Die schlimmste Art von Phishing-Betrug ist die, die Sie nicht einfach ignorieren können: wie CEO Fraud. E-Mails, die angeblich von der Regierung stammen und Sie auffordern, die ausstehende Steuerzahlung zu leisten oder rechtliche Schritte zu riskieren. E-Mails, die aussehen, als wären sie von Ihrer Schule oder Universität und Sie auffordern, die eine verpasste Studiengebühr zu bezahlen. Oder sogar eine Nachricht von Ihrem Chef oder Geschäftsführer, in der Sie aufgefordert werden, ihm "als Gefallen" etwas Geld zu überweisen.
Was ist CEO-Betrug?
Beim CEO-Betrug handelt es sich um einen E-Mail-Phishing-Betrug, bei dem sich die Betrüger als CEO eines Unternehmens ausgeben und versuchen, Mitarbeiter dazu zu bewegen, ihnen Geld zu schicken. Die E-Mails enthalten in der Regel den echten Namen und die Berufsbezeichnung des Geschäftsführers des Unternehmens.
Das Problem bei solchen E-Mails ist, dass sie sich als eine Autoritätsperson ausgeben, sei es die Regierung, Ihr Universitätsvorstand oder Ihr Chef auf der Arbeit. Das sind wichtige Leute, und das Ignorieren ihrer Nachrichten wird mit ziemlicher Sicherheit ernsthafte Konsequenzen haben. Sie sind also gezwungen, sich die E-Mails anzusehen, und wenn sie überzeugend genug erscheinen, könnten Sie tatsächlich darauf hereinfallen.
Sie sind nicht immun gegen CEO-Betrug
Es handelt sich umeinen Betrug im Wert von 2,3 Milliarden Dollar pro Jahr. Sie fragen sich vielleicht: "Wie können Unternehmen so viel Geld durch einen einfachen E-Mail-Betrug verlieren?" Aber Sie würden überrascht sein, wie überzeugend CEO-Betrugs-E-Mails sein können.
Im Jahr 2016 verlor Mattel fast 3 Millionen Dollar durch einen Phishing-Angriff, als eine Finanzmanagerin eine E-Mail vom CEO erhielt, in der sie angewiesen wurde, eine Zahlung an einen ihrer Lieferanten in China zu senden. Aber erst als sie später beim CEO nachfragte, stellte sie fest, dass er die E-Mail gar nicht gesendet hatte. Glücklicherweise arbeitete das Unternehmen mit den Strafverfolgungsbehörden in China und den USA zusammen, um das Geld ein paar Tage später zurückzubekommen, aber das passiert bei diesen Angriffen fast nie.
Die Menschen neigen dazu zu glauben, dass ihnen diese Betrügereien nicht passieren werden... bis es ihnen passiert. Und das ist ihr größter Fehler: sich nicht auf CEO-Betrug vorzubereiten.
Phishing-Betrügereien können Ihr Unternehmen nicht nur Millionen von Dollar kosten, sie können auch den Ruf und die Glaubwürdigkeit Ihrer Marke nachhaltig beeinträchtigen. Sie laufen Gefahr, als das Unternehmen gesehen zu werden, das durch einen E-Mail-Betrug Geld verloren hat und das Vertrauen Ihrer Kunden zu verlieren, deren sensible persönliche Daten Sie speichern.
Anstatt sich im Nachhinein um Schadensbegrenzung zu bemühen, ist es viel sinnvoller, Ihre E-Mail-Kanäle gegen Spear-Phishing-Betrug wie diesen zu sichern. Hier sind einige der besten Möglichkeiten, wie Sie sicherstellen können, dass Ihre Organisation nicht zu einer Statistik im BEC-Bericht des FBI wird.
Wie Sie CEO-Betrug verhindern: 6 einfache Schritte
- Informieren Sie Ihr Personal über Sicherheit
Dieser Punkt ist absolut entscheidend. Ihre Mitarbeiter - vor allem die im Finanzwesen - müssen verstehen, wie Business Email Compromise funktioniert. Und damit meinen wir nicht nur eine langweilige 2-stündige Präsentation darüber, dass man sein Passwort nicht auf einen Post-it-Zettel schreibt. Sie müssen sie darin schulen, wie sie auf verdächtige Anzeichen für eine gefälschte E-Mail achten, wie sie gefälschte E-Mail-Adressen erkennen und wie sie ungewöhnliche Anfragen anderer Mitarbeiter per E-Mail beantworten. - Achten Sie auf verräterische Anzeichen für Spoofing
E-Mail-Betrüger verwenden alle möglichen Taktiken, um Sie dazu zu bringen, ihren Forderungen nachzukommen. Diese können von dringenden Anfragen/Anweisungen zur Überweisung von Geld reichen, um Sie zu schnellem und unüberlegtem Handeln zu bewegen, bis hin zur Bitte um Zugang zu vertraulichen Informationen für ein "geheimes Projekt", das die höheren Stellen noch nicht mit Ihnen teilen wollen. Dies sind ernst zu nehmende Warnsignale, die Sie doppelt und dreifach überprüfen sollten, bevor Sie etwas unternehmen. - Schützen Sie sich mit DMARC
Der einfachste Weg, einen Phishing-Betrug zu verhindern, ist, die E-Mail gar nicht erst zu erhalten. DMARC ist ein E-Mail-Authentifizierungsprotokoll, das E-Mails, die von Ihrer Domäne stammen, vor der Zustellung verifiziert. Wenn Sie DMARC in Ihrer Domäne durchsetzen, wird jeder Angreifer, der sich als jemand aus Ihrer eigenen Organisation ausgibt, als nicht autorisierter Absender erkannt, und seine E-Mail wird in Ihrem Posteingang blockiert. Sie müssen sich nicht mehr mit gefälschten E-Mails herumschlagen.
Erfahren Sie, was DMARC ist.
- Holen Sie die ausdrückliche Genehmigung für Überweisungen ein
Dies ist eine der einfachsten und unkompliziertesten Methoden, um Geldüberweisungen an die falschen Personen zu verhindern. Bevor Sie eine Transaktion durchführen, sollten Sie die ausdrückliche Zustimmung der Person, die das Geld anfordert, über einen anderen Kanal als E-Mail einholen. Bei größeren Überweisungen sollten Sie eine mündliche Bestätigung verlangen. - E-Mails mit ähnlichen Erweiterungen kennzeichnen
Das FBI empfiehlt, dass Ihr Unternehmen Systemregeln erstellt, die automatisch E-Mails kennzeichnen, die zu ähnliche Endungen wie Ihre eigenen verwenden. Wenn Ihr Unternehmen zum Beispiel "123-business.com" verwendet, könnte das System E-Mails mit Erweiterungen wie "123_business.com" erkennen und kennzeichnen. - Kaufen Sie ähnliche Domänennamen
Angreifer verwenden oft ähnlich aussehende Domänennamen, um Phishing-E-Mails zu versenden. Wenn Ihr Unternehmen zum Beispiel ein kleines "i" im Namen hat, verwenden sie vielleicht ein großes "I" oder ersetzen den Buchstaben "E" durch die Zahl "3". Auf diese Weise können Sie die Wahrscheinlichkeit verringern, dass jemand einen extrem ähnlichen Domänennamen verwendet, um Ihnen E-Mails zu senden.
