Statistik im BEC-Bericht des FBI wird.

Wie Sie CEO-Betrug verhindern: 6 einfache Schritte

  1. Informieren Sie Ihr Personal über Sicherheit
    Dieser Punkt ist absolut entscheidend. Ihre Mitarbeiter - vor allem die im Finanzwesen - müssen verstehen, wie Business Email Compromise funktioniert. Und damit meinen wir nicht nur eine langweilige 2-stündige Präsentation darüber, dass man sein Passwort nicht auf einen Post-it-Zettel schreibt. Sie müssen sie darin schulen, wie sie auf verdächtige Anzeichen für eine gefälschte E-Mail achten, wie sie gefälschte E-Mail-Adressen erkennen und wie sie ungewöhnliche Anfragen anderer Mitarbeiter per E-Mail beantworten.
  2. Achten Sie auf verräterische Anzeichen für Spoofing
    E-Mail-Betrüger verwenden alle möglichen Taktiken, um Sie dazu zu bringen, ihren Forderungen nachzukommen. Diese können von dringenden Anfragen/Anweisungen zur Überweisung von Geld reichen, um Sie zu schnellem und unüberlegtem Handeln zu bewegen, bis hin zur Bitte um Zugang zu vertraulichen Informationen für ein "geheimes Projekt", das die höheren Stellen noch nicht mit Ihnen teilen wollen. Dies sind ernst zu nehmende Warnsignale, die Sie doppelt und dreifach überprüfen sollten, bevor Sie etwas unternehmen.
  3. Schützen Sie sich mit DMARC
    Der einfachste Weg, einen Phishing-Betrug zu verhindern, ist, die E-Mail gar nicht erst zu erhalten. DMARC ist ein E-Mail-Authentifizierungsprotokoll, das E-Mails, die von Ihrer Domäne stammen, vor der Zustellung verifiziert. Wenn Sie DMARC in Ihrer Domäne durchsetzen, wird jeder Angreifer, der sich als jemand aus Ihrer eigenen Organisation ausgibt, als nicht autorisierter Absender erkannt, und seine E-Mail wird in Ihrem Posteingang blockiert. Sie müssen sich nicht mehr mit gefälschten E-Mails herumschlagen.

Erfahren Sie, was DMARC ist.

  1. Holen Sie die ausdrückliche Genehmigung für Überweisungen ein
    Dies ist eine der einfachsten und unkompliziertesten Methoden, um Geldüberweisungen an die falschen Personen zu verhindern. Bevor Sie eine Transaktion durchführen, sollten Sie die ausdrückliche Zustimmung der Person, die das Geld anfordert, über einen anderen Kanal als E-Mail einholen. Bei größeren Überweisungen sollten Sie eine mündliche Bestätigung verlangen. Viele Unternehmen verwenden auch gesicherte Kreditkarten als Alternative zu Überweisungen, die einen besseren Schutz vor Betrug bieten.
  2. E-Mails mit ähnlichen Erweiterungen kennzeichnen
    Das FBI empfiehlt, dass Ihr Unternehmen Systemregeln erstellt, die automatisch E-Mails kennzeichnen, die zu ähnliche Erweiterungen wie Ihre eigenen verwenden. Wenn Ihr Unternehmen zum Beispiel "123-business.com" verwendet, könnte das System E-Mails mit Erweiterungen wie "123_business.com" erkennen und kennzeichnen.
  3. Kaufen Sie ähnliche Domänennamen
    Angreifer verwenden oft ähnlich aussehende Domänennamen, um Phishing-E-Mails zu versenden. Wenn Ihr Unternehmen zum Beispiel ein kleines "i" im Namen hat, verwenden sie vielleicht ein großes "I" oder ersetzen den Buchstaben "E" durch die Zahl "3". Auf diese Weise können Sie die Wahrscheinlichkeit verringern, dass jemand einen extrem ähnlichen Domänennamen verwendet, um Ihnen E-Mails zu senden.

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Zuletzt aktualisiert:
Warum SPF nicht gut genug ist, um Spoofing zu stoppenspf limitation blogpowerdmarc config blog postPowerDMARC-Partnerschaft mit Config